SOC 2は、顧客データを保管、処理、または送信するサービス組織のトラストベンチマークです。ある時点でのコントロール設計を示すType Iレポートが必要な場合でも、レビュー期間にわたる運用上の有効性を証明するType IIレポートが必要な場合でも、このプロセスには正確なコントロールマッピング、徹底した証跡収集、Trust Services Criteriaの明確な理解が求められます。
Top Floorはお客様のチームと直接協力し、ギャップを特定し、統制環境を構築または改善し、クリーンな監査に備えます。既存の統制を該当するTrust Services Criteria(セキュリティ、可用性、処理の完全性、機密性、プライバシー)にマッピングし、必要に応じてポリシーを策定し、監査人が到着した際に何も欠けていないよう証跡収集をガイドします。
当社のプラクティショナーは、SaaS、フィンテック、ヘルスケア組織にわたるSOC 2エンゲージメントをサポートしてきました。一般的なチェックリストからテンプレート化されたものではなく、お客様の実際の環境に合わせてすべての成果物を作成します。
Frameworks: AICPA Trust Services Criteria (SOC 2)
対象となる方
- エンタープライズ見込み客からSOC 2の要求を受けているSaaS企業
- 顧客データを処理するクラウドホスティング型サービスプロバイダー
- 財務記録や決済データを扱うフィンテックプラットフォーム
- ビジネスデータと並行してPHIを管理するヘルスケアテクノロジーベンダー
- 初めてのSOC 2監査に備えるスタートアップ
提供内容
- Trust Services Criteriaに対するギャップ評価
- 証跡要件を含むコントロールマッピングマトリックス
- ポリシーおよび手順の策定または是正
- 整理された証跡を含む監査レディネスパッケージ
- 審査を通じた監査人との連携・サポート
- 是正追跡と監査後の振り返り
CPAファームの独立性
SOC 2審査は、独立した認可CPA事務所が実施し、署名します。当社のアドバイザリー業務とCPA事務所による審査は、AICPAの独立性基準に従い、別々のエンゲージメントプロトコルのもとで行われます。この体制により、独立した証明の誠実性を保ちながら、調整の取れたエンゲージメントの利便性を提供いたします。
よくあるご質問
ペネトレーションテストでSOC 2コンプライアンスを強化する
実際の攻撃シミュレーションでセキュリティ統制を検証します。OSCP認定プラクティショナーが、外部・内部・Webアプリ・モバイル・API・IoT・ワイヤレス・Red Teamの8分野にわたる手動・方法論ベースのテストを実施します。
ペネトレーションテストを詳しく見る