Wat is SOC 2 en waarom is het belangrijk?
SOC 2 is een internationale standaard voor informatiebeveiliging en betrouwbaarheid van dienstverlening. Organisaties tonen hiermee aan dat zij hun processen rondom security en beschikbaarheid goed hebben ingericht en beheersen.
Voor onze dienstverlening ligt de nadruk op twee kernprincipes:
- Beveiliging, het beschermen van systemen en data tegen ongeautoriseerde toegang
- Beschikbaarheid, het garanderen dat systemen beschikbaar zijn wanneer klanten ze nodig hebben
Daarnaast helpt het onze klanten om aan te tonen dat zij zelf ook hun informatiebeveiliging op orde hebben doordat wij als ketenpartner dat eenvoudig met SOC 2 kunnen aantonen.
Van ambitie naar certificering
Het behalen van SOC 2 is geen vinkje dat je even zet. Het is het resultaat van een intensief traject.
Samen met een gespecialiseerd consultancy bedrijf hebben we een framework opgezet en bepaald welke controls nodig zijn om aan de standaard te voldoen. Vervolgens heeft het team bijna een jaar gewerkt aan de implementatie van concrete maatregelen, zoals:
- veilig beheer van systemen op afstand
- uitgebreide virus en endpoint beveiliging
- encryptie op alle devices
Recent hebben we SOC 2 Type I behaald. Daarmee tonen we aan dat onze processen en controls goed zijn ingericht.
Wat betekent dit voor ons en onze klanten?
De stap naar SOC 2 komt niet uit de lucht vallen. Hij sluit direct aan op onze ontwikkeling richting SaaS dienstverlening. Waar oplossingen vroeger vaak bij de klant draaiden, beheren wij nu steeds vaker zelf de omgeving in de cloud.
Dat brengt een grotere verantwoordelijkheid met zich mee en dus ook hogere eisen aan security en compliance.
Voor klanten betekent dit:
- zekerheid dat hun data en processen goed beschermd zijn
- vertrouwen in de continuïteit van onze dienstverlening
- minder auditdruk dankzij aantoonbare compliance
SOC 2 staat daarbij niet op zichzelf. Het versterkt ons bredere security landschap, waarin ook ISO 27001, ISAE 3402 en ons interne security framework een belangrijke rol spelen.
Op weg naar SOC 2 Type II
Waar SOC 2 Type I aantoont dat processen goed zijn ingericht, gaat Type II een stap verder. Het bewijst dat deze processen over een langere periode ook daadwerkelijk en consistent worden uitgevoerd. Daar werken we nu hard aan.
De grootste uitdaging zit niet in het ontwerpen van controls, maar in het structureel aantonen dat ze worden nageleefd, met consistente en gedisciplineerde bewijsvoering. In oktober staat de volgende audit gepland en we verwachten daar SOC 2 Type II te behalen.
Continu verbeteren
Security is geen eindpunt, maar een continu proces. Met SOC 2 zetten we een belangrijke stap, maar we blijven vooruitkijken. Afhankelijk van markt en klantbehoefte onderzoeken we ook aanvullende certificeringen.
