Readiness, mappatura ai Trust Services Criteria, raccolta evidenze e coordinamento con la CPA che firma il report. Non firmiamo noi: è proprio questo a renderlo valido.
Il documento giusto per il mercato giusto: gli USA.
Un cliente enterprise USA ti ha mandato un security questionnaire o una clausola 'SOC 2 required'.
Vai al percorsoHai capito che SOC 2 è il passaporto di fiducia lì, e vuoi sbloccare le trattative.
Cos'è SOC 2Vuoi il documento giusto per il mercato giusto (USA), senza fare la cosa sbagliata (in UE conta di più ISO 27001).
ISO 27001 per la UESOC 2 è un report di attestazione emesso da una CPA statunitense secondo gli standard AICPA (SSAE 18). Misura i controlli rispetto ai Trust Services Criteria (TSC): Security (Common Criteria, obbligatoria) + opzionali Availability, Processing Integrity, Confidentiality, Privacy.
Lo chiamiamo attestazione perché è la verità tecnica, e perché chi lo confonde con una 'certificazione' viene subito individuato dal CISO del tuo cliente.
La differenza determina la timeline. Spesso ha senso partire da un Type I per sbloccare subito e poi puntare al Type II. Ti diciamo quale ti serve davvero, e quando, dopo un primo confronto.
Valuta il design dei controlli a una data specifica (point-in-time). Più rapido, segnale più debole.
Valuta l'efficacia operativa dei controlli su un periodo di osservazione (tipicamente 3-12 mesi). È quello che chiedono davvero i clienti enterprise.
Noi non firmiamo il report SOC 2: lo firma una CPA indipendente. Questa separazione è ciò che dà valore all'attestazione davanti ai tuoi clienti.
Readiness assessment, mappatura dei controlli ai TSC, definizione dei controlli, raccolta e organizzazione delle evidenze (AI-accelerata, esperto-validata), preparazione all'esame.
Conduce l'esame di attestazione e firma il report SOC 2.
Readiness : dipende dal tuo punto di partenza
Mettere a posto controlli ed evidenze prima dell'esame.
Type I : esame a una data specifica
L'esame avviene una volta che il design dei controlli è pronto (point-in-time).
Type II : periodo di osservazione 3-12 mesi
I controlli devono funzionare davvero per tutto il periodo, prima che la CPA possa emettere il report.
Chi ti promette 'SOC 2 in 3 mesi' senza distinguere Type I/II ti sta dicendo solo la readiness. Noi te lo diciamo per intero.
Per SOC 2 il prezzo è su richiesta: dipende dalle TSC in scope, da Type I vs Type II e dalla tua readiness. Ti diamo un range indicativo dopo un primo confronto, con trasparenza.
La CPA che firma il report ha un suo onorario, separato dal nostro accompagnamento: te lo spieghiamo in chiaro. Vedi la pagina prezzi.
SOC 2 è il linguaggio degli USA. In UE i clienti chiedono di solito ISO 27001 e attenzione al GDPR. Se vendi da entrambe le parti dell'oceano spesso conviene una strategia combinata: te la disegniamo noi, evitando di pagare due volte per lo stesso lavoro.
No: è un'attestazione emessa da una CPA secondo gli standard AICPA. Non esiste un 'certificato SOC 2'. Chiamarlo certificazione è l'errore che ti fa perdere credibilità con un compratore tecnico.
Dipende da cosa ti chiede il cliente e da quanto tempo hai. Type I sblocca prima (design point-in-time); Type II è più forte ma richiede un periodo di osservazione. Spesso si parte da Type I e si punta al Type II.
Tipicamente 3-12 mesi: è il tempo durante il quale i controlli devono funzionare davvero prima che la CPA emetta il report. Non si può comprimere a zero: chi dice il contrario non sta parlando di un Type II.
Una CPA statunitense indipendente, non noi. Noi ti portiamo pronto e coordiniamo l'esame; la firma di un terzo indipendente è ciò che rende valido il report.
È pensato per il mercato USA. In UE i clienti chiedono di solito ISO 27001 e guardano al GDPR. Se vendi su entrambi i mercati, ti aiutiamo a combinare i percorsi senza duplicare il lavoro.
L'AI accelera la raccolta e l'organizzazione delle evidenze; un esperto valida tutto prima che arrivi alla CPA. Le evidenze restano reali e verificabili: è il loro unico valore.
Security è obbligatoria; le altre (Availability, Processing Integrity, Confidentiality, Privacy) si aggiungono in base a cosa promettete ai clienti. Dopo un primo confronto definiamo lo scope giusto, senza gonfiare.
No: l'esito dipende dall'esame di una CPA indipendente. Ti portiamo pronto e massimizziamo la probabilità di successo, ma una garanzia minerebbe proprio l'indipendenza che dà valore al report.
La guida allo standard: attestazione AICPA, Trust Services Criteria, Type I vs Type II.
Leggi la guidaLa certificazione che ti chiedono i clienti UE: confronto e strategia combinata UE/USA.
ScopriIl modello facilitatore e l'approccio alla readiness, dall'analisi iniziale al mantenimento.
Vedi il metodoRaccontaci la tua esigenza: capiamo se ti serve Type I o Type II e quanto ci vuole davvero.