SOC 2 Type II — операционные контроли проаудированы
Годовой отчёт SOC 2 Type II покрывает Security, Availability и Confidentiality для клиентов Италии.
Trust Service Criteria в скоупе
Security (обязательно) + Availability + Confidentiality. Privacy как отдельный скоуп по запросу. У каждого TSC определены контрольные цели — аудитор тестирует дизайн и операционную эффективность за период.
Type II vs Type I
Type II тестирует контроли за период (обычно 12 месяцев) — не только на момент. Это то, что просит enterprise-procurement. Делаем Type II с покрытием 12 месяцев; bridge letter покрывает гэп до следующего отчёта.
Каденс отчётности и доступ
Новый отчёт публикуется ежегодно, заменяется когда устаревает. Bridge letter каждый квартал покрывает непрерывность до следующего аудита. Оба делим под NDA с проспектами и клиентами.
Италии — местная значимость
Enterprise-покупатели в Италии (банки, страховщики, публичный сектор) всё чаще запрашивают SOC 2 в vendor-анкетах. Опережаем анкету — отчёт делим с первым NDA. Sales-команда в Милане обучена SOC 2-словарю.
Частые вопросы
Type II или Type I?
Type II — покрывает период. Type I — point-in-time, менее полезен для непрерывного доверия.
Имя аудитора?
Аффилиат Big-4 — имя раскрывается под NDA. Независимость подтверждается ежегодно.
Sub-service organizations?
Облачные и дата-центровые провайдеры — sub-service organizations, обрабатываются inclusive-методом с carve-out их контролей.
Findings / исключения?
Отчёт раскрывает любые найденные исключения. Отвечаем на каждое management response в отчёте.
Privacy в скоупе?
Privacy TSC доступен по запросу — добавляет покрытие контролей, выровненных с GDPR.