Hva er SOC 2 Type 2, og hvorfor amerikanske kunder spør om den
En amerikansk kunde ber om SOC 2 Type 2-rapporten dere ikke har, og avtalen stopper. Her er hva den er, og beslutningen styret må ta.
En amerikansk kunde ber nettopp om SOC 2 Type 2-rapporten deres, dere har den ikke, og avtalen blir stille. Sikkerhetsteamet deres signerer ikke før de ser rapporten. Kjøpssiden var klar til å gå videre, men et manglende dokument frøs hele kontrakten.
Jeg har sett dette stoppe to norske programvareselskaper bare dette kvartalet. Begge hadde god sikkerhet. Ingen av dem hadde det ene dokumentet den amerikanske kjøperen var opplært til å spørre etter. Spørsmålet på bordet er altså ikke om kontrollene deres holder mål, men om en uavhengig part kan bekrefte at de virket over tid.
Avtalen stopper når rapporten mangler
En manglende SOC 2 Type 2-rapport kan parkere en amerikansk enterprise-avtale i flere måneder. I amerikansk innkjøp blokkerer kjøperens sikkerhetsteam ofte kontrakten til leverandøren leverer en gyldig rapport. Ingen rapport, ingen godkjenning.
Dette rammer norske selskaper som selger programvare, skytjenester eller databehandling til amerikanske kunder. Jo større kjøperen er, jo strengere er regelen. Deres egne revisorer og kunder forventer at de gransker hver leverandør, og SOC 2 er dokumentet de spør etter ved navn. Dere kan ha sterke kontroller og likevel miste plassen, fordi dere ikke kan vise det i formatet de godtar.
Kostnaden er sjelden en tapt funksjonskamp. Det er en utsatt signatur, en innkjøpsrunde som trekker ut i neste kvartal, eller en avtale som stille går til en konkurrent som allerede har rapporten.
Hva SOC 2 Type 2 er, forklart enkelt
SOC 2 er en amerikansk rapporteringsstandard fra AICPA, det amerikanske bransjeorganet for statsautoriserte revisorer, som setter revisjonsreglene for amerikanske regnskapsførere. Den måler hvordan et tjenesteselskap beskytter kundedata. En uavhengig revisor går gjennom kontrollene deres og skriver en rapport om det de ser.
Det er en rapport, ikke et sertifikat. Dere består eller stryker ikke og får et merke. Dere får en skriftlig vurdering fra et lisensiert amerikansk revisjonsfirma (et regnskapsfirma med tillatelse til å utføre slike gjennomganger), som beskriver kontrollene deres og om de virket. Arbeidet er en attestasjon, altså at revisoren går gjennom bevisene og uttaler en faglig vurdering av dem.
Gjennomgangen bygger på trust services criteria, AICPAs sett av kontrollkrav. Det finnes fem kategorier: sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern. Sikkerhet er obligatorisk i hver rapport. De fire andre er valgfrie, og dere velger dem ut fra hva dere lover kundene.
Forskjellen mellom Type 1 og Type 2 er tid. En SOC 2 Type 1-rapport kontrollerer at kontrollene deres er riktig utformet på én enkelt dag. En SOC 2 Type 2-rapport (også skrevet SOC 2 Type II) kontrollerer at de samme kontrollene virkelig virket over en periode, vanligvis tre til tolv måneder. Den perioden kalles observasjonsperioden. Type 1 sier at kontrollene finnes. Type 2 sier at de virket.
Amerikanske kjøpere spør etter Type 2 fordi den viser at praksisen holdt, ikke bare planen. Et øyeblikksbilde er lett å arrangere. En rapport som dekker en hel periode, er vanskeligere å forfalske og forteller kjøperen at kontrollene overlevde reell drift. For en grundigere gjennomgang av hvilken rapport som passer et norsk selskap, og når Type 1 er nok, se SOC 2-guiden for norske SMB-er.
Hva revisoren gjør i praksis
Revisoren går gjennom bevis fra hele observasjonsperioden, ikke bare policydokumenter. De tar stikkprøver av tilgangslogger, endringsregistre, onboarding-filer og hendelseshåndtering gjennom månedene som dekkes. De tester om kontrollen virket hver gang den skulle, ikke om dere skrev den ned én gang.
Derfor betyr observasjonsperioden noe for kalenderen deres. Vil en kjøper ha en rapport som dekker seks måneders drift, kan dere ikke lage den på to uker. Klokka må gå først. Selskaper som starter den dagen avtalen dukker opp, ligger allerede måneder bak kjøperens forespørsel.
Beslutningen styret må ta
Styret har én beslutning: forplikt dere til observasjonsperioden og revisjonskostnaden nå, eller godta at noen amerikanske avtaler stopper til dere gjør det. Det finnes ingen snarvei som hopper over tiden på klokka.
Er salg til USA en del av planen, er rapporten en kostnad for markedstilgang, ikke en IT-post i budsjettet. Starter dere tidlig, har dere en gyldig rapport når kunden spør, i stedet for å be dem vente to kvartaler mens perioden løper. Selskapene som vinner plassen, er de som bestemte seg før kjøperen spurte.
FM CyberSecurity forbereder dere til revisjonen. Vi kobler kontrollene deres mot trust services criteria, tetter hullene, og gjør dere klare. Selve SOC 2-rapporten utstedes av et lisensiert amerikansk revisjonsfirma, ikke av FM CyberSecurity, og vi jobber sammen med det firmaet så gjennomgangen går knirkefritt.
Se FM CyberSecuritys kvalifikasjoner og partnersertifiseringer på /partners/. Eller avtal en 30-minutters samtale på styrenivå om SOC 2 Type 2 hører hjemme i neste års amerikanske salg.
FAQ
Type 1 eller Type 2, hvilken trenger vi?
Det kommer an på hva kjøperen ba om. Type 1 bekrefter at kontrollene deres er riktig utformet på én dag. Type 2 bekrefter at de virket over tre til tolv måneder. Amerikanske enterprise-kjøpere nevner som regel Type 2, fordi den viser at kontrollene holdt i praksis. Type 1 kan gi dere tid som et første steg mens observasjonsperioden for Type 2 løper. SOC 2-guiden for norske SMB-er går grundig gjennom valget.
Hvor lang tid tar SOC 2 Type 2?
Regn med flere måneder, styrt av observasjonsperioden. Det vinduet løper vanligvis tre til tolv måneder, og revisoren kan først rapportere etter at det er over. Legg til forberedelse før og rapportskriving etter. Venter dere til en kunde spør, ligger dere allerede bak forespørselen, fordi observasjonsperioden ikke kan kortes ned.
Er SOC 2 det samme som ISO 27001?
Nei. SOC 2 er en amerikansk attestasjonsrapport fra et revisjonsfirma, bygget på AICPAs trust services criteria. ISO 27001 er en internasjonal sertifisering av et styringssystem for informasjonssikkerhet. Amerikanske kjøpere spør gjerne etter SOC 2 ved navn. Noen selskaper har begge. Hvilken som passer salgsplanen deres, er et strategispørsmål vi dekker i SOC 2-guiden for norske SMB-er.
Hvem kan utstede SOC 2-rapporten?
Bare et lisensiert amerikansk revisjonsfirma, et regnskapsfirma med tillatelse til å utføre slike gjennomganger. Rapporten er revisorens uavhengige vurdering, så den kan ikke komme fra deres eget team eller fra en konsulent. FM CyberSecurity gjør dere klare for revisjon og jobber sammen med revisjonsfirmaet, men rapporten er deres å signere.
Er SOC 2 et sertifikat?
Nei. SOC 2 er en rapport, en revisors skriftlige vurdering av kontrollene deres. Det finnes ikke noe bestått- eller stryk-merke. Kjøperen leser rapporten og avgjør om kontrollene deres når kravet. Derfor betyr innholdet mer enn merkelappen.
