SOC 2 Type II — controlli operativi auditati
Report SOC 2 Type II annuale copre Security, Availability e Confidentiality per i clienti italiani.
Trust Service Criteria in scope
Security (obbligatorio) + Availability + Confidentiality. Privacy come scope separato su richiesta. Ogni TSC ha obiettivi di controllo definiti — l'auditor testa design ed effectiveness operativa nel periodo.
Type II vs Type I
Type II testa i controlli su un periodo (tipicamente 12 mesi) — non solo un punto nel tempo. Questo è ciò che chiede il procurement enterprise. Facciamo Type II con copertura 12 mesi; bridge letter copre il gap fino al prossimo report.
Cadenza reporting e accesso
Nuovo report pubblicato annualmente, sostituito quando superato. Bridge letter ogni trimestre copre la continuità fino al prossimo audit. Entrambi condivisi sotto NDA con prospect e clienti.
Italia — rilevanza locale
I buyer enterprise italiani (banche, assicurazioni, settore pubblico) richiedono sempre più SOC 2 come parte dei questionari vendor. Pre-empiamo il questionario — report condiviso col primo NDA. Sales team Milano formato sul vocabolario SOC 2.
FAQ
Type II o Type I?
Type II — copre un periodo. Type I è point-in-time, meno utile per fiducia ongoing.
Nome auditor?
Affiliata Big-4 — nome divulgato sotto NDA. Indipendenza confermata annualmente.
Sub-service organization?
Provider cloud e data centre sono sub-service organization — gestiti via inclusive method con carve-out dei loro controlli.
Findings / eccezioni?
Il report divulga qualsiasi eccezione trovata. Rispondiamo a ognuna con management response nel report.
Privacy in scope?
Privacy TSC disponibile su richiesta — aggiunge copertura controlli allineati GDPR.