Didit 获得 SOC 2 Type 1 认证:范围与意义 (ZH-1)
截至 2026 年 4 月 9 日,Didit 获得了 ATOM 颁发的 SOC 2 Type 1 证明,涵盖了安全性、可用性和保密性信任标准。本文将解释 SOC 2 Type 1 证明的内容、范围以及如何在供应商尽职调查中使用它。.
当一家美国企业发送供应商安全问卷时,有一行字决定了审查需要多长时间:您有 SOC 2 报告吗? Didit 有。Didit 获得了 SOC 2 Type 1 证明,由 ATOM 作为独立服务审计师根据 AICPA 的 SOC 服务组织框架颁发,涵盖了安全性、可用性和保密性信任标准,截至 2026 年 4 月 9 日。
本指南解释了 SOC 2 Type 1 证明的内容、Didit 的确切范围、Type 1 和 Type 2 之间的区别,以及如何在您自己的尽职调查中使用该报告。
主要收获
- Didit 获得了 SOC 2 Type 1 证明,由 AICPA SOC 服务组织框架下的独立服务审计师 ATOM 颁发。
- 三个信任服务标准在范围内:安全性、可用性和保密性。
- Type 1 证明了控制的设计,截至某个时间点——此处为截至 2026 年 4 月 9 日。一项 Type 2 审查,将测试一段时间内的操作有效性,已在计划中。
- 被审计实体是 Didit Identity, Inc.,范围内的系统是 Didit 软件应用程序。
- 完整报告根据 AICPA 规则受限使用——Didit 将其分享给有合法需求并已签署保密协议的潜在客户和现有客户。此处仅引用,不发布。
什么是 SOC 2
SOC 2(系统和组织控制 2)是美国注册会计师协会(AICPA)为处理客户数据的服务组织开发的一个证明框架。独立审计师根据一个或多个信任服务标准审查提供商的控制措施,并发布一份报告,描述审查内容和审计师的结论。
共有五个信任服务标准,提供商选择适用于其服务的标准:
- 安全性——保护系统免受未经授权的访问(每个 SOC 2 报告都包含的唯一标准)。
- 可用性——系统按承诺可用于操作和使用。
- 保密性——受保密指定的信息受到保护。
- 处理完整性——处理是完整、有效、准确和及时的。
- 隐私——个人信息按照提供商的隐私声明进行处理。
Didit 的报告涵盖了安全性、可用性和保密性——这三个与客户入职关键路径上的身份提供商最相关的标准。
Type 1 和 Type 2——重要的区别
在任何 SOC 2 报告上,最重要的一点是正确解读它是 Type 1 还是 Type 2,因为它们证明了不同的内容:
| Type 1 | Type 2 | |
|---|---|---|
| 证明内容 | 控制措施的设计 | 控制措施的操作有效性 |
| 时间范围 | 一个时间点(“截至”某个日期) | 一段时间(通常为 3-12 个月) |
| 回答的问题 | 是否具备正确的控制措施并设计得当? | 这些控制措施在一段时间内是否实际有效运行? |
Didit 当前的证明是 Type 1,截至 2026 年 4 月 9 日——它确认了安全性、可用性和保密性方面的控制措施已就位并设计得当。一项 Type 2 审查,将测试这些控制措施在一段时间内的有效运行情况,是路线图上的下一次审查,计划在 Type 1 报告的 12 个月标志使用期结束前进行。Didit 目前不声称拥有 Type 2 认证。
为何重要
对于买家而言,SOC 2 报告是“独立审计师已审查此提供商的控制措施,因此您无需从头开始”的简写。它将原本需要定制的安全审计压缩成您的团队已经知道如何阅读的标准工件。对于美国企业、金融科技公司或任何拥有成熟供应商风险流程的组织来说,SOC 2 报告的存在通常决定了提供商是否能通过采购。
Type 1 特别告诉买家,控制环境在某个时间点设计正确——这是一个强大的起点,也是 Type 2 将增加的操作有效性保证的自然前身。
Didit 如何提供帮助
一份获得认可的证明,随时可用于您的问卷。 Didit 的 SOC 2 Type 1 报告——审计实体 Didit Identity, Inc.,范围内的系统是 Didit 软件应用程序,审计师 ATOM(信息安全隐私)——直接回答了美国安全问卷中 SOC 2 的问题。由于安全性、可用性和保密性都在范围内,它涵盖了大多数审查人员关注的入职依赖关系标准。
范围诚实,不夸大。 Didit 的证明是 Type 1。我们声明是 Type 1。Type 2 审查已在我们的续期日历上计划并设定日期(必须在 2027 年 4 月 9 日之前发布,即 Type 1 报告标志使用期的结束)。买家永远不必发现所声称与报告内容之间的差距。
以正确的方式共享。 完整的 SOC 2 Type 1 报告根据 AICPA 规则受限使用。Didit 将其分享给有合法需求并已签署保密协议的潜在客户和现有客户——这是 SOC 2 报告的标准、预期处理方式。安全与合规中心是请求它的起点。
作为堆栈的一部分,而非独立存在。 SOC 2 Type 1 与 Didit 的 ISO/IEC 27001:2022 认证(证书编号 ES144068,有效期至 2027 年 6 月 3 日)、iBeta Level 1 PAD 生物识别防欺骗(360 次尝试攻击成功率为 0%)以及西班牙政府沙盒结论(Didit 的远程验证超越了面对面标准)并存。它们共同为尽职调查团队提供了多条独立的保证线。
深入探讨:如何在尽职调查中阅读 Didit 的 SOC 2 报告
当您的团队根据保密协议审查报告时,需要确认以下要素:
- 报告类型——Type 1(控制措施设计)。注意计划中的 Type 2。
- 截至日期——2026 年 4 月 9 日。
- 信任服务标准——安全性、可用性、保密性。
- 被审计实体——Didit Identity, Inc.。
- 范围内的系统——Didit 软件应用程序。
- 审计师——ATOM,AICPA SOC 服务组织框架下的独立服务审计师。
将 SOC 2 报告与可分发的 ISO 27001 证书配对,以获得完整的信息安全图景:ISO 27001 证明了经过认证的管理系统,SOC 2 证明了根据信任标准独立审查的控制措施。
使用案例
- 美国企业采购,其中 SOC 2 报告是清除供应商审查的硬性门槛。
- 金融科技和支付买家评估入职依赖关系的安全性与可用性。
- 安全和 GRC 团队将提供商的控制措施映射到他们自己的框架。
- 合规官整理需要独立、认可保证的供应商文件。
常见问题
Didit 是 SOC 2 Type 1 还是 Type 2?
Type 1。报告证明了截至 2026 年 4 月 9 日,安全性、可用性和保密性方面的控制措施设计。一项 Type 2 审查,将测试一段时间内的操作有效性,已在计划中。
报告涵盖哪些信任服务标准?
安全性、可用性和保密性——这三个与入职路径上的身份提供商最相关的标准。
谁审计了 Didit?
ATOM,AICPA SOC 服务组织框架下的独立服务审计师。
我能获得报告副本吗?
完整的 SOC 2 Type 1 报告根据 AICPA 规则受限使用。Didit 将其分享给有合法需求并已签署保密协议的潜在客户和现有客户。请从安全与合规中心开始请求。
SOC 2 Type 2 报告何时可用?
Type 2 审查已在计划中,将在 Type 1 报告的 12 个月标志使用期结束前发布(最晚不迟于 2027 年 4 月 9 日)。
准备好开始了吗?
请在安全与合规中心查看 Didit 的完整认证堆栈,在身份验证产品页面探索报告涵盖的验证服务,并在定价页面查看透明的按次检查定价。准备就绪后,免费开始——每月在 SOC 2 Type 1 认证平台上免费进行 500 次 KYC 检查。