TECHTERRA SERVICES

+420 606 200 600

SOC 2


Odpovědnost za SOC 2

Bezpečnost, důvěra a auditovaná realita digitálních služeb

Certifikace SOC 2 dnes představuje jeden z nejdůležitějších standardů pro poskytovatele digitálních služeb, cloudových platforem a technologických řešení.

Na rozdíl od legislativních rámců, jako jsou GDPR, NIS2 nebo DORA, je SOC 2 dobrovolný rámec – ale stále častěji se z něj stává de facto nutnost, zejména pokud organizace poskytuje služby v USA, mezinárodním klientům, nebo působí v SaaS/cloud sféře.

A s touto praxí přichází i klíčová otázka:

Kdo v organizaci odpovídá za naplnění požadavků SOC 2?

🔎 Co je SOC 2?

SOC 2 (Service Organization Control 2) je nezávislý auditní standard vytvořený AICPA (American Institute of Certified Public Accountants).

Nejde o „certifikát“ jako ISO 27001, ale o auditní zprávu, která dokládá, že organizace plní definovaná bezpečnostní kritéria v oblastech tzv. TSC – Trust Services Criteria:

  1. Security (Bezpečnost) – základní pilíř každé SOC 2 zprávy.

  2. Availability (Dostupnost) – schopnost zajistit provoz systémů.

  3. Processing Integrity (Integrita zpracování) – správnost a úplnost procesů.

  4. Confidentiality (Důvěrnost) – ochrana citlivých dat.

  5. Privacy (Ochrana soukromí) – shoda se zásadami ochrany osobních údajů (např. GDPR).

🔐 SOC 2 v kontextu odpovědnosti

SOC 2 vyžaduje, aby organizace:

  • měla definované role a odpovědnosti,

  • prokazatelně řídila bezpečnostní opatření a incidenty,

  • zavedla interní kontroly v rámci celého životního cyklu služby,

  • udržovala dokumentaci a záznamy, které může auditor ověřit.

To znamená, že odpovědnost za SOC 2 se netýká pouze IT, ale i:

  • vedení firmy,

  • compliance oddělení,

  • provozu,

  • HR,

  • zákaznické podpory.

📌 Kdo za co odpovídá?
Role
Odpovědnost v rámci SOC 2

CEO / Vedení

Strategické rozhodnutí, řízení rizik, kultura bezpečnosti, schválení politik


CISO / Security Officer

Tvorba a implementace bezpečnostních opatření dle TSC, řízení incidentů


IT / DevOps tým

Technické kontroly, dostupnost, řízení přístupů, zálohování, aktualizace


Compliance / Legal

Dohled nad souladem s pravidly (Privacy, GDPR, smlouvy, povinnosti)


HR / Lidské zdroje

Prověrky zaměstnanců, školení, procesy onboarding/offboarding


Zaměstnanci obecně

Povinnost dodržovat pravidla, školení, hlášení incidentů


🔁 SOC 2 a souvislosti s dalšími standardy a regulacemi

Oblast

GDPR

Řízení přístupů              ✅

Záznamy a logování     ✅

Incident response         ✅

Cloudová infrastr.         🔸

Ochrana soukromí        ✅

Interní audity                 🔸

Oblast

ISO 27001

Řízení přístupů              ✅

Záznamy a logování     ✅

Incident response         ✅

Cloudová infrastr.         ✅

Ochrana soukromí        🔸

Interní audity                 ✅

Oblast

NIS2

Řízení přístupů              ✅

Záznamy a logování     ✅

Incident response         ✅

Cloudová infrastr.         🔸

Ochrana soukromí        🔸

Interní audity                 ✅

Oblast

DORA

Řízení přístupů              ✅

Záznamy a logování     ✅

Incident response         ✅

Cloudová infrastr.         ✅

Ochrana soukromí        🔸

Interní audity                 ✅

Oblast

SOC 2

Řízení přístupů              ✅

Záznamy a logování     ✅

Incident response         ✅

Cloudová infrastr.         ✅

Ochrana soukromí        ✅ (Privacy TSC)

Interní audity                 ✅

= přímý požadavek

🔸 = částečně nebo v závislosti na typu subjektu

⚠️ Rizika nedostatečné odpovědnosti

Pokud v organizaci není jasně stanoveno kdo za co odpovídá v rámci bezpečnosti a provozu, může dojít k:

  • nesplnění kontrolních požadavků v rámci auditu,

  • reputačnímu poškození (např. po úniku dat),

  • právní zodpovědnosti, pokud klient nebo partner utrpí škodu,

  • odmítnutí spolupráce ze strany větších zákazníků (v B2B je SOC 2 často „must-have“).

🧩 Příklady požadovaných opatření v rámci SOC 2

🔐 Kontrola přístupů (Access Control)

  • Povinné MFA, segmentace přístupových práv, revize přístupů.

📄 Politiky a dokumentace

  • Politika bezpečnosti, incident response plán, politika ochrany soukromí.

🧠 Školení a testování zaměstnanců

  • Povinné kybernetické školení, phishingové testy, školení o citlivých datech.

📋 Záznamy a logování (Audit Trails)

  • Evidence aktivit, logy přístupů, monitoring systémových událostí.

📦 Dodavatelský řetězec (Vendor Management)

  • Prověření třetích stran, smlouvy o zpracování dat (DPA), dohled nad SLA.

🛠️ Typy odpovědnosti dle SOC 2 reportu

  • Typ I: audit ke konkrétnímu datu – zda jsou opatření zavedená.

  • Typ II: audit za období (např. 6 měsíců) – zda opatření fungují v praxi.

Pro dosažení Typu II musí organizace dlouhodobě řídit odpovědnosti, dokumentaci a monitoring.

✅ Na co nezapomenout?

  • Převést odpovědnost do praxe – ne jen na papír.

  • Zajistit celofiremní spolupráci – SOC 2 se netýká jen IT.

  • Školit zaměstnance – bezpečnost začíná u uživatelů.

  • Zavést automatizaci – pro logování, alerty, monitoring.

  • Reagovat na incidenty – včas, strukturovaně, dokumentovaně.

  • Zapojit externí partnery – např. pro penetrační testy, audit readiness.

🧭 Závěr: SOC 2 = důkaz odpovědného chování

SOC 2 není jen o dodržení checklistu – je to osvědčení o kultuře bezpečnosti, transparentnosti a odpovědnosti vůči klientům a partnerům.

A i když je standard původem americký, jeho principy jsou zcela kompatibilní s evropským prostředím – GDPR, NIS2, DORA či ISO 27001.

Pomáháme firmám:

  • připravit se na SOC 2 audit,

  • nastavit role a odpovědnosti,

  • zavést bezpečnostní a provozní opatření,

  • sladit SOC 2 s požadavky NIS2 a ISO 27001,

  • trvale udržet důvěru zákazníků a obchodních partnerů.

Důvěra je dnes otázkou odpovědnosti – a SOC 2 je způsob, jak ji doložit. Pomůžeme vám být připraveni.