AICPA Trust Services Criteria | הכנה לביקורת

SOC 2 Type I & II
לחברות SaaS ישראליות

לקוחות Enterprise אמריקאים דורשים SOC 2 לפני כל עסקת B2B. SYBER מכינה חברות ישראליות לביקורת SOC 2 Type I ו-Type II - מ-Gap Analysis ועד קבלת הדוח הרשמי.

058-759-0000 | ייעוץ חינם קבלו הצעת מחיר

למה חברות ישראליות צריכות SOC 2?

חברות SaaS ו-B2B ישראליות שמוכרות בשוק האמריקאי מקבלות שאלוני אבטחה ו-RFPs מלקוחות Enterprise. בשלב מסוים הדרישה הופכת לברורה: "שלחו לנו עותק ה-SOC 2 Type II שלכם."

בלי SOC 2, העסקה עשויה להיתקע - גם אם המוצר מצוין. לקוחות Enterprise, קרנות VC, ולקוחות בסקטורים מפוקחים (פיננסים, בריאות, ביטוח) מסתמכים על דוח SOC 2 כהוכחה אובייקטיבית לאבטחה.

Type I או Type II?

בחרו את הסוג המתאים לשלב החברה ולדרישות הלקוח

📸

SOC 2 Type I

מה בודקים:נקודת זמן אחת

משך הכנה:1-3 חודשים

מתאים ל:חברות בשלב מוקדם, לקוחות ראשונים

בוחן האם הבקרות מוגדרות ותועדות נכון ביום הביקורת.

🎬

SOC 2 Type II

מה בודקים:תקופה של 6–12 חודשים

משך הכנה:6-12 חודשים

מתאים ל:Enterprise, SaaS בוגרים, לקוחות אמריקאים

בוחן האם הבקרות פועלות בפועל ובאופן עקבי לאורך זמן. המסמך המבוקש ביותר.

5 Trust Service Criteria (TSC)

Security הוא חובה. שאר הקריטריונים נוספים לפי דרישת הלקוח ואופי העסק

Security (CC)

חובה

הקריטריון החובה - מגן מפני גישה בלתי מורשית, Data Breach ושיבוש שירות. כולל MFA, הצפנה, ניטור ותגובה לאירועים.

Availability

עמידה ב-SLA; BCP ו-DRP; יכולת שחזור לאחר כשל. קריטי לחברות שמבטיחות Uptime ללקוחות.

Processing Integrity

עיבוד מידע מדויק, מורשה ובזמן. רלוונטי לחברות תשלומים, ERP ומערכות B2B קריטיות.

Confidentiality

הגנה על מידע מסווג - NDA, שמירת סודות מסחריים, הגבלת גישה לנתוני לקוחות רגישים.

Privacy

עמידה בעקרונות הגנת הפרטיות: הודעה, בחירה, איסוף, שימוש, גישה, גילוי, אבטחה ואכיפה.

תהליך ההכנה ל-SOC 2

6 שלבים מ-Gap Analysis ועד קבלת הדוח

Gap Analysis

מיפוי הפערים בין הבקרות הנוכחיות לדרישות SOC 2 Security (וקריטריונים נוספים לפי בחירה). תוצר: דוח פערים עם עדיפויות ותכנית עבודה.

Policy & Procedure

כתיבת נהלי אבטחה, בקרת גישה, ניהול אירועים, ניהול ספקים ועוד - בהתאמה ל-Trust Service Criteria. תיעוד שנדרש לאישור ה-Auditor.

Evidence Collection

הטמעת Vanta, Drata או Sprinto לאוטומציה של איסוף עדויות: לוגים, הגדרות, גישות, דוחות. מפחית עשרות שעות עבודה ידנית.

Observation Period

לSOC 2 Type II: 6-12 חודשים שבהם הבקרות פועלות ומתועדות. SYBER מנהלת את התקופה, עוקבת אחרי חריגים ומוודאת רציפות.

מבדק פנימי

בדיקה מקדמית לפני ה-CPA Audit - מזהה חולשות, מוודא שכל העדויות מוכנות, ומונע הפתעות ביום הביקורת.

CPA Audit & Report

ליווי מול גוף הביקורת (BDO, Deloitte, Schellman וכו'). SYBER מתאמת, עונה לשאלות, ומנהלת את הקשר עם האודיטור עד לקבלת הדוח.

שאלות נפוצות על SOC 2

מה זה SOC 2 ולמה לקוחות מבקשים אותו?

SOC 2 (Service Organization Control 2) הוא מסגרת ביקורת שפיתחה AICPA לחברות SaaS וענן. לקוחות Enterprise - בעיקר אמריקאים - מבקשים אותו כדי לאמת שהספק מנהל אבטחת מידע, זמינות, שלמות עיבוד, סודיות ופרטיות ברמה מקצועית. בלי SOC 2, חברות ישראליות רבות מפסידות עסקאות B2B בארה"ב.

מה ההבדל בין SOC 2 ל-ISO 27001?

ISO 27001 הוא תקן בינלאומי (ISO/IEC) שנפוץ בעיקר בשווקים האירופאיים והישראלי. SOC 2 הוא מסגרת אמריקאית (AICPA) שנפוצה בשוק האמריקאי. שניהם מוכיחים אבטחת מידע, אך ל-SOC 2 יש "דוח ביקורת" שמוציא CPA מוסמך, ואילו ISO 27001 מנפיק תעודת הסמכה. חברות שמכוונות לשוק אמריקאי + ישראלי/אירופאי לעיתים מיישמות את שניהם.

מה ה-Trust Service Criteria (TSC) המינימלי לעמידה ב-SOC 2?

כמה זמן לוקח להכין SOC 2 Type II?

SOC 2 Type II מחייב Observation Period של 6–12 חודשים שבו הבקרות פועלות ומתועדות. בפועל: (1) הכנה וGap Analysis: 1-2 חודשים; (2) Readiness Period - יישום בקרות ותיעוד: 3-4 חודשים; (3) Observation Period: 6+ חודשים; (4) ביקורת CPA: 4-8 שבועות. ציר זמן כולל: 9-14 חודשים מנקודת אפס. Type I מהיר יותר: 2-4 חודשים.

מי מבצע את ביקורת SOC 2?

מה כולל תהליך הכנת SOC 2 של SYBER?

הכנת SOC 2 כוללת: (1) Gap Analysis - מיפוי הפערים בין המצב הנוכחי לדרישות SOC 2; (2) כתיבת Policy & Procedure עבור כל TSC; (3) בחירה ויישום של כלי Evidence Collection (Vanta, Drata, Sprinto); (4) הגדרת מנגנוני ניטור ולוגינג; (5) מבדק פנימי לפני ה-CPA Audit; (6) ליווי בתקשורת מול ה-Auditor. מהיום הראשון ועד לקבלת הדוח.

האם חברה ישראלית יכולה להשיג SOC 2?

מה ההבדל בין SOC 2 Type I ל-SOC 2 Type II מבחינה מעשית?

SOC 2 Type I הוא "צילום רגע" - בוחן האם הבקרות מוגדרות נכון ביום ספציפי. SOC 2 Type II הוא "סרט" - בוחן האם הבקרות עבדו בפועל לאורך תקופה (6-12 חודשים). לקוחות Enterprise מבקשים כמעט תמיד Type II. Type I מתאים להוכחה ראשונית ולחברות בשלב מוקדם שרוצות "להתחיל מהר".