Edit My Preferences
Realizzato per l'AI Trust Center Opportunità di lavoro
Realizzato per l'AI Trust Center Opportunità di lavoro
Scegli un’altra regione
Scegli un’altra regione
Dismiss
Innovazione
Una piattaforma creata per l'AI

Unificata, automatizzata e pronta a trasformare i dati in intelligence.

Scopri come
Dismiss
16-18 giugno, Las Vegas
Pure//Accelerate® 2026

Scopri come trarre il massimo dai tuoi dati. 

Registrati ora
La nostra piattaforma Prodotti Soluzioni Supporto Partner Risorse pure.ai
Contattaci
Vendite +39 80 0826 980
Contattaci
Main Menu
La nostra piattaforma
Prodotti
Soluzioni
Supporto
Partner
Risorse
pure.ai
Contattaci
  1. Knowledge base di Pure
  2. Che cos'è la conformità SOC 2 Tipo II?

Che cos'è la conformità SOC 2 Tipo II?

Che cos'è la conformità SOC 2 Tipo II?

La conformità SOC 2 Tipo II è un framework per le organizzazioni di servizi che dimostra i controlli appropriati per i criteri di sicurezza dei dati.

Nell'odierno panorama basato sui servizi, i dati di un'organizzazione raramente esistono solo nel proprio ambiente IT. Questi dati sono spesso considerati affidabili da molti vendor e service provider. La scelta del vendor con cui fidarsi dei dati è importante grazie alle certificazioni, che possono dimostrare il rispetto di determinati standard di sicurezza e riservatezza. 

Le certificazioni di conformità rientrano in framework e sono verificate da revisori terzi. Possono fornire ai clienti un timbro di approvazione che indica che un vendor dispone di tutti i controlli e le protezioni necessari per garantire che i loro dati siano il più sicuri possibile. Uno di questi framework è chiamato Service Organization Control (SOC).

Se sei un vendor o un service provider, ti potrebbe essere chiesto di fornire report sulla conformità dei dati SOC 2. Se sei un cliente, puoi richiedere la certificazione SOC per verificare che un vendor o provider disponga dei controlli appropriati per la conformità dei dati. 

Diamo un'occhiata più da vicino a questo standard di conformità specifico per i service provider, a cosa include e perché è importante.

Che cos'è il SOC 2 di tipo II?

Panoramica del SOC 2 di tipo II

Le certificazioni di conformità dei dati sono spesso richieste come prerequisito o obbligo contrattuale per un incarico. La conformità SOC 2 Tipo II è stata progettata specificamente per le organizzazioni di servizi. SOC 2 Tipo II include principi per la sicurezza, la disponibilità, la riservatezza, la privacy e l'integrità dell'elaborazione delle transazioni. Tipo II indica che l'audit è stato eseguito per un periodo di tempo prolungato, spesso sei mesi. 

Questi standard sono cruciali per garantire le migliori misure di sicurezza delle informazioni (InfoSec) tra i sistemi IT dei vendor e rispettare i contratti tra vendor e clienti. 

Quanti criteri SOC esistono?

In un report sulla conformità SOC 2 sono presenti cinque criteri di servizio, o principi di fiducia. La sicurezza è obbligatoria, mentre gli altri criteri possono essere più specifici del settore o del business. Ognuno di questi fa scattare i requisiti per i diversi tipi di controlli.

  • Sicurezza: Questa è la categoria di servizio di base più importante per la conformità SOC 2.
  • Disponibilità: Ciò è importante per i service provider che hanno SLA rigorosi da rispettare per i prodotti Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) o Infrastructure-as-a-Service (IaaS). Se il servizio IT è considerato mission-critical per i clienti, la disponibilità dei dati è fondamentale.
  • Integrità del trattamento: Questo vale per i servizi che elaborano transazioni per i clienti finanziari o di e-commerce.
  • Riservatezza: Quando i dati elaborati per i clienti sono sensibili (ad esempio, la proprietà intellettuale), questo è un pilastro chiave della conformità SOC 2 Tipo II.
  • Privacy: Da non confondere con la riservatezza di cui sopra, questo principio è specifico per le informazioni di identificazione personale (PII), come le cartelle cliniche.

Criteri di Trust Service

Principi

Categorie

Sicurezza

Disponibilità

Integrità del trattamento

Riservatezza

Privacy
  • Organizzazione
  • Comunicazione
  • Valutazione dei rischi e gestione dei controlli
  • Monitoraggio dei controlli
  • Controllo dell'accesso logico e fisico a dati e sistemi sensibili (ad es. key card o credenziali di accesso)
  • Operazioni e procedure di sistema (giornaliere, settimanali, mensili)
  • Gestione del cambiamento
Slide

Che cosa viene valutato in un SOC 2 di tipo II?

In un audit di conformità SOC 2 di tipo II, vengono valutati i criteri e i controlli progettati per soddisfare i criteri di servizio di cui sopra, solitamente nell'arco di sei mesi. I controlli sono adatti ai criteri? La tua organizzazione è coerente nell'eseguirli?

Che cos'è una certificazione SOC 2 di tipo II?

La certificazione SOC 2 Tipo II è la prova da parte di un revisore terzo che le policy di un'organizzazione hanno superato l'audit per la conformità SOC 2 Tipo II.

Quali sono i vantaggi della conformità SOC 2 Tipo II?

I vantaggi del SOC 2 di tipo II sono il miglioramento dello stato generale di sicurezza e protezione dei dati all'interno di un'organizzazione e tra i suoi vendor. Per i service provider, la certificazione SOC 2 di tipo II può contribuire a migliorare le probabilità di ottenere una partnership o un cliente rispetto alla concorrenza. Per i clienti, è una prova dimostrabile che i tuoi dati saranno in buone mani con controlli e misure di sicurezza appropriati.

Chi deve avere la conformità SOC 2 Tipo II?

Qualsiasi vendor che gestisce i dati dei clienti o le informazioni sensibili che intende soddisfare gli obblighi contrattuali con un cliente per la conformità SOC 2 Tipo II può beneficiare della certificazione.

SOC 2 e altre certificazioni di conformità

Differenze tra SOC 1 e SOC 2

Qual è la differenza tra SOC 1 e SOC 2? Il SOC 1 non è incentrato sui criteri di sicurezza, ma sui criteri di reporting finanziario. SOC 1 è stato progettato anche per le organizzazioni di servizi, ma in particolare per quelle a cui sono state affidate in outsourcing determinate funzioni finanziarie. Si noti che gli audit SOC 1 sono in linea con gli anni fiscali e includono cinque criteri di servizio, tra cui ambiente di controllo, valutazione dei rischi, attività di controllo, comunicazione e informazioni e monitoraggio. 

Differenze tra SOC 2 e ISO-27001

Sia SOC 2 Tipo II che ISO-27001 sono framework che si concentrano sulla gestione di InfoSec. Mentre SOC 2 Tipo II valuta l'efficacia complessiva dei controlli di sicurezza, ISO-27001 è un approccio molto prescrittivo e sistematico ai sistemi di gestione della sicurezza delle informazioni. ISO-27001 si concentra principalmente su sistemi e controlli interni ed è uno standard, mentre SOC 2 Tipo II è un framework per condurre un audit.

SOC 2 Tipo II e PCI DSS, HIPAA, GDPR 

Esistono diversi framework di conformità: come sono diversi e quali organizzazioni ne hanno bisogno?

SOC 2 di tipo II e Payment Card Industry Data Security Standard (PCI DSS) sono due framework di conformità molto diversi con una sovrapposizione minima o nulla. PCI DSS è correlato in modo specifico ai controlli sulle modalità di gestione delle informazioni e delle transazioni delle carte di credito. Lo standard PCI DSS è applicabile solo ai provider di servizi finanziari, mentre lo standard SOC 2 Tipo II copre una gamma più ampia di settori. Infine, PCI DSS viene condotto annualmente e non da un'azienda CPA.

Anche SOC 2 di tipo II e l'Health Insurance Portability and Accountability Act (HIPAA) sono diversi nell'area di interesse dei dati protetti. L'HIPAA si applica solo alle organizzazioni sanitarie e ai service provider che gestiscono i dati dei pazienti (ed è richiesto dalla legge), mentre il SOC 2 di tipo II può includere organizzazioni sanitarie, ma non è obbligatorio per loro. Inoltre, mentre SOC 2 Tipo II non è altrettanto prescrittivo nel modo in cui vengono soddisfatti i criteri di servizio, lo è l'HIPAA, con standard molto specifici che devono essere soddisfatti per la conformità.

SOC 2 Tipo II e il Regolamento generale sulla protezione dei dati (GDPR) sono entrambi framework che riguardano la sicurezza e la privacy dei dati. Il quadro GDPR è applicabile solo alle organizzazioni che gestiscono i dati personali dei residenti all'interno dell'Unione europea e si concentra sui diritti di privacy e protezione dei dati. Ciò richiede controlli sulla trasparenza del modo in cui i dati vengono utilizzati, il "diritto all'oblio", la minimizzazione dei dati e il consenso. Anche se il SOC 2 Tipo II non è obbligatorio, il GDPR è e la mancata conformità può comportare conseguenze legali e sanzioni pecuniarie.

Preparazione per la valutazione SOC 2 di tipo II

Prepararsi per un audit SOC 2 di tipo II è un lavoro di squadra e può richiedere diverse ore di lavoro da parte del personale. La decisione di implementare la conformità SOC 2 di tipo II può anche richiedere una certa quantità di buy-in e supporto interno per avviare le attività e integrarle nei processi a lungo termine. 

Passaggi per prepararsi alla valutazione SOC 2 di tipo II

  1. Scopri il "perché" alla base della tua richiesta di conformità SOC 2. Che si tratti di una richiesta del cliente o di un altro motivo, questo ti aiuterà a comprendere le scadenze per la certificazione di conformità, l'ambito di lavoro coinvolto e altro ancora. Questo ti aiuterà anche a identificare le policy esistenti che potrebbero essere utili e a fornire al revisore contesto e ambito.
  2. Riunisci il team di persone giusto all'interno della tua organizzazione per inserirli nel SOC 2 Tipo II. A seconda del periodo di tempo per avviare il SOC 2 di tipo II, potrebbe essere necessario un maggior numero di persone per svolgere determinate attività, raccogliere prove e sviluppare. Questo gruppo può includere:
    • Leadership, come CEO, CTO, CISO e altri dirigenti di alto livello
    • DevOps
    • Risorse umane, poiché i dipendenti possono entrare in ambito di audit
    • InfoSec
  3. InfoSecPreparare per fornire l'ambito. Preparati a rispondere a domande specifiche sui dati, come la posizione in cui è ospitato il tuo servizio (public cloud, on-premise), le previsioni di capacità, le sedi degli uffici (si tratta di un ambiente zero-trust o i server devono essere inseriti nella whitelist?), se archivi dati sensibili, ecc.

Collaborazione con revisori terzi per la conformità SOC 2 Tipo II

Il framework SOC 2 è stato sviluppato dall'American Institute of Certified Public Accountants (AICPA) e un audit deve essere completato da un'azienda CPA.

Quando valuti un'azienda per verificare la conformità SOC 2 di tipo II, valuta la qualità e l'esperienza insieme ai costi e se è adatta a lavorare insieme al tuo team ogni giorno per settimane o mesi, e diventa un consulente e un partner a lungo termine per la tua organizzazione.

Domande da porre: Ha un'ottima esperienza di audit di successo? L'azienda ha un'esperienza di audit specifica per il tuo settore? Puoi chiedere recensioni tra pari, revisione di terze parti richiesta di documenti per i revisori e referenze.

Inoltre, è consigliabile coinvolgere un revisore il prima possibile nel processo, perché può essere utile per definire l'ambito del progetto e allineare internamente le risorse giuste per rispettare la scadenza (se disponibile).

  • Una volta scelto l'auditor, esaminerai: 
  • Un esercizio di definizione e scoperta per definire le aspettative
  • Una valutazione della preparazione, per uno sguardo dall'alto verso il basso sulle lacune, su cosa sarà necessario iniziare, su quali policy sono già in atto, ecc.
  • Check-in, prima del test finale
  • L'esame di certificazione

Durante l'audit, ti verrà chiesto di fornire le policy, i controlli e le prove per ciascuno di essi. 

Come mantenere la certificazione SOC 2 Tipo II

È importante notare che la conformità SOC 2 Tipo II non è una cosa sola ed è eseguita. Richiede diligenza e impegno continuo. Il mantenimento della certificazione SOC 2 di tipo II richiede monitoraggio costante, documentazione, divulgazione e risposta agli incidenti, formazione dei dipendenti e valutazioni periodiche. Questo dimostra che un'organizzazione ha un impegno costante per la conformità e sta apportando le modifiche e gli aggiornamenti necessari alle policy.

In qualità di organizzazione certificata ISO 27001, Pure Storage fornisce una serie di prodotti e servizi progettati per fornire ai nostri clienti un monitoraggio e un controllo completi sui loro dati. Dai un'occhiata alla nostra suite di moderne soluzioni di data protection per scoprire come possiamo aiutarti a raggiungere i tuoi obiettivi di conformità in materia di sicurezza dei dati.

Potrebbe interessarti anche...

Vedi tutte le risorse Vedi tutte le risorse
03/2026
Fleet-Wide Cyber Resilience with Veeam
Automate ransomware recovery across your storage fleet. Everpure and Veeam detect anomalies, tag suspect restore points, and enable fast recovery at scale.
Solution brief
3 pages
12/2025
Data and Cybersecurity Capabilities from Everpure | Everpure
AI-driven cyber security from Everpure offers real-time threat detection, zero-trust protection & automated incident response for enterprises.
Solution brief
3 pages
09/2021
Guida dell'hacker per ridurre il rischio e ripristinare le operations a seguito di un attacco ransomware
La "Guida dell'hacker per ridurre il rischio e ripristinare le operations a seguito di un attacco ransomware" contiene insights e suggerimenti per difendere i dati dai ransomware.
eBook
17 pages

Esplora risorse ed eventi principali

TRADESHOW
Pure//Accelerate® 2026
June 16-18, 2026 | Resorts World Las Vegas

Preparati all'evento più importante a cui parteciperai quest'anno.

Registrati ora
DEMO DI PURE360
Esplora, scopri e prova Pure Storage.

Accedi a video e demo on demand per scoprire i vantaggi che Pure Storage ti offre.

Guarda le demo
VIDEO
Guarda: Il valore di un Enterprise Data Cloud (EDC).

Charlie Giancarlo spiega perché il futuro è nella gestione dei dati, non dello storage. Scopri in che modo un approccio unificato trasforma le operazioni IT aziendali.

Guarda
RISORSA
Lo storage legacy non può alimentare il futuro.

I workload moderni richiedono velocità, sicurezza e scalabilità AI-ready. Il tuo stack è pronto?

Effettua la valutazione
Il browser che stai usando non è più supportato.

I browser non aggiornati spesso comportano rischi per la sicurezza. Per offrirti la migliore esperienza possibile sul nostro sito, ti invitiamo ad aggiornare il browser alla versione più recente.

safari
chrome
firefox
edge
Close
Personalize for Me
Steps Complete!
1
2
3
Edit My Preferences
Start a Chat
Personalize your Everpure experience
Select a challenge, or skip and build your own use case.
Strategie di virtualizzazione pronte per affrontare il futuro

Soluzioni di storage per tutte le tue esigenze

Consenti progetti di AI di qualunque dimensione

Storage a performance elevate per pipeline dei dati, formazione e inferenza

Proteggiti dalla perdita dei dati

Soluzioni di resilienza informatica che proteggono i tuoi dati

Riduci i costi delle operazioni su cloud

Storage efficiente dal punto di vista dei costi per Azure, AWS e private cloud

Accelera le performance di applicazioni e database

Storage a bassa latenza per le performance delle applicazioni

Riduci il consumo di energia e di ingombro del data center

Storage efficiente delle risorse per ottimizzare l'utilizzo dei data center

Build My Use Case
Confirm your outcome priorities
Your scenario prioritizes the selected outcomes. You can modify or choose next to confirm.
Primary
Reduce My Storage Costs
Lower hardware and operational spend.
Primary
Strengthen Cyber Resilience
Detect, protect against, and recover from ransomware.
Primary
Simplify Governance and Compliance
Easy-to-use policy rules, settings, and templates.
Primary
Deliver Workflow Automation
Eliminate error-prone manual tasks.
Primary
Use Less Power and Space
Smaller footprint, lower power consumption.
Primary
Boost Performance and Scale
Predictability and low latency at any size.
Start Over
Select an outcome priority
Select an outcome priority
Next
What’s your role and industry?
We've inferred your role based on your scenario. Modify or confirm and select your industry.
Select your industry
Financial services
Government
Healthcare
Education
Telecommunications
Automotive
Hyperscaler
Electronic design automation
Retail
Service provider
Transportation
Which team are you on?
Technical leadership team
Defines the strategy and the decision making process
Infrastructure and Ops team
Manages IT infrastructure operations and the technical evaluations
Business leadership team
Responsible for achieving business outcomes
Security team
Owns the policies for security, incident management, and recovery
Application team
Owns the business applications and application SLAs
Back
Select an industry
 Select a team
Select an industry
 Select a team
Next
Describe your ideal environment
Tell us about your infrastructure and workload needs. We chose a few based on your scenario.
Select your preferred deployment
Hosted
Dedicated off-prem
On-prem
Your data center + edge
Public cloud
Public cloud only
Hybrid
Mix of on-prem and cloud
Select the workloads you need
Databases
Oracle, SQL Server, SAP HANA, open-source

Key benefits:

  • Instant, space-efficient snapshots

  • Near-zero-RPO protection and rapid restore

  • Consistent, low-latency performance

 

AI/ML and analytics
Training, inference, data lakes, HPC

Key benefits:

  • Predictable throughput for faster training and ingest

  • One data layer for pipelines from ingest to serve

  • Optimized GPU utilization and scale
Data protection and recovery
Backups, disaster recovery, and ransomware-safe restore

Key benefits:

  • Immutable snapshots and isolated recovery points

  • Clean, rapid restore with SafeMode™

  • Detection and policy-driven response

 

Containers and Kubernetes
Kubernetes, containers, microservices

Key benefits:

  • Reliable, persistent volumes for stateful apps

  • Fast, space-efficient clones for CI/CD

  • Multi-cloud portability and consistent ops
Cloud
AWS, Azure

Key benefits:

  • Consistent data services across clouds

  • Simple mobility for apps and datasets

  • Flexible, pay-as-you-use economics

 

Virtualization
VMs, vSphere, VCF, vSAN replacement

Key benefits:

  • Higher VM density with predictable latency

  • Non-disruptive, always-on upgrades

  • Fast ransomware recovery with SafeMode™

 

Data storage
Block, file, and object

Key benefits:

  • Consolidate workloads on one platform

  • Unified services, policy, and governance

  • Eliminate silos and redundant copies

 

What other vendors are you considering or using?
Back
Select a deployment
 Select a workload
Select a deployment
 Select a workload
Finish
Thinking...
Your personalized, guided path
Get started with resources based on your selections.
Start a Chat