Durante las últimas semanas, hemos estado investigando los informes SSAE 16 SOC 2. Hemos examinado qué es un informe SOC 2, las diferencias entre un informe de tipo I y un informe de tipo II, y por qué la sección III es tan importante. Esta semana vamos a ver lo que se llaman los 5 Principios de Servicio de Confianza. Estos son muy específicos del informe SSAE 16 SOC 2 y son fundamentales a la hora de pasar por todo el proceso.
Antes de profundizar en los 5 Principios del Servicio de Confianza, definamos cuáles son y por qué son tan importantes. De acuerdo con la AICPA, los 5 Principios de Servicio de Confianza son «un conjunto de servicios de certificación y asesoramiento profesionales basados en un conjunto básico de principios y criterios que abordan los riesgos y oportunidades de los sistemas habilitados para TI y los programas de privacidad.»¡Eso fue un trabalenguas! Pero ¿qué significa eso en términos más simples? Los 5 Principios del Servicio de Confianza son criterios definidos, o controles, que deben cumplirse para emitir una opinión sin reservas al revisar su informe SSAE 16 SOC 2. Esencialmente, esto significa que el auditor no encontró ninguna excepción significativa, o hallazgos, durante el compromiso (i.e. un resultado favorable).
Así que con eso, veamos cuáles son los 5 Principios de Servicio de Confianza y démosles una definición de alto nivel:
- Seguridad – El sistema está protegido contra el acceso no autorizado, tanto físico como lógico
- Disponibilidad – El sistema está disponible para su funcionamiento y uso según lo comprometido o acordado
- Integridad del procesamiento – El procesamiento del sistema es completo, preciso, oportuno y autorizado
- Confidencialidad – La información designada como confidencial está protegida según lo comprometido o acordado
- Privacidad – Se recopila información personal, utilizados, retenidos, divulgados y destruidos de conformidad con los compromisos del aviso de privacidad de la entidad y con los criterios establecidos en los Principios de Privacidad Generalmente Aceptados (GAPP)
Ahora que conocemos los 5 Principios de Servicio de Confianza, queda una pregunta importante: ¿Quién elige y determina qué Principios de Servicio de Confianza están en el alcance de un Informe SSAE 16 SOC 2? Si bien no hay una lista de verificación que pueda usar para identificar qué Principios de Servicio de Confianza están en el alcance, se reduce a la administración y a un auditor bien capacitado para tomar esa decisión después de examinar los sistemas en el alcance para el informe SOC 2 y la infraestructura, el software, las personas, las políticas/procedimientos y los datos que rodean a ese sistema que está en el alcance.
La conclusión es que, si se está preparando para pasar por el proceso de Informe SSAE 16 SOC 2 (ya sea un Tipo I o un Tipo II), sería de su mejor interés contratar a un profesional para que lo ayude con su Sección III, así como para describir qué Principios de Servicio de Confianza estarán en el alcance, en función de los factores descritos anteriormente. Para obtener ayuda para comenzar y pasar por el proceso de informes SSAE 16 SOC 2, contáctenos para una consulta gratuita. Para obtener más información sobre nuestros servicios, no dude en descargar nuestro folleto de servicios SSAE 16 a continuación.