Quantifier.ai
    co-je-SOC-2
    kybernetická bezpečnost

    SOC 2: Kompletní průvodce požadavky, auditem a reportem v roce 2026

    11 min čtení

    Co je SOC 2 a proč je důležitý?

    SOC 2 (System and Organization Controls 2) je atestační standard vyvinutý organizací AICPA (American Institute of Certified Public Accountants), který stanovuje, jak mají servisní organizace chránit data svých zákazníků. Na rozdíl od mnoha bezpečnostních standardů SOC 2 nepředepisuje pevný kontrolní seznam. Místo toho vychází z pěti kritérií důvěryhodných služeb, takzvaných Trust Services Criteria, podle nichž nezávislý auditor, tedy licencovaná CPA firma, posuzuje účinnost zavedených kontrol.

    Důležité: SOC 2 není certifikace v pravém slova smyslu. Výsledkem auditu je atestační zpráva, ve které nezávislý auditor, tedy licencovaná CPA firma, vydává stanovisko ke kontrolám organizace. Toto stanovisko může obsahovat výjimky týkající se konkrétních kontrol. Nejde tedy o jednoduché ano nebo ne, ale o podrobné hodnocení, které lze sdílet se zákazníky a obchodními partnery.

    Proč se SOC 2 stal tak důležitým? V době cloud computingu a modelu SaaS svěřují enterprise zákazníci svá data externím dodavatelům. SOC 2 report představuje nezávislé potvrzení, že dodavatel zavedl odpovídající bezpečnostní kontroly. Podle zprávy IBM Cost of a Data Breach Report 2025 činí průměrné globální náklady na narušení bezpečnosti dat 4,44 milionu USD, což je meziroční pokles o 9 % z úrovně 4,88 milionu USD. Zároveň ve Spojených státech vzrostly průměrné náklady na rekordních 10,22 milionu USD, a to zejména kvůli vyšším regulatorním sankcím. Organizace, které intenzivně využívají AI v oblasti bezpečnosti, zkrátily životní cyklus incidentu v průměru o 80 dní a ušetřily 1,9 milionu USD.

    Mít aktuální SOC 2 report dnes už není jen volba. Často je to podmínka pro B2B podnikání v technologickém sektoru.

    Kdo potřebuje SOC 2? Odvětví a případy použití

    SOC 2 se týká každé servisní organizace, která zpracovává, ukládá nebo přenáší zákaznická data v cloudu. Nejčastěji SOC 2 získávají firmy z těchto oblastí:

    • SaaS a cloudoví poskytovatelé
      Každá firma nabízející cloudový software enterprise zákazníkům.

    • Fintech a insurtech
      Zpracování finančních dat vyžaduje nejvyšší standardy bezpečnosti.

    • Healthtech
      Na americkém trhu bývá často vyžadován společně s HIPAA.

    • IT outsourcing a managed services
      Firmy spravující infrastrukturu nebo systémy svých zákazníků.

    • Platformy pro data analytics a AI
      Rychle rostoucí oblast s rostoucími nároky na governance AI.

    SOC 2 a polský trh

    Přestože je SOC 2 americký standard, polské technologické firmy o něj usilují stále častěji. Hlavní důvod je jednoduchý: západní enterprise zákazníci, zejména z USA a Velké Británie, často požadují SOC 2 report jako podmínku uzavření smlouvy. Pro polské software housy a SaaS firmy, které exportují své služby, může absence SOC 2 znamenat ztrátu obchodních příležitostí. Zároveň se vyplatí zvážit paralelní zavedení ISO 27001, které je na evropském trhu známější.

    5 Trust Services Criteria: pilíře SOC 2

    Každý audit SOC 2 je založen na pěti kritériích důvěryhodných služeb vypracovaných organizací AICPA. V praxi je kritérium Security vždy součástí auditu. Takzvaná Common Criteria se používají napříč všemi pěti kategoriemi, ale úplný soubor tvoří pouze pro kategorii Security. U zbývajících čtyř kategorií musí organizace použít Common Criteria spolu s dodatečnými kritérii specifickými pro danou oblast. Výběr dalších kategorií závisí na povaze poskytovaných služeb a očekávání zákazníků.

    Security

    V praxi povinné. Chrání systém před neoprávněným fyzickým i logickým přístupem.
    Příklady kontrol: firewally, MFA, IDS/IPS, šifrování, řízení přístupů.
    Určeno pro: každou organizaci.

    Availability

    Zajišťuje, že je systém dostupný pro provoz a používání v souladu s cíli organizace, aniž by byla stanovena pevná minimální úroveň výkonu.
    Příklady kontrol: monitoring dostupnosti, disaster recovery, zálohování, capacity planning.
    Určeno pro: SaaS, hosting, infrastrukturní služby.

    Processing Integrity

    Zajišťuje, že zpracování dat je úplné, správné, včasné a autorizované.
    Příklady kontrol: validace dat, QA, reconciliation, error handling.
    Určeno pro: fintech, payroll, e-commerce.

    Confidentiality

    Zajišťuje ochranu informací označených jako důvěrné v souladu se zásadami organizace.
    Příklady kontrol: šifrování dat v klidu i při přenosu, DLP, klasifikace dat.
    Určeno pro: B2B firmy pracující s citlivými daty.

    Privacy

    Zajišťuje, že osobní údaje jsou shromažďovány, používány, uchovávány, zveřejňovány a mazány v souladu s cíli organizace v oblasti ochrany soukromí.
    Příklady kontrol: správa souhlasů, pravidla retenční doby, procesy pro výmaz údajů.
    Určeno pro: firmy zpracovávající osobní údaje.

    Důležité: každé další kritérium rozšiřuje rozsah auditu a zvyšuje jeho cenu. Pro většinu SaaS firem obvykle stačí Security plus Availability nebo Security plus Confidentiality.

    SOC 2 Type 1 vs Type 2: klíčové rozdíly

    SOC 2 nabízí dva typy reportů, které se liší hloubkou posouzení i hodnotou pro zákazníky.

    SOC 2 Type 1

    Posuzuje návrh kontrol v konkrétním okamžiku.
    Délka auditu: 1 až 2 měsíce.
    Cena auditu: 5 000 až 25 000 USD.
    Hodnota pro zákazníka: střední, potvrzuje návrh kontrol, nikoli jejich fungování v čase.
    Vhodné pro: firmy na začátku compliance cesty, které potřebují rychlý důkaz pro zákazníky.

    SOC 2 Type 2

    Posuzuje provozní účinnost kontrol v průběhu času, obvykle po dobu 3 až 12 měsíců.
    Délka auditu: 3 až 12 měsíců pozorování plus samotný audit.
    Cena auditu: 7 000 až 100 000 USD a více.
    Hodnota pro zákazníka: vysoká, protože dokládá, že kontroly skutečně fungují.
    Vhodné pro: cílový standard vyžadovaný většinou enterprise zákazníků.

    Stále více enterprise zákazníků už nepřijímá Type 1 a požaduje rovnou Type 2. Pokud to rozpočet a harmonogram umožní, dává smysl zvážit přímou cestu k Type 2.

    Jak získat SOC 2 report: krok za krokem

    Fáze 1: Gap analysis a readiness assessment (1 až 2 měsíce)

    Prvním krokem je posouzení současné úrovně bezpečnosti organizace ve vztahu k požadavkům SOC 2. Gap analysis identifikuje rozdíly mezi existujícími kontrolami a očekáváními auditu. V této fázi se také rozhoduje, která Trust Services Criteria budou součástí auditu, a vymezuje se rozsah systémů.

    Fáze 2: Zavedení kontrol a politik (2 až 4 měsíce)

    Na základě výsledků gap analysis organizace zavádí chybějící kontroly, jako jsou bezpečnostní politiky, přístupové postupy, šifrování, logging, monitoring a incident response. Tato fáze často vyžaduje nasazení nových nástrojů, například SIEM, endpoint protection nebo MDM, a také školení zaměstnanců.

    Fáze 3: Type 1 audit (1 měsíc), volitelné

    Nezávislý auditor, licencovaná CPA firma, posuzuje návrh kontrol v konkrétním okamžiku. Jde v podstatě o snímek bezpečnostního stavu organizace. Pokud firma míří přímo na Type 2, je tato fáze volitelná.

    Fáze 4: Období pozorování pro Type 2 (3 až 12 měsíců)

    Kontroly musí fungovat nepřetržitě po celé období pozorování, minimálně 3 měsíce, standardně spíše 6 až 12 měsíců. U prvního Type 2 reportu se často doporučuje alespoň 6 měsíců. Během této doby organizace shromažďuje důkazy, například přístupové logy, screenshoty konfigurace, monitoring reporty nebo výsledky penetračních testů. Platformy pro compliance automation, jako je Quantifier.ai, tento sběr důkazů i průběžný monitoring kontrol automatizují.

    Fáze 5: Type 2 audit a report

    Auditor provede detailní posouzení účinnosti kontrol na základě shromážděných důkazů. Výsledkem je SOC 2 Type 2 report s auditorským stanoviskem, který lze sdílet se zákazníky a partnery. Stanovisko může být bez výhrad nebo s výhradami, pokud byly zjištěny odchylky. Report je platný 12 měsíců, poté je nutný další audit.

    Náklady na SOC 2: kolik to skutečně stojí?

    Celkové náklady na získání SOC 2 reportu se v roce 2026 obvykle pohybují mezi 20 000 a 150 000 USD v závislosti na velikosti organizace, rozsahu auditu a úrovni připravenosti.

    Hlavní nákladové položky

    • Type 1 audit
      5 000 až 25 000 USD
      Záleží na rozsahu Trust Services Criteria a zvolené auditorské firmě.

    • Type 2 audit
      7 000 až 100 000 USD a více
      Vyšší cena kvůli širšímu rozsahu a období pozorování.

    • Nástroje pro compliance automation
      5 000 až 25 000 USD ročně
      Například Vanta, Drata, Sprinto nebo Quantifier.ai.

    • Gap analysis / readiness assessment
      10 000 až 20 000 USD
      Obvykle zajišťuje konzultant nebo interní tým.

    • Penetrační testování
      5 000 až 30 000 USD
      Vyžadováno ve většině auditů.

    • Čas interního týmu, skrytý náklad
      100 až 500 hodin
      Na přípravu dokumentace a sběr důkazů.

    U startupů a SME se celkové náklady na první SOC 2 report obvykle pohybují mezi 20 000 a 60 000 USD. Jedním z nejúčinnějších způsobů, jak náklady snížit, je compliance automation. Platformy jako Quantifier.ai mohou zkrátit čas přípravy až o 60 %.

    SOC 2 vs ISO 27001: co si vybrat?

    To je jedna z nejčastějších otázek v oblasti compliance. Oba standardy se týkají informační bezpečnosti, ale v několika zásadních bodech se liší.

    SOC 2

    Tvůrce: AICPA, USA.
    Typ výstupu: atestační report.
    Geografické zaměření: především USA, Velká Británie a Kanada.
    Přístup: flexibilní, organizace si definuje vlastní kontroly.
    Typické náklady: 20 000 až 150 000 USD včetně přípravy a auditu.
    Platnost: 12 měsíců, obvykle s každoroční obnovou.

    ISO 27001

    Tvůrce: ISO/IEC, mezinárodní standard.
    Typ výstupu: formální certifikace.
    Geografické zaměření: globální, velmi silné v Evropě a Asii.
    Přístup: risk-based, s předdefinovaným katalogem 93 kontrol v Annex A.
    Typické náklady: 20 000 až 150 000 USD a více včetně implementace a certifikace.
    Platnost: 3 roky s každoročními dozorovými audity.

    Poznámka k ISO 27001: ačkoli Annex A obsahuje předdefinovaný katalog 93 kontrol, ISO 27001 je ve své podstatě risk-based standard. Organizace vybírá kontroly odpovídající jejím rizikům a dokumentuje je ve Statement of Applicability. Nejde tedy o rigidní checklist, ale o strukturovaný framework s připraveným katalogem kontrol.

    Dual compliance: proč dává smysl mít obojí

    Mnoho organizací se rozhoduje zavést oba standardy paralelně. Důvody jsou praktické. SOC 2 otevírá dveře na americký trh, zatímco ISO 27001 posiluje důvěryhodnost v Evropě. Podle mapování AICPA je překryv kontrol mezi SOC 2 a ISO 27001 přibližně 80 %, takže paralelní přístup je výrazně efektivnější než dvě zcela oddělené compliance cesty. Quantifier.ai umožňuje spravovat oba frameworky na jednom místě a automaticky mapuje kontroly mezi SOC 2 a ISO 27001.

    Jak Quantifier.ai automatizuje SOC 2 compliance

    Quantifier.ai je AI-native compliance platforma, která zjednodušuje celý proces SOC 2, od gap analysis až po audit. Mezi klíčové funkce patří:

    • Průběžný monitoring
      Automatické 24/7 ověřování stavu bezpečnostních kontrol a okamžité upozornění při configuration drift.

    • Automatizovaný sběr důkazů
      Integrace s běžně používanými nástroji, jako jsou AWS, Azure, GCP, GitHub, Jira a Slack, automaticky sbírají a archivují auditorské důkazy.

    • AI-powered policy generation
      Umělá inteligence pomáhá vytvářet bezpečnostní politiky přizpůsobené prostředí a kontextu organizace.

    • Multi-framework support
      Správa SOC 2, ISO 27001, NIS2, CCPA a dalších frameworků z jednoho dashboardu s automatickým cross-mappingem kontrol.

    • Auditorský dashboard
      Vyhrazené prostředí pro auditora s přístupem ke všem důkazům a dokumentaci, které může zkrátit dobu auditu až o 50 %.

    Chcete vidět, jak to funguje? Objednejte si bezplatné demo na quantifier.ai/en a zjistěte, jak může Quantifier.ai urychlit vaši cestu k SOC 2 reportu.

    FAQ: nejčastější otázky o SOC 2

    Jak dlouho trvá získání SOC 2 reportu?

    Celý proces od rozhodnutí po Type 2 report obvykle trvá 6 až 18 měsíců. Pokud začínáte s Type 1, první report můžete získat už za 3 až 4 měsíce. Platformy pro compliance automation mohou tento čas výrazně zkrátit.

    Je SOC 2 právně povinný?

    Ne. SOC 2 není právně povinný, na rozdíl například od NIS2 v Evropské unii. Jde o dobrovolný standard, který se ale v praxi stal tržním požadavkem, zejména pro SaaS dodavatele obsluhující enterprise zákazníky v USA.

    Jaký je rozdíl mezi SOC 1 a SOC 2?

    SOC 1 se zaměřuje na kontroly, které ovlivňují finanční výkaznictví zákazníků, například u payroll providerů nebo shared service center. SOC 2 pokrývá širší oblasti, jako jsou security, availability, processing integrity, confidentiality a privacy. Oba výstupy jsou atestační reporty, nikoli certifikace.

    Lze se na SOC 2 připravit vlastními silami?

    Ano. Mnoho organizací se připravuje interně, zejména pokud mají zkušený bezpečnostní tým. Vyžaduje to ale značné množství času, obvykle 100 až 500 hodin, a dobrou znalost Trust Services Criteria. Alternativou jsou compliance konzultanti a automatizační platformy, jako jsou Quantifier.ai, Vanta, Drata nebo Sprinto, které celý proces urychlují a snižují riziko výjimek v auditorském reportu.

    Jak často je potřeba SOC 2 report obnovovat?

    SOC 2 report je platný 12 měsíců. Většina organizací absolvuje audit každý rok. Cena následného auditu bývá obvykle kolem 70 až 80 % ceny prvního reportu, protože kontroly už jsou zavedené.

    Chrání SOC 2 před narušením bezpečnosti dat?

    SOC 2 nezaručuje, že k incidentům nikdy nedojde. Organizace s dobře zavedenými SOC 2 kontrolami však obvykle dokážou hrozby rychleji odhalit a účinněji na ně reagovat. Podle IBM Cost of a Data Breach Report 2025 organizace, které intenzivně využívají AI v bezpečnosti, zkrátily průměrný životní cyklus narušení na 241 dní a ušetřily v průměru 1,9 milionu USD.

    Jak se připravit na první SOC 2 audit?

    Začněte readiness assessment, vyberte vhodná Trust Services Criteria, zaveďte chybějící kontroly, sbírejte důkazy a vyberte akreditovanou CPA firmu jako auditora. Platforma jako Quantifier.ai vás může provést každou fází procesu.

    Potřebují polské firmy SOC 2?

    Ano, pokud prodávají SaaS nebo IT služby zahraničním zákazníkům, zejména v USA a Velké Británii. SOC 2 se fakticky stal tržním standardem v Severní Americe. Na evropském trhu je vhodné doplnit jej o ISO 27001 a zohlednit požadavky NIS2.

    Jaký je rozdíl mezi SOC 2 reportem a certifikací ISO 27001?

    SOC 2 končí atestační zprávou se stanoviskem nezávislého auditora a je platný 12 měsíců. ISO 27001 končí formální certifikací vydanou akreditovaným certifikačním orgánem a je platná 3 roky s každoročními dozorovými audity. SOC 2 je dominantní standard v USA, zatímco ISO 27001 má silnější pozici v Evropě a Asii. Překryv kontrol mezi oběma standardy je přibližně 80 %.