Langsung ke konten utama

Compliance framework

Apa itu kepatuhan SOC 2?

Ringkasnya

Apa yang diatestasi SOC 2, perbedaan Type I dan Type II, perbandingannya dengan ISO 27001, dan kapan perusahaan Indonesia diminta memilikinya.

Compliance solutions

Sebuah kesepakatan hampir tuntas. Kontrak sudah disusun, harga sudah disepakati, lalu tim keamanan dari pembeli korporat mengirim kuesioner singkat dengan satu baris yang menghentikan semuanya: "Mohon lampirkan laporan SOC 2 terbaru Anda." Kalau Anda punya, Anda kirim dan kesepakatan berjalan. Kalau tidak, proses procurement berhenti sementara pembeli menimbang apakah akan membuat pengecualian atau mundur. Bagi perusahaan software atau jasa Indonesia yang sedang tumbuh dan menjual ke pelanggan yang lebih besar, permintaan itulah yang sering menjadi momen pertama SOC 2 terasa mendesak. Halaman ini menjelaskan apa sebenarnya SOC 2 itu, bagaimana Type I berbeda dari Type II, bagaimana posisinya berdampingan dengan ISO 27001, dan kapan perusahaan Indonesia diminta memilikinya.

Apa itu SOC 2

SOC 2 adalah singkatan dari System and Organization Controls 2. Ini adalah laporan atestasi yang dibuat oleh kantor akuntan publik (CPA) independen berdasarkan standar yang ditetapkan oleh American Institute of Certified Public Accountants (AICPA). Auditor memeriksa cara organisasi Anda mengendalikan data pelanggan dan menerbitkan opini formal tentang apakah kontrol tersebut memenuhi AICPA Trust Services Criteria.

Kata yang perlu dipegang adalah atestasi. Sebuah penugasan SOC 2 tidak menghasilkan sertifikat. Yang dihasilkan adalah laporan, kadang setebal seratus halaman, yang menjelaskan sistem Anda, kontrol yang Anda terapkan, pengujian yang dijalankan auditor, dan opini auditor. Menyebut SOC 2 sebagai sertifikasi adalah kesalahan yang umum, dan itu penting, karena hasil akhir dan prosesnya berbeda dari sebuah standar yang bisa disertifikasi. Tidak ada lembaga akreditasi yang memberikan lencana SOC 2; yang ada adalah kantor akuntan yang mencantumkan namanya pada opini tentang kontrol Anda.

Trust Services Criteria memberi struktur pada laporan itu. Ada lima kriteria:

KriteriaCakupan
SecurityPerlindungan sistem dan data dari akses tanpa izin. Ini satu-satunya kriteria wajib, disebut juga common criteria, dan setiap laporan SOC 2 memuatnya.
AvailabilityApakah sistem tersedia untuk dioperasikan dan digunakan sesuai komitmen atau kesepakatan.
Processing integrityApakah pemrosesan sistem lengkap, valid, akurat, tepat waktu, dan sesuai otorisasi.
ConfidentialityApakah informasi yang ditandai rahasia terlindungi sesuai komitmen.
PrivacyBagaimana data pribadi dikumpulkan, digunakan, disimpan, diungkapkan, dan dimusnahkan.

Hanya security yang wajib. Empat kriteria lainnya bersifat opsional, dan Anda memasukkannya berdasarkan apa yang penting bagi pelanggan Anda dan apa yang benar-benar Anda lakukan. Penyedia backup mungkin menambahkan availability; pemroses pembayaran mungkin menambahkan processing integrity; perusahaan yang menangani data pribadi mungkin menambahkan privacy. Menyusun ruang lingkup kriteria dengan tepat adalah bagian dari pekerjaan persiapan, karena setiap kriteria yang Anda masukkan menambah kontrol yang akan diuji auditor.

Type I vs Type II

SOC 2 hadir dalam dua jenis laporan, dan pembeli memperlakukannya dengan sangat berbeda. Perbedaannya terletak pada apa yang diperiksa auditor: rancangan kontrol Anda pada satu momen, atau bagaimana kontrol itu beroperasi sepanjang rentang waktu.

SOC 2 Type ISOC 2 Type II
Yang dinilai auditorApakah kontrol dirancang dengan tepatApakah kontrol beroperasi secara efektif
Kerangka waktuSatu titik waktuSatu periode, biasanya 3 sampai 12 bulan
Yang ditunjukkanKontrol yang tepat ada sesuai deskripsiKontrol benar-benar berjalan dari waktu ke waktu
Penggunaan umumLaporan pertama, titik awal yang lebih cepatLaporan yang diharapkan sebagian besar pembeli korporat

Type I adalah potret sesaat. Laporan ini menyatakan kontrol Anda dirancang dengan benar pada tanggal tertentu. Lebih cepat dicapai dan sering menjadi langkah pertama. Type II adalah laporan yang lebih menuntut: auditor mengamati kontrol Anda sepanjang jendela waktu yang ditentukan dan menguji apakah kontrol itu beroperasi secara efektif selama periode tersebut. Karena Type II menunjukkan operasi yang berkelanjutan, bukan pemeriksaan rancangan sehari, sebagian besar pembeli serius memintanya. Jalur yang lazim adalah memperoleh Type I lebih dulu, lalu menjaga kontrol tetap berjalan sepanjang periode observasi dan dilanjutkan dengan Type II.

SOC 2 vs ISO 27001

SOC 2 sering disebut bersamaan dengan ISO 27001, dan pembeli terkadang meminta salah satu di antaranya. Keduanya menyelesaikan masalah serupa, membuktikan Anda mengelola keamanan informasi dengan baik, tetapi secara struktur berbeda.

SOC 2ISO 27001
Apa ituLaporan atestasi oleh kantor akuntan publikStandar yang bisa disertifikasi dengan sertifikat terakreditasi
Hasil akhirOpini dan laporan auditorSertifikat beserta audit yang mendukungnya
KerangkaAICPA Trust Services CriteriaSistem manajemen keamanan informasi (ISMS)
Di mana diharapkanPembeli Amerika Utara dan SaaSEropa dan Asia, serta pembeli yang ingin sertifikat resmi
PembaruanLaporan baru setiap periodeSertifikasi dengan audit surveilans berkala

Keduanya saling melengkapi, bukan saling meniadakan. ISO 27001 adalah standar yang bisa disertifikasi: Anda membangun sistem manajemen keamanan informasi, lembaga terakreditasi mengauditnya, dan Anda menerima sertifikat. SOC 2 adalah atestasi: kantor akuntan publik memeriksa kontrol Anda dan menerbitkan laporan serta opini. Kontrol di baliknya banyak yang tumpang tindih, sehingga organisasi yang memegang ISO 27001 biasanya mendapati sebagian besar dasar SOC 2 sudah selesai, dan sebaliknya pun berlaku. Jika Anda menimbang jalur sertifikasi, panduan kami tentang sertifikasi ISO 27001 di Indonesia membahas apa yang dilibatkan standar itu secara lokal.

SOC 2 di pasar Indonesia

SOC 2 bukan bagian dari hukum Indonesia. Tidak ada regulator di sini yang mewajibkannya, dan ia tidak menggantikan atau memenuhi kewajiban lokal seperti UU PDP atau aturan sektoral yang diterapkan OJK pada lembaga keuangan. Kewajiban itu berdiri sendiri, dan ringkasan kami tentang regulasi keamanan siber Indonesia menjelaskan apa yang sebenarnya dituntut hukum di sini.

Yang mendorong SOC 2 di Indonesia adalah pasar, bukan lembaran undang-undang. Ia muncul sebagai ekspektasi pembeli. Ketika perusahaan software Indonesia menjual ke perusahaan besar, terutama yang berbasis di Amerika Serikat, tim procurement dan keamanan pembeli sering menjadikan laporan SOC 2 sebagai syarat kontrak. Hal serupa terjadi ketika perusahaan lokal menjadi vendor dalam rantai pasok pihak lain dan mewarisi persyaratan jaminan keamanan mereka. Dalam praktiknya, SOC 2 cenderung datang sebagai penghambat penjualan, bukan tenggat kepatuhan: sebuah kesepakatan sedang menunggunya. Memperlakukannya sebagai alur kerja tata kelola, risiko, dan kepatuhan, bukan kepanikan sesaat, itulah yang mencegahnya menghentikan kesepakatan berikutnya juga.

Posisi Alpha Code

Menyiapkan SOC 2 sebagian besar adalah soal menutup celah antara kontrol yang Anda miliki dan Trust Services Criteria yang akan diuji auditor, lalu menjaga kontrol itu tetap berjalan cukup lama untuk mendukung Type II. Alpha Code menangani pekerjaan dasar itu melalui layanan Konsultasi Kepatuhan & GRC: menentukan kriteria mana yang berlaku bagi Anda, menjalankan asesmen kesiapan terhadap kriteria itu, menutup celahnya, dan menyiapkan bukti agar audit berjalan mulus. Kantor akuntan menerbitkan laporannya; pekerjaan menyiapkan diri untuk laporan itulah tempat mitra lokal yang paham kriteria sekaligus konteks Indonesia paling menghemat waktu.

Ditinjau oleh Mohit Bhansali, Head of Technology

Pertanyaan umum

SOC 2 adalah laporan atestasi yang dibuat oleh kantor akuntan publik (CPA) independen yang memeriksa cara sebuah organisasi jasa mengendalikan data pelanggan berdasarkan AICPA Trust Services Criteria. Ini adalah laporan, bukan sertifikasi. Tidak ada sertifikat SOC 2 yang bisa dipajang; hasil akhirnya adalah opini auditor tentang apakah kontrol Anda memenuhi kriteria tersebut.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.