El estándar de facto que los compradores empresariales de EE. UU. piden a los proveedores SaaS. Lo dirige un auditor —la auditoría la realizan firmas de CPA— y el resultado es un informe SOC 2, de Tipo 1 o Tipo 2, no una certificación.
Los cinco Criterios de Servicios de Confianza (Seguridad, Disponibilidad, Integridad del procesamiento, Confidencialidad, Privacidad) son enunciados de objetivos, no controles prescriptivos; Cybsis 2.0 los asigna a los controles ISO 27001 subyacentes para que las mismas implementaciones de control satisfagan ambos marcos.