SOC 2 Type II —
Goed gedaan.

Amerikaanse enterprise-kopers eisen het. Wij implementeren de maatregelen, genereren het bewijsmateriaal en ondersteunen uw audit.

SOC 2 wordt het toegangsbewijs voor Amerikaanse enterprise sales

Elke inkoopchecklist van een Amerikaanse enterprise vraagt om SOC 2 Type II. Het is geen onderscheidende factor meer — het is een vereiste. Kunt u geen rapport overleggen, dan komt de deal niet verder.

Alleen Type I is voor serieuze kopers niet meer voldoende. Een Type I-rapport zegt dat uw maatregelen op een bepaald moment goed ontworpen waren. Een Type II-rapport zegt dat ze maandenlang ook daadwerkelijk werkten. Inkoopteams van enterprises kennen het verschil.

De Trust Service Criteria zijn breder dan de meeste mensen verwachten — Security, Availability, Confidentiality, Processing Integrity en Privacy. Elke categorie bevat tientallen control-vereisten en bijbehorende evidence-verplichtingen.

De meeste bedrijven onderschatten de last van evidence-generatie. De maatregelen zijn het makkelijke deel. Aantonen dat ze 6 à 12 maanden consistent zijn uitgevoerd is waar de meeste teams zonder dedicated infrastructuur op vastlopen.

Belangrijke feiten

  • Observatieperiode:
    6–12 maanden (Type II)
  • Met Veratlas:
    Maatregelen live in 90 dagen — observatie start direct
  • Ondersteunde criteria:
    Security (CC), Availability (A), Confidentiality (C)
  • Auditor:
    Uw keuze — wij leveren alle benodigde evidence aan

De route

Drie stappen naar uw SOC 2-rapport.

01

Assess

Security Assessment

Brengt uw huidige situatie in kaart tegen de Trust Service Criteria. Wij identificeren tekortkomingen in CC6 (logical access), CC7 (system operations), CC8 (change management) en de overige Common Criteria — en leveren een geprioriteerd herstelplan.

€2.500 — volledig verrekend met de Sprint als u doorgaat.

02

Bouwen

90-Day Accelerator

Wij implementeren alle technische maatregelen over de Common Criteria heen: MFA, MDM, SIEM, access reviews, change management-procedures en incident response. Na 90 dagen beschikt u over een volledig operationele control-omgeving en een evidence-pack klaar voor de start van uw observatieperiode.

Vaste prijs €28.000. Geen verrassingen.

03

Runnen

The Compliance Engine™

Continue evidence-generatie gedurende de hele observatieperiode. Geautomatiseerde evidence-verzameling, kwartaal-access reviews, vier vendor assessments per kwartaal en jaarlijkse audit-ondersteuning. Uw auditor ontvangt een nette, geordende evidence-pack — en u krijgt een SOC 2 Type II-rapport.

Vanaf €120 per gebruiker per maand.

SOC 2-dekking

Wij dekken de criteria die er het meest toe doen.

Common Criteria (CC) — Security

  • CC6 — Logische en fysieke toegangscontrole
  • CC7 — Monitoring van systeemoperaties
  • CC8 — Change management
  • CC9 — Risicobeperking
  • CC1 — Control-omgeving en governance
  • CC2 — Communicatie en informatie
  • CC3 — Risicobeoordeling
  • CC4 — Monitoringactiviteiten
  • CC5 — Control-activiteiten

Aanvullende criteria

  • Availability (A1) — Systeembeschikbaarheid en back-up
  • Confidentiality (C1) — Dataclassificatie en bescherming
  • Incident response — Gedocumenteerd, getest en bewezen
  • Vendor management — Vier assessments per kwartaal
  • Access reviews — Per kwartaal, met gedocumenteerde uitkomsten
  • Change advisory process — Bijgehouden en goedgekeurd
  • Vulnerability management — Geplande scans en remediation

Veelgestelde vragen

Veelgestelde vragen.

Type I is een momentopname die beoordeelt of uw maatregelen passend zijn ontworpen. Type II toetst of die maatregelen daadwerkelijk effectief hebben gewerkt over een periode — meestal 6 tot 12 maanden. Amerikaanse enterprise-kopers eisen steeds vaker Type II. Een Type I-rapport kan helpen om een eerste gesprek vooruit te krijgen, maar zal een volwassen inkoopteam niet tevredenstellen.
De meeste auditors accepteren een observatieperiode van minimaal 6 maanden voor Type II. Sommige enterprise-kopers vereisen 12 maanden. Wij adviseren om de observatieperiode te starten zodra de maatregelen live zijn — dat is met onze Sprint op dag 91. Hoe eerder u de klok start, hoe eerder u een rapport heeft om aan kopers te tonen.
Wij adviseren over CPA-kantoren met accreditatie voor SOC 2-audits die passen bij uw omvang en budget. SOC 2-audits moeten worden uitgevoerd door een licensed CPA-kantoor — wij helpen u het juiste kantoor te vinden en bereiden alles voor wat zij nodig hebben. Wij nemen geen referral fees aan.
Ja, en er is aanzienlijke overlap tussen de twee frameworks. De 90-Day Accelerator levert een control-omgeving en evidence-pack op die beide ondersteunt. Parallel oppakken is de meest efficiënte route als uw klantenbestand zowel Europa als de VS omvat. Plan een verkennend gesprek en wij stippelen het meest efficiënte pad uit voor uw specifieke situatie.

Klaar om te beginnen?

Draag security niet
langer alleen.

Plan een verkennend gesprek van 30 minuten. Geen salespitch. Gewoon een eerlijk gesprek over waar u staat en wat er nodig is om audit-klaar te worden.

Plan een verkennend gesprek Ontvang uw gratis Snapshot →

Verkennend gesprek van 30 minuten · Geen verplichtingen · Europa & VS