De facto standard, mida USA ettevõtted SaaS-tarnijatelt küsivad. Audiitori-juhitud (auditi viivad läbi CPA-firmad), väljund on SOC 2 raport (Type 1 või Type 2), mitte sertifikaat.
Viis Trust Services Criteria (turvalisus, käideldavus, töötlemise terviklus, konfidentsiaalsus, privaatsus) on eesmärkide deklaratsioonid, mitte ettekirjutavad meetmed — Cybsis 2.0 kaardistab need ISO 27001 aluseks olevatele meetmetele, nii et samad juurutused rahuldavad mõlemat.