SOC 2 · Preparation Kit
Chuẩn bị SOC 2 Type I và Type II
Bộ tài liệu chuẩn bị cho SOC 2 audit, từ Trust Service Criteria mapping đến evidence collection. Phù hợp với SaaS Việt Nam nhắm thị trường Mỹ và Canada.
Nhận hỗ trợ từ pTrackly →1. Scope & TSC Selection
- □ Xác định service(s) trong scope, thường là production system
- □ Chọn TSC bắt buộc: Security (CC) luôn required
- □ Evaluate thêm: Availability, Confidentiality, Processing Integrity, Privacy
- □ Quyết định Type I (nhanh) hay Type II (enterprise-grade)
2. Controls Mapping
- □ Map controls hiện có vào Common Criteria (CC1-CC9)
- □ Identify gaps, controls chưa có hoặc chưa đủ
- □ Build System Description, mô tả hệ thống và controls
- □ Policies phải cover: Access Control, Change Management, Risk, Incident
3. Evidence Collection (Type II)
- □ Xác định evidence type cho mỗi control (automated vs manual)
- □ Observation period: tối thiểu 6 tháng, bắt đầu thu thập sớm
- □ Evidence examples: access logs, change tickets, incident reports, training records
- □ Centralize evidence, dễ dàng share với auditor
4. Chọn CPA Firm Auditor
- □ Auditor phải là CPA firm được AICPA license
- □ Firms quen với SaaS/tech: BARR Advisory, Prescient Assurance, A-LIGN, Johanson Group
- □ Request proposal từ ít nhất 2-3 firms
- □ Timeline audit thường: 4-8 tuần từ kick-off đến report
5. Sau khi có SOC 2 Report
- □ Type I report valid: không expire nhưng enterprise thường yêu cầu recent (< 1 năm)
- □ Type II: annual renewal audit thường được khuyến nghị
- □ Prepare executive summary để chia sẻ với prospective customers
- □ Trust Center / Security page để publish SOC 2 availability
pTrackly giúp bạn triển khai SOC 2 nhanh hơn với templates và evidence collection tự động.
Đặt Demo Miễn PhíSẵn sàng cho audit?
Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.
Đặt Demo Miễn Phí 15 phút, không ràng buộc Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào