Os relatórios de controles denominados SOC1, SOC2 e SOC3.
O relatório SOC1, aborda especificamente os controles internos do prestador de serviços relevantes para as demonstrações financeiras dos seus clientes e visa estabelecer basicamente uma comunicação entre os auditores das empresas prestadoras de serviços e das suas empresas clientes.
SOC 2 é um relatório de auditoria sobre controles relacionados a uma ou mais das seguintes áreas: segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. O escopo do relatório varia dependendo de qual desses atributos o provedor de serviços decide incluir. As auditorias SOC 2 são realizadas em relação aos padrões americanos.
Os relatórios SOC 1 e SOC 2 podem ser Tipo 1 ou Tipo 2. Um relatório Tipo 1 é restrito a uma avaliação de como os controles de segurança são projetados. Não inclui uma avaliação da eficácia com que os controles estão operando. Um relatório Tipo 2 inclui uma avaliação do design e da eficácia operacional dos controles de segurança.
SOC 3 apresenta informações sobre aspectos de segurança, privacidade, disponibilidade, confidencialidade e integridade no processamento, de acordo com os Trust Services Principles and Criteria estabelecidos pelo AICPA e pelo Canidian Institute of Chartered Accountants(CICA). Os relatórios SOC3 podem estar associados a marcas registradas desses institutos denominadas SysTrust® e WebTrust® e postados em um site na internet.