Cos'è il report SOC 2, i Trust Services Criteria, la differenza tra Type I e Type II, il periodo di osservazione, i tempi reali e le voci di costo. Una guida informativa, non un pitch.
SOC 2 (System and Organization Controls 2) non è una certificazione: è un report di attestazione emesso da una CPA firm statunitense (revisori contabili abilitati) secondo gli standard dell'AICPA (in particolare SSAE 18 / AT-C). Il report esprime un'opinione professionale indipendente su quanto i controlli di un'organizzazione rispettano i Trust Services Criteria.
Detto in modo diretto: non esiste un “certificato SOC 2” da appendere al muro. Esiste un documento, spesso di decine di pagine, che un revisore terzo produce e firma, e che tu condividi (di solito sotto NDA) con i clienti che te lo chiedono. Chi dice “siamo certificati SOC 2” usa il termine sbagliato, e un compratore esperto se ne accorge.
SOC 2 è di fatto lo standard di fiducia del mercato statunitense per i fornitori SaaS e cloud. Serve quando: vendi (o vuoi vendere) software/servizi B2B a clienti USA, soprattutto enterprise; il tuo deal è bloccato dal vendor security review e il cliente non firma senza il report; sei un'azienda europea o estera che punta al mercato americano e deve parlare la lingua di fiducia che lì si aspettano (in UE pesa di più la ISO 27001; negli USA, SOC 2).
È la ragione per cui molte aziende fanno sia ISO 27001 (per UE/globale) sia SOC 2 (per USA).
Il report SOC 2 si basa sui Trust Services Criteria (TSC) dell'AICPA. Sono cinque categorie: Security (Common Criteria), obbligatoria e base di ogni report; Availability (disponibilità del servizio); Processing Integrity (integrità e correttezza dell'elaborazione); Confidentiality (riservatezza delle informazioni); Privacy (trattamento dei dati personali secondo i principi AICPA).
Solo Security è obbligatoria; le altre quattro si includono in base a cosa il tuo servizio promette ai clienti. Aggiungere criteri allarga lo scope e il costo: vanno scelti con un motivo, non “per fare scena”.
È la distinzione più importante, e la più fraintesa. Il Type I valuta il design dei controlli a una data specifica (point-in-time): è una foto istantanea, percepita come più debole, a volte usata come tappa intermedia. Il Type II valuta l'efficacia operativa dei controlli su un periodo di osservazione (tipicamente 3-12 mesi): è più forte perché dimostra che i controlli funzionano nel tempo, ed è quello che chiedono davvero i clienti enterprise USA.
Il periodo di osservazione è il punto che cambia tutto sui tempi: per un Type II i controlli devono girare ed essere monitorati per mesi prima che la CPA possa emettere il report. Non lo si può “comprimere”: è parte della metodologia.
1) Readiness assessment: fotografia dello stato attuale vs i TSC scelti, con gap report. 2) Scelta dello scope: quali Trust Services Criteria includere e su quale sistema/servizio. 3) Implementazione dei controlli e mappatura controlli ↔ TSC. 4) Raccolta delle evidenze, eventualmente con una piattaforma di compliance automation che ne automatizza la raccolta. 5) (Per Type II) Periodo di osservazione: i controlli operano e producono evidenze per il periodo concordato. 6) Audit della CPA: il revisore terzo esamina controlli ed evidenze ed emette il report con la sua opinione. 7) Refresh ricorrente: il report ha una validità di fatto limitata (i clienti chiedono report recenti) e si rinnova periodicamente.
Confine fermo: noi non firmiamo il report SOC 2. Lo firma la CPA (terza parte indipendente). Noi portiamo l'azienda in readiness, mappiamo i controlli, prepariamo le evidenze e coordiniamo con la CPA. Chi prepara non attesta.
Type I: dopo la readiness è relativamente rapido (è una foto del design dei controlli). Type II: alla readiness si somma il periodo di osservazione (tipicamente 3-12 mesi). Solo dopo la CPA può emettere il report.
Per questo “SOC 2 in 3 mesi” è un claim che fa perdere credibilità (e talvolta il deal) con un compratore USA: 3 mesi possono essere la readiness, ma il Type II richiede comunque il periodo di osservazione. Noi i tempi te li diciamo come sono davvero: readiness + periodo di osservazione.
Le voci tipiche da mettere a budget: readiness/consulenza (gap, implementazione controlli, preparazione evidenze, coordinamento CPA); audit della CPA, fatturato dalla CPA e separato dalla consulenza (è la firma indipendente); eventuale piattaforma di compliance automation per la raccolta evidenze, costo a parte in abbonamento; costi interni (tempo del team, strumenti di sicurezza); refresh ricorrente del report.
Non pubblichiamo un prezzo “secco”: dipende da scope, TSC inclusi e Type. Il costo della CPA è sempre separato, perché è indipendente.
Natura: SOC 2 = attestazione (report + opinione di una CPA); ISO 27001 = certificazione (rilasciata da un ente accreditato). Mercato: SOC 2 è la lingua di fiducia degli USA; ISO 27001 domina in UE e a livello globale.
Tempi: SOC 2 Type II richiede un periodo di osservazione; ISO 27001 ha un ciclo di 3 anni con sorveglianza annuale. Insieme: molte aziende fanno entrambe per coprire USA e UE. C'è forte sovrapposizione di controlli: la base costruita per una accelera l'altra.
No, è un'attestazione: un report più l'opinione di una CPA. Non esiste un “certificato SOC 2”.
Type I valuta il design dei controlli a una data (point-in-time); Type II valuta l'efficacia operativa su un periodo (tipicamente 3-12 mesi).
Readiness più il periodo di osservazione (tipicamente 3-12 mesi), durante il quale i controlli devono funzionare e produrre evidenze, prima che la CPA emetta il report.
Solo Security (Common Criteria). Gli altri quattro (Availability, Processing Integrity, Confidentiality, Privacy) sono opzionali.
No, lo firma la CPA. Noi portiamo l'azienda in readiness, mappiamo i controlli e coordiniamo con la CPA.
Scopri il nostro servizio: gap assessment, scelta dei TSC, controlli, evidenze e coordinamento con la CPA.