Los informes de los controles se denominan SOC1, SOC2 y SOC3.

El informe SOC1 aborda específicamente los controles internos del proveedor de servicios relevantes para los estados financieros de sus clientes y tiene como objetivo establecer básicamente la comunicación entre los auditores de los proveedores de servicios y las empresas. sus empresas clientes.

SOC 2 es un informe de auditoría sobre controles relacionados con una o más de las siguientes áreas: seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad. El alcance del informe varía según cuáles de estos atributos decida incluir el proveedor de servicios. Las auditorías de SOC 2 se realizan según los estándares estadounidenses.

Los informes SOC 1 y SOC 2 pueden ser Tipo 1 o Tipo 2. Un informe Tipo 1 se limita a una evaluación de cómo se diseñan los controles de seguridad. No incluye una evaluación de la efectividad con la que operan los controles. Un informe de Tipo 2 incluye una evaluación del diseño y la efectividad operativa de los controles de seguridad.

SOC 3 presenta información sobre aspectos de seguridad, privacidad, disponibilidad, confidencialidad e integridad en el procesamiento, de acuerdo con los Principios y Criterios de los Servicios de Fideicomiso establecidos por AICPA y el Instituto Canadiense de Colegios Públicos Contadores (CICA). Los informes SOC3 pueden asociarse con marcas registradas de estos institutos llamados SysTrust® y WebTrust® y publicarse en un sitio web.