SOC 2
SOC 2 (System and Organization Controls 2) est une procédure d'audit américaine de l'AICPA qui examine les contrôles d'un prestataire selon cinq critères : sécurité, disponibilité, confidentialité, vie privée et intégrité du traitement.
Les rapports SOC 2 existent en deux types : le type I évalue la conception des contrôles à une date donnée, le type II évalue leur efficacité sur une période typiquement de 6 à 12 mois. Les auditeurs sont des cabinets CPA américains. Contrairement à ISO 27001, SOC 2 n'est pas une norme internationale mais une procédure CPA américaine - en pratique néanmoins un quasi-standard pour les éditeurs SaaS américains.
Pour les fournisseurs d'IA, SOC 2 est exigé dans la plupart des achats américains. Les entreprises européennes qui vendent aux États-Unis ou travaillent avec des prestataires américains traitent SOC 2 comme un ticket d'entrée. Nous combinons généralement SOC 2 avec ISO 27001 (international) et mappons les contrôles sur les obligations des articles 9 à 15 du Règlement IA.