De plus en plus, les entreprises externalisent des fonctions de base comme le stockage des données et l’accès aux applications auprès de prestataires de services cloud (Cloud Service Providers, ou CSP). En réponse, l’institut américain des comptables publics certifiés (American Institute of Certified Public Accountants, ou AICPA) a développé le cadre SOC, une norme pour les contrôles qui protègent la confidentialité des informations stockées et traitées dans le cloud. Cela correspond à la norme internationale de missions d’assurance (International Standard on Assurance Engagements, ou ISAE), c’est-à-dire à la norme de production de rapports pour les organisations de service internationales.

Un audit SOC 2 mesure l’efficacité du système d’un CSP sur la base des principes et critères des services de confiance de l’AICPA. Les rapports SOC 2 et SOC 3 sont basés sur un engagement d’attestation conforme aux normes d’attestation (Attestation Standards, ou AT), section 101.

À la fin d’un audit SOC 2, l’auditeur des services exprime une opinion dans un rapport SOC 2 de type 2. Il y décrit le système du CSP et évalue si la description que le CSP a faite de ses propres contrôles est adéquate. Il évalue également si les contrôles du CSP sont conçus de façon appropriée, s’ils étaient en fonction à une date précise et s’ils fonctionnaient réellement au cours d’une période précise.

Les auditeurs peuvent également créer un rapport SOC 3 : une version abrégée du rapport d’audit SOC 2 type 2 pour les utilisateurs souhaitant vérifier que les contrôles du CSP sont adéquats, mais qui n'ont pas besoin du rapport SOC 2 complet. Un rapport SOC 3 peut être accordé uniquement si le CSP bénéficie d’une opinion d’audit sans réserve pour le SOC 2.

Si vous avez des questions supplémentaires, auxquelles vous ne trouvez pas de réponse ci-dessus, ou si vous souhaitez demander un exemplaire de notre rapport SOC2 le plus récent, veuillez remplir ce formulaire et un ingénieur sécurité de Smartsheet vous contactera.