Das Attestation of Compliance (AOC) ist ein formelles Dokument, das bestätigt, dass eine Organisation die Anforderungen eines spezifischen Sicherheitsstandards – meistens PCI DSS – erfolgreich erfüllt hat.
Ein AOC dient als offizieller Nachweis für externe Partner, Banken und Kunden, dass die Sicherheitsprüfung (das Audit) abgeschlossen wurde und die Organisation "compliant" ist. Besonders im Zahlungsverkehr-Standard PCI DSS ist das AOC das entscheidende Dokument, das von einem Qualified Security Assessor (QSA) unterzeichnet wird.
Während der eigentliche Report on Compliance (ROC) oft hochsensible Details über die IT-Infrastruktur enthält, ist das AOC eine zusammenfassende Bestätigung, die bedenkenlos an Geschäftspartner weitergegeben werden kann. Es belegt, dass alle relevanten Controls geprüft und für wirksam befunden wurden. Für GRC-Teams ist das AOC der "Zielstrich" eines oft monatelangen Vorbereitungsprozesses, in dem Beweise gesammelt und Assets gehärtet wurden.