SOC 2

SOC 2 (System and Organization Controls 2) est un cadre d'audit indépendant édité par l'AICPA (American Institute of CPAs) attestant qu'un prestataire de services maîtrise ses contrôles internes sur cinq critères dits "Trust Services" : Sécurité, Disponibilité, Intégrité du traitement, Confidentialité, Vie privée. Il existe deux types de rapports : Type I (description à un instant donné) et Type II (efficacité opérationnelle sur 6 à 12 mois). Standard de facto pour les éditeurs SaaS adressant le marché américain, il est complémentaire et non exclusif d'ISO 27001, qui couvre la gouvernance d'un SMSI tandis que SOC 2 audite l'efficacité des contrôles.