Compliance framework
Apa itu kepatuhan SOC 2?
Ringkasnya
Apa yang diatestasi SOC 2, perbedaan Type I dan Type II, perbandingannya dengan ISO 27001, dan kapan perusahaan Indonesia diminta memilikinya.
Sebuah kesepakatan hampir tuntas. Kontrak sudah disusun, harga sudah disepakati, lalu tim keamanan dari pembeli korporat mengirim kuesioner singkat dengan satu baris yang menghentikan semuanya: "Mohon lampirkan laporan SOC 2 terbaru Anda." Kalau Anda punya, Anda kirim dan kesepakatan berjalan. Kalau tidak, proses procurement berhenti sementara pembeli menimbang apakah akan membuat pengecualian atau mundur. Bagi perusahaan software atau jasa Indonesia yang sedang tumbuh dan menjual ke pelanggan yang lebih besar, permintaan itulah yang sering menjadi momen pertama SOC 2 terasa mendesak. Halaman ini menjelaskan apa sebenarnya SOC 2 itu, bagaimana Type I berbeda dari Type II, bagaimana posisinya berdampingan dengan ISO 27001, dan kapan perusahaan Indonesia diminta memilikinya.
Apa itu SOC 2
SOC 2 adalah singkatan dari System and Organization Controls 2. Ini adalah laporan atestasi yang dibuat oleh kantor akuntan publik (CPA) independen berdasarkan standar yang ditetapkan oleh American Institute of Certified Public Accountants (AICPA). Auditor memeriksa cara organisasi Anda mengendalikan data pelanggan dan menerbitkan opini formal tentang apakah kontrol tersebut memenuhi AICPA Trust Services Criteria.
Kata yang perlu dipegang adalah atestasi. Sebuah penugasan SOC 2 tidak menghasilkan sertifikat. Yang dihasilkan adalah laporan, kadang setebal seratus halaman, yang menjelaskan sistem Anda, kontrol yang Anda terapkan, pengujian yang dijalankan auditor, dan opini auditor. Menyebut SOC 2 sebagai sertifikasi adalah kesalahan yang umum, dan itu penting, karena hasil akhir dan prosesnya berbeda dari sebuah standar yang bisa disertifikasi. Tidak ada lembaga akreditasi yang memberikan lencana SOC 2; yang ada adalah kantor akuntan yang mencantumkan namanya pada opini tentang kontrol Anda.
Trust Services Criteria memberi struktur pada laporan itu. Ada lima kriteria:
| Kriteria | Cakupan |
|---|---|
| Security | Perlindungan sistem dan data dari akses tanpa izin. Ini satu-satunya kriteria wajib, disebut juga common criteria, dan setiap laporan SOC 2 memuatnya. |
| Availability | Apakah sistem tersedia untuk dioperasikan dan digunakan sesuai komitmen atau kesepakatan. |
| Processing integrity | Apakah pemrosesan sistem lengkap, valid, akurat, tepat waktu, dan sesuai otorisasi. |
| Confidentiality | Apakah informasi yang ditandai rahasia terlindungi sesuai komitmen. |
| Privacy | Bagaimana data pribadi dikumpulkan, digunakan, disimpan, diungkapkan, dan dimusnahkan. |
Hanya security yang wajib. Empat kriteria lainnya bersifat opsional, dan Anda memasukkannya berdasarkan apa yang penting bagi pelanggan Anda dan apa yang benar-benar Anda lakukan. Penyedia backup mungkin menambahkan availability; pemroses pembayaran mungkin menambahkan processing integrity; perusahaan yang menangani data pribadi mungkin menambahkan privacy. Menyusun ruang lingkup kriteria dengan tepat adalah bagian dari pekerjaan persiapan, karena setiap kriteria yang Anda masukkan menambah kontrol yang akan diuji auditor.
Type I vs Type II
SOC 2 hadir dalam dua jenis laporan, dan pembeli memperlakukannya dengan sangat berbeda. Perbedaannya terletak pada apa yang diperiksa auditor: rancangan kontrol Anda pada satu momen, atau bagaimana kontrol itu beroperasi sepanjang rentang waktu.
| SOC 2 Type I | SOC 2 Type II | |
|---|---|---|
| Yang dinilai auditor | Apakah kontrol dirancang dengan tepat | Apakah kontrol beroperasi secara efektif |
| Kerangka waktu | Satu titik waktu | Satu periode, biasanya 3 sampai 12 bulan |
| Yang ditunjukkan | Kontrol yang tepat ada sesuai deskripsi | Kontrol benar-benar berjalan dari waktu ke waktu |
| Penggunaan umum | Laporan pertama, titik awal yang lebih cepat | Laporan yang diharapkan sebagian besar pembeli korporat |
Type I adalah potret sesaat. Laporan ini menyatakan kontrol Anda dirancang dengan benar pada tanggal tertentu. Lebih cepat dicapai dan sering menjadi langkah pertama. Type II adalah laporan yang lebih menuntut: auditor mengamati kontrol Anda sepanjang jendela waktu yang ditentukan dan menguji apakah kontrol itu beroperasi secara efektif selama periode tersebut. Karena Type II menunjukkan operasi yang berkelanjutan, bukan pemeriksaan rancangan sehari, sebagian besar pembeli serius memintanya. Jalur yang lazim adalah memperoleh Type I lebih dulu, lalu menjaga kontrol tetap berjalan sepanjang periode observasi dan dilanjutkan dengan Type II.
SOC 2 vs ISO 27001
SOC 2 sering disebut bersamaan dengan ISO 27001, dan pembeli terkadang meminta salah satu di antaranya. Keduanya menyelesaikan masalah serupa, membuktikan Anda mengelola keamanan informasi dengan baik, tetapi secara struktur berbeda.
| SOC 2 | ISO 27001 | |
|---|---|---|
| Apa itu | Laporan atestasi oleh kantor akuntan publik | Standar yang bisa disertifikasi dengan sertifikat terakreditasi |
| Hasil akhir | Opini dan laporan auditor | Sertifikat beserta audit yang mendukungnya |
| Kerangka | AICPA Trust Services Criteria | Sistem manajemen keamanan informasi (ISMS) |
| Di mana diharapkan | Pembeli Amerika Utara dan SaaS | Eropa dan Asia, serta pembeli yang ingin sertifikat resmi |
| Pembaruan | Laporan baru setiap periode | Sertifikasi dengan audit surveilans berkala |
Keduanya saling melengkapi, bukan saling meniadakan. ISO 27001 adalah standar yang bisa disertifikasi: Anda membangun sistem manajemen keamanan informasi, lembaga terakreditasi mengauditnya, dan Anda menerima sertifikat. SOC 2 adalah atestasi: kantor akuntan publik memeriksa kontrol Anda dan menerbitkan laporan serta opini. Kontrol di baliknya banyak yang tumpang tindih, sehingga organisasi yang memegang ISO 27001 biasanya mendapati sebagian besar dasar SOC 2 sudah selesai, dan sebaliknya pun berlaku. Jika Anda menimbang jalur sertifikasi, panduan kami tentang sertifikasi ISO 27001 di Indonesia membahas apa yang dilibatkan standar itu secara lokal.
SOC 2 di pasar Indonesia
SOC 2 bukan bagian dari hukum Indonesia. Tidak ada regulator di sini yang mewajibkannya, dan ia tidak menggantikan atau memenuhi kewajiban lokal seperti UU PDP atau aturan sektoral yang diterapkan OJK pada lembaga keuangan. Kewajiban itu berdiri sendiri, dan ringkasan kami tentang regulasi keamanan siber Indonesia menjelaskan apa yang sebenarnya dituntut hukum di sini.
Yang mendorong SOC 2 di Indonesia adalah pasar, bukan lembaran undang-undang. Ia muncul sebagai ekspektasi pembeli. Ketika perusahaan software Indonesia menjual ke perusahaan besar, terutama yang berbasis di Amerika Serikat, tim procurement dan keamanan pembeli sering menjadikan laporan SOC 2 sebagai syarat kontrak. Hal serupa terjadi ketika perusahaan lokal menjadi vendor dalam rantai pasok pihak lain dan mewarisi persyaratan jaminan keamanan mereka. Dalam praktiknya, SOC 2 cenderung datang sebagai penghambat penjualan, bukan tenggat kepatuhan: sebuah kesepakatan sedang menunggunya. Memperlakukannya sebagai alur kerja tata kelola, risiko, dan kepatuhan, bukan kepanikan sesaat, itulah yang mencegahnya menghentikan kesepakatan berikutnya juga.
Posisi Alpha Code
Menyiapkan SOC 2 sebagian besar adalah soal menutup celah antara kontrol yang Anda miliki dan Trust Services Criteria yang akan diuji auditor, lalu menjaga kontrol itu tetap berjalan cukup lama untuk mendukung Type II. Alpha Code menangani pekerjaan dasar itu melalui layanan Konsultasi Kepatuhan & GRC: menentukan kriteria mana yang berlaku bagi Anda, menjalankan asesmen kesiapan terhadap kriteria itu, menutup celahnya, dan menyiapkan bukti agar audit berjalan mulus. Kantor akuntan menerbitkan laporannya; pekerjaan menyiapkan diri untuk laporan itulah tempat mitra lokal yang paham kriteria sekaligus konteks Indonesia paling menghemat waktu.
Ditinjau oleh Mohit Bhansali, Head of Technology
Pertanyaan umum
SOC 2 adalah laporan atestasi yang dibuat oleh kantor akuntan publik (CPA) independen yang memeriksa cara sebuah organisasi jasa mengendalikan data pelanggan berdasarkan AICPA Trust Services Criteria. Ini adalah laporan, bukan sertifikasi. Tidak ada sertifikat SOC 2 yang bisa dipajang; hasil akhirnya adalah opini auditor tentang apakah kontrol Anda memenuhi kriteria tersebut.
Terkait
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.