Complementary User Entity Controls (CUEC's), in SOC 2-rapporten vaak aangeduid als CAROC, zijn de beveiligingsmaatregelen die klanten van een serviceorganisatie aan hun zijde moeten implementeren om volledig te profiteren van de beveiligingshouding van de dienst. Deze maatregelen adresseren het gedeelde verantwoordelijkheidsmodel, waarbij de serviceprovider zijn infrastructuur beveiligt maar de klant zelf verantwoordelijk is voor eigen toegang, configuraties en gegevensverwerking.
Bij het beoordelen van een SOC 2-rapport moeten organisaties de vermelde CUEC's zorgvuldig bestuderen om hun resterende verplichtingen te begrijpen. Veelvoorkomende voorbeelden zijn het afdwingen van meerfactorauthenticatie voor gebruikersaccounts, het configureren van passende toegangsrechten en het onderhouden van eigen back-upprocedures. Het niet implementeren van vereiste CUEC's kan aanzienlijke beveiligingslacunes achterlaten ondanks de certificering van de provider.