In den letzten Wochen haben wir uns mit den SSAE 16 SOC 2-Berichten befasst. Wir haben untersucht, was ein SOC 2-Bericht ist, welche Unterschiede zwischen einem Typ I- und einem Typ II-Bericht bestehen und warum der Abschnitt III so wichtig ist. Diese Woche werden wir uns die sogenannten 5 Trust Service Principles ansehen. Diese sind sehr spezifisch für den SSAE 16 SOC 2-Bericht und für den gesamten Prozess von entscheidender Bedeutung.
Bevor wir uns mit den 5 Trust Service Principles befassen, wollen wir definieren, was sie sind und warum sie so wichtig sind. Laut AICPA sind die 5 Trust Service Principles „eine Reihe von professionellen Zertifizierungs- und Beratungsdiensten, die auf einem Kernsatz von Prinzipien und Kriterien basieren, die sich mit den Risiken und Chancen von IT-fähigen Systemen und Datenschutzprogrammen befassen.“ Puh, das war ein Schluck! Aber was bedeutet das in einfacheren Worten? Die 5 Trust Service Principles sind definierte Kriterien oder Kontrollen, die erfüllt sein müssen, um eine unqualifizierte Meinung abzugeben, wenn Sie Ihren SSAE 16 SOC 2-Bericht durchgehen. Im Wesentlichen bedeutet dies, dass der Abschlussprüfer während des Auftrags keine wesentlichen Ausnahmen oder Feststellungen gefunden hat (i.e. ein günstiges Ergebnis).
Schauen wir uns also die 5 Trust Service Principles an und definieren sie auf hoher Ebene:
- Sicherheit – Das System ist vor unbefugtem Zugriff geschützt, sowohl physisch als auch logisch
- Verfügbarkeit – Das System steht für den Betrieb und die Verwendung als zugesagt oder vereinbart zur Verfügung
- Verarbeitungsintegrität – Die Systemverarbeitung ist vollständig, genau, zeitnah und autorisiert
- Vertraulichkeit – Als vertraulich bezeichnete Informationen sind als zugesagt oder vereinbart geschützt
- Datenschutz – verwendet, aufbewahrt, offengelegt und vernichtet werden, in Übereinstimmung mit den Verpflichtungen in der Datenschutzerklärung des Unternehmens und mit den Kriterien in den allgemein anerkannten Datenschutzgrundsätzen (GAPP) dargelegt)
Jetzt, da wir die 5 Trust Service Principles kennen, bleibt eine wichtige Frage: Wer wählt und bestimmt, welche Trust Service Principles für einen SSAE 16 SOC 2-Bericht gelten? Es gibt zwar keine Checkliste, mit der Sie ermitteln können, welche Trust Service-Prinzipien in den Geltungsbereich fallen, aber es kommt darauf an, dass das Management und ein gut ausgebildeter Auditor diese Entscheidung treffen, nachdem Sie sich die Systeme im Geltungsbereich für den SOC 2-Bericht und die Infrastruktur angesehen haben, Software, Personen, Richtlinien / Verfahren und Daten, die das System umgeben, das in den Geltungsbereich fällt.
Fazit ist, wenn Sie sich darauf vorbereiten, den SSAE 16 SOC 2-Berichtsprozess (entweder einen Typ I oder einen Typ II) zu durchlaufen, wäre es in Ihrem besten Interesse, einen Fachmann zu beauftragen, der sowohl bei Ihrem Abschnitt III als auch bei der Festlegung der Trust-Service-Prinzipien unterstützt wird Geltungsbereich, basierend auf den oben beschriebenen Faktoren. Wenn Sie Hilfe bei den ersten Schritten und beim Durchlaufen des SSAE 16 SOC 2-Berichtsprozesses benötigen, kontaktieren Sie uns für eine kostenlose Beratung. Für weitere Informationen zu unseren Dienstleistungen können Sie unsere SSAE 16 Services Broschüre herunterladen.