Der De-facto-Standard, den US-Unternehmenskunden von SaaS-Anbietern verlangen. Auditorengesteuert: CPA-Gesellschaften führen das Audit durch; das Ergebnis ist ein SOC-2-Bericht (Typ 1 oder Typ 2), keine Zertifizierung.
Die fünf Trust Services Criteria (Security, Availability, Processing Integrity, Confidentiality, Privacy) formulieren Ziele statt verbindlicher Controls — Cybsis 2.0 ordnet sie den zugrunde liegenden ISO 27001-Controls zu, sodass dieselben Control-Implementierungen beide Rahmenwerke erfüllen.