Come funziona

Un rapporto SOC 2 è prodotto quando un'organizzazione di servizi (un data center cloud, una piattaforma di e-commerce, un processore di pagamenti) incarica un revisore indipendente di valutare i propri controlli interni. L'AICPA definisce cinque categorie di criteri di fiducia: sicurezza, disponibilità, integrità di elaborazione, riservatezza e privacy. Il rapporto SOC 2 non affronta tutti e cinque; il fornitore di servizi sceglie quali categorie descrivere in base ai rischi che il suo servizio comporta.
Un rapporto Type I descrive il design e l'implementazione dei controlli in un momento specifico nel tempo (di solito la data di conclusione del rapporto). Un rapporto Type II descrive il design, l'implementazione e l'efficacia operativa dei controlli durante un periodo minimo di sei mesi. Type II è il formato preferito dai revisori perché fornisce evidenza che i controlli hanno funzionato di fatto, non solo teoricamente.
Quando un revisore valuta se utilizzare un rapporto SOC 2 come evidenza, deve verificare che:
Un rapporto SOC 2 non afferma conformità a standard specifici come GDPR, HIPAA o PCI-DSS. Fornisce un'assicurazione sulla progettazione e il funzionamento dei controlli entro il framework AICPA. La responsabilità di valutare se quei controlli rispondono alle normative specifiche del settore rimane del revisore del client.

  • Il rapporto sia stato emesso da un revisore indipendente (denominato "service auditor" nel contesto SOC 2)
  • Il periodo di copertura sia appropriato: per Type II, gli ultimi sei-dodici mesi sono preferibili
  • I controlli descritti coprano effettivamente i rischi che il revisore ha identificato nel client
  • La data di conclusione del rapporto non sia anteriore di più di 3-6 mesi rispetto alla data di valutazione del revisore

Esempio pratico: Valutazione di un rapporto SOC 2 presso un fornitore di servizi

Client: Innovazioni Digitali S.r.l., società italiana di e-commerce con sede a Milano, FY2024, ricavi EUR 18M. Il client utilizza una piattaforma cloud statunitense (CloudServe Inc.) per memorizzare dati dei clienti, gestire le transazioni di pagamento e mantenere i registri di inventario.
Fase 1: Identificazione dei rischi chiave presso il client
Durante la valutazione del rischio (ISA 315), il revisore identifica che la continuità del servizio, la protezione dei dati dei clienti e l'integrità delle transazioni di pagamento sono rischi significativi per il client. Se CloudServe subisse una violazione di sicurezza, una perdita di dati o un'interruzione di servizio, Innovazioni Digitali non potrebbe operare.
Nota di documentazione: Nei riferimenti ai rischi della carta di lavoro di pianificazione, il revisore documenta: "Rischi identificati presso il provider cloud: (a) violazione della sicurezza dei dati dei clienti; (b) interruzione di servizio > 4 ore; (c) corruzione dei dati transazionali di pagamento. Evidenza di controllo richiesta: rapporto SOC 2 Type II."
Fase 2: Ottenimento e valutazione del rapporto SOC 2
Il revisore ottiene il rapporto SOC 2 Type II di CloudServe, concluso il 30 novembre 2024, con periodo di copertura dal 1° gennaio 2024 al 30 novembre 2024. Il rapporto è stato emesso da uno studio di revisione indipendente riconosciuto.
Il rapporto descrive i controlli nelle seguenti categorie: Sicurezza (autenticazione a più fattori, crittografia dei dati in transito e a riposo, monitoraggio degli accessi), Disponibilità (backup automatici ogni 4 ore, failover geodetico testato mensilmente, tempo di ripristino massimo di 2 ore), Integrità di elaborazione (validazione delle transazioni, riconciliazioni giornaliere, logging delle modifiche). Il rapporto dichiara che il service auditor ha testato questi controlli durante il periodo di sei mesi e ha concluso che erano efficaci.
Nota di documentazione: Fonte della documentazione di controllo aggiuntiva: SOC 2 Type II Report CloudServe Inc., concluso il 30 novembre 2024, pagina 8 (Sicurezza), pagina 12 (Disponibilità), pagina 15 (Integrità di elaborazione). Controlli su: crittografia (effettivi durante il periodo), monitoraggio degli accessi (log di audit revisionati mensilmente), backup (confermato ogni 4 ore). Rischi coperti da questa evidenza: violazione di sicurezza (mitigato da crittografia e monitoraggio), interruzione di servizio (mitigato da backup e failover con RTO 2 ore).
Fase 3: Valutazione dell'idoneità del controllo
Il revisore confronta i controlli descritti nel rapporto SOC 2 con i rischi identificati presso Innovazioni Digitali. Il rischio identificato (interruzione di servizio > 4 ore) è coperto dal controllo di disponibilità (RTO massimo 2 ore). Il rischio di violazione di sicurezza è coperto da controlli di crittografia e monitoraggio degli accessi. L'integrità transazionale è coperta da validazione e riconciliazioni giornaliere.
Il revisore nota che il rapporto non descrive controlli sulla conformità a GDPR (protezione dei dati specifici dell'UE). CloudServe è una società statunitense. Il rapporto SOC 2 è neutrale rispetto a GDPR. Il revisore deve pertanto acquisire evidenza aggiuntiva sulla conformità GDPR di CloudServe tramite certificazione GDPR separate, audit GDPR, o controlli di conformità propri presso il client.
Nota di documentazione: SOC 2 Type II copre controlli generici di sicurezza e disponibilità. Controlli specifici GDPR (data processing agreement, data subject rights, breach notification) non sono coperti. Evidenza aggiuntiva ottenuta: certificazione ISO 27001 (rilevante per crittografia e accesso), e revisione del data processing agreement (DPA) tra Innovazioni Digitali e CloudServe per verificare conformità GDPR. Conclusione: controlli di disponibilità e sicurezza IT idonei per i rischi identificati presso il client. Controlli di conformità GDPR richiedono evidenza aggiuntiva non coperta da SOC 2.
Fase 4: Conclusione
Il revisore conclude che il rapporto SOC 2 Type II di CloudServe fornisce evidenza sufficiente che i controlli chiave sul data center, sulla disponibilità del servizio e sulla protezione dei dati sono stati progettati e sono stati efficaci durante i sei mesi di copertura. Poiché il periodo di copertura termina il 30 novembre 2024 e la data di chiusura dell'incarico di Innovazioni Digitali è il 31 dicembre 2024, il gap temporale è minore di un mese. Il revisore documenta che questo gap è accettabile e che non è stata rilevata alcuna modifica significativa ai controlli tra novembre e dicembre basandosi sulle comunicazioni periodiche ricevute da CloudServe.

Cosa i revisori e gli ispettori ottengono spesso in modo errato

  • Accettazione di rapporti SOC 2 scaduti senza valutazione di controlli compensativi. Un rapporto Type II concluso 14 mesi prima della data di audit non fornisce evidenza circa lo stato effettivo dei controlli al momento dell'audit. I rilievi internazionali dell'PCAOB hanno documentato casi in cui revisori hanno utilizzato rapporti SOC 2 obsoleti e successivamente sono state scoperte violazioni di sicurezza presso il provider. Il revisore deve verificare se il rapporto è ancora rappresentativo del controllo ambientale attuale.
  • Confusione tra SOC 2 Type I e Type II. Un rapporto Type I descrive il design dei controlli in un momento specifico; non fornisce evidenza che i controlli funzionino effettivamente nel tempo. I team di audit junior frequentemente trattano Type I come se fosse Type II. Type I è utile per dimostrare che i controlli erano stati implementati, ma non che erano efficaci.
  • Non verificare che i controlli descritti nel SOC 2 corrispondano effettivamente ai rischi identificati presso il client. Un rapporto SOC 2 potrebbe descrivere controlli di crittografia eccellenti ma non affrontare il rischio specifico del client (ad esempio, disponibilità del servizio). Il revisore deve leggere il rapporto, comprendere esattamente quali controlli sono stati testati, e mappare quei controlli ai rischi documentati nella valutazione dei rischi del client.

SOC 2 vs SOC 3

Un rapporto SOC 3 (noto come "SOC 2 for Service Organizations") è una versione sintetizzata e meno dettagliata del rapporto SOC 2, destinata al pubblico generale. Un rapporto SOC 2 è confidenziale, destinato solo ai clienti e ai revisori del provider. Un rapporto SOC 3 è pubblico, spesso pubblicato sul sito web del provider.
Nella pratica, un revisore dovrebbe preferire un rapporto SOC 2 (Type II) perché contiene i dettagli sui controlli specifici testati. Un rapporto SOC 3, sebbene pubblicamente disponibile, non fornisce informazioni sufficienti per una valutazione dei rischi di audit significativa.

Termini correlati

  • Service auditor: il revisore indipendente che emette un rapporto SOC 2
  • User organization: l'organizzazione cliente che utilizza i servizi di un provider e la cui gestione affida al proprio revisore la valutazione dei controlli del provider
  • Criteri di fiducia AICPA: le cinque categorie di controllo interno (sicurezza, disponibilità, integrità di elaborazione, riservatezza, privacy) definite dall'AICPA per i rapporti SOC 2
  • Type II (rapporto SOC 2 Type II): il formato preferito che copre un periodo di almeno sei mesi e fornisce evidenza dell'efficacia operativa
  • Data center: una struttura che ospita server e infrastruttura IT, spesso oggetto di valutazione SOC 2

Termini correlati nel glossario ciferi

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.