Compliance Lease a Bike | Wet- en regelgeving

SOC2

Hoogtepunten SOC2

Geloof ons niet alleen op ons woord. Ons SOC 2 type 2 assurance-rapport uitgegeven door KPMG is de beste manier om te laten zien dat we security en privacy serieus nemen. Het bewijst dat onze maatregelen niet alleen op papier staan, maar ook daadwerkelijk werken en uw gegevens veilig houden. Meer zekerheid en bewijs dat je niet kunt krijgen!

Enkele belangrijke hoogtepunten om te vermelden op het gebied van SOC 2 zijn:

Hoogste niveau van zekerheid

Alle S&P geïmplementeerd

Bewijs maatregelen werken!

Tot ziens ISO27k; Hallo SOC 2

Een SOC 2 ® type 2 assurance rapport is het hoogste niveau van zekerheid dat we aan jou kunnen bieden over geïmplementeerde security en privacy maatregelen.

Ons SOC 2 ® assurance rapport wordt uitgegeven door de externe IT auditor KPMG. De externe auditor heeft gecontroleerd en bevestigd dat alle vereiste security en privacy maatregelen van het SOC 2 ® raamwerk zijn ontworpen en geïmplementeerd.

Wij hebben een type 2 variant van het SOC 2 ® rapport. Dit betekent dat de externe IT auditor tevens heeft bevestigd dat alle security en privacy maatregelen ook tijdens de auditperiode effectief operationeel zijn. Kortom: we hebben het bewijs dat de maatregelen daadwerkelijk hebben gewerkt!

Zowel het SOC 2 ® assurance als het ISO 27001 (ISO27k) raamwerk zijn bekende raamwerken, maar SOC 2 biedt veel meer toegevoegde waarde voor jou als de klant. Experts noemen ISO27k ook wel een papieren tijger. Bekijk de vergelijking via deze link

Wilt u meer informatie over onze SOC 2 assurance, neem dan contact op met jouw accountmanager.

Veelgestelde vragen SOC2

: A1: Assurance betekent dat een onafhankelijke IT-auditor onze security en privacy maatregelen heeft gecontroleerd en heeft bevestigd dat alle security en privacy maatregelen adequaat zijn a) ontworpen om de risico's af te dekken, b) geïmplementeerd zijn en c) operationeel effectief zijn tijdens de auditperiode.

Het bekendste en meest geaccepteerde assurance-raamwerk is het SOC 2 ® (Service Organization Control) auditrapport dat gedetailleerde informatie en zekerheid biedt over de security, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy controles van een serviceorganisatie als internationale standaard van AICPA (SOC 2 Trust Service Criteria voor serviceorganisaties, updates van maart 2020). Alle grote dienstverleners (zoals SAP, Oracle, AWS, Hubspot) verstrekken een SOC 2 rapport aan hun klanten. Wij kunnen jou als klant ook een SOC 2 rapport bieden.
: A2: Assurance en SOC 2 ® kennen twee niveaus: type 1 en type 2.

Type 1 houdt in dat een onafhankelijke auditor heeft gecontroleerd of de security en privacy maatregelen aanwezig zijn en aansluiten bij het ontwerp. Type 2 betekent dat de onafhankelijke auditor controleert of de security en privacy maatregelen aanwezig zijn en in lijn zijn met het ontwerp, maar ook controleert of alle security en privacy maatregelen ook operationeel effectief zijn gedurende de auditperiode (afgelopen jaar).

Ons SOC 2® type 2 rapport is dan ook de hoogste mate van zekerheid die wij jou als werkgever kunnen biedenover de geïmplementeerde security en privacy maatregelen.
: A3: Zowel het ISO27k als het assurance SOC 2 raamwerk zijn bekende raamwerken, maar ze bieden een enorm verschil in het niveau en de zekerheid van geïmplementeerde security en privacy maatregelen (S&P).

De belangrijkste voordelen van SOC 2 boven ISO27K zijn:
SOC 2 omvat ook privacy, terwijl ISO27k enkel security omvat.
ISO27k is slechts een opname van de getroffen maatregelen op een bepaald moment (“foto”, type 1). SOC2 levert het bewijs dat de controles het afgelopen jaar operationeel effectief zijn geweest (“video”, type 2).
ISO27k levert een certificaat voor 3 jaar in de toekomst zonder commitment van het management. SOC 2 biedt een ondertekende verklaring van het management over de inzet om het komende jaar S&P-maatregelen te blijven uitvoeren.
“Window dressing” is mogelijk tijdens ISO27k audit. Bijvoorbeeld enkel tijdens de audit zijn alle kwetsbaarheden opgelost en zijn alle medewerkers getraind. Geen “window dressing” is mogelijk voor SOC 2 aangezien de S&P maatregelen het hele jaar effectief moeten zijn.
Het verkrijgen en behouden van het SOC 2 niveau vergt serieuze (out-of-the-pocket) investeringen die de toewijding aantonen van een organisatie die security en privacy serieus neemt.

Uit bovenstaande blijkt dat het SOC 2 type 2 het hoogste niveau van zekerheid biedt dat kan worden geboden over de geïmplementeerde security en privacy. ISO27k biedt geen zekerheid en wordt daarom ook wel een ‘papieren tijger’ genoemd. In de bijgevoegde link kunt u de vergelijking tussen SOC 2 type 2 assurance en ISO27k gedetailleerder bekijken.
: A4: Zoals hierboven vermeld, biedt ons SOC 2 ® assurance rapport de hoogste mate van zekerheid die we jou als werkgever kunnen bieden over de geïmplementeerde security en privacy maatregelen. ISO27k biedt lang niet dezelfde mate van zekerheid over de geïmplementeerde security en privacy maatregelen. SOC 2 ® is superieur aan ISO27k. Daarom heeft het geen toegevoegde waarde om ook een ISO27k-certificaat te hebben.

De gedefinieerde controles zijn afgeleid van en gebaseerd op de internationale standaarden van AICPA (SOC 2 Trust Service Criteria voor serviceorganisaties, updates van maart 2020), ISO (ISO27001: 2022) en BSI (C5:2020 minimumvereisten voor veilige cloud computing). Daarom dekken onze security en privacy maatregelen uit ons raamwerk ook het volledige ISO27k-framework af. Als je wilt, kunnen wij de afdekking van ISO27k door de maatregelen van ons raamwerk laten zien.
: A5: U kunt de samenvatting van het SOC 2 ® rapport krijgen met daarin de inhoudspagina, de verklaring van ons management om de geïmplementeerde security en privacy maatregelen voor het komende jaar voort te zetten, en de verklaring van de externe IT auditbureau KPMG dat onze security en privacy maatregelen operationeel effectief zijn (NB: kortom: ze werken!).

Als je het volledige SOC 2 rapport wilt hebben, dien je een geheimhoudingsverklaring te ondertekenen. Neem hierover contact op met jeaccountmanager.
: A6: Het SOC 2-rapport is gemaakt in het Engels. We hebben geen Nederlandse vertaling.. Indien gewenst, kunnen wij het rapport mondeling toelichten.