Au cours des dernières semaines, nous avons fouillé dans les rapports SSAE 16 SOC 2. Nous avons examiné ce qu’est un rapport SOC 2, les différences entre un rapport de type I et un rapport de type II et pourquoi la section III est si importante. Cette semaine, nous allons examiner ce qu’on appelle les 5 Principes de service de confiance. Ceux-ci sont très spécifiques au rapport SSAE 16 SOC 2 et sont essentiels lors de l’ensemble du processus.
Avant d’approfondir les 5 Principes du service de confiance, définissons ce qu’ils sont et pourquoi ils sont si importants. Selon l’AICPA, les 5 Principes de service de confiance sont « un ensemble de services d’attestation et de conseil professionnels basés sur un ensemble de principes et de critères de base qui traitent des risques et des opportunités des systèmes informatiques et des programmes de confidentialité. »Ouf, c’était une bouchée! Mais qu’est-ce que cela signifie en termes plus simples? Les 5 Principes de Service de confiance sont des critères définis, ou des contrôles, qui doivent être respectés pour rendre une opinion sans réserve lors de la lecture de votre rapport SSAE 16 SOC 2. Cela signifie essentiellement que l’auditeur n’a pas trouvé d’exceptions ou de constatations importantes au cours de la mission (i.e. un résultat favorable).
Donc, regardons ce que sont les 5 Principes de service de confiance et en donnons une définition de haut niveau:
- Sécurité – Le système est protégé contre tout accès non autorisé, physique et logique
- Disponibilité – Le système est disponible pour le fonctionnement et l’utilisation conformément aux engagements ou aux accords
- Intégrité du traitement – Le traitement du système est complet, exact, opportun et autorisé
- Confidentialité – Les informations désignées comme confidentielles sont protégées conformément aux engagements ou aux accords
- Confidentialité – Les informations personnelles sont collectées, utilisés, conservés, divulgués et détruits conformément aux engagements figurant dans la déclaration de confidentialité de l’entité et aux critères énoncés dans les Principes de confidentialité généralement acceptés (GAPP)
Maintenant que nous connaissons les 5 Principes de Service de confiance, il reste une question majeure : Qui choisit et détermine quels Principes de Service de confiance sont applicables à un rapport SSAE 16 SOC 2 ? Bien qu’il n’y ait pas de liste de contrôle que vous puissiez utiliser pour identifier les principes de service de confiance qui sont dans la portée, il revient à la direction et à un auditeur bien formé de prendre cette décision après avoir examiné les systèmes dans la portée du rapport SOC 2 et l’infrastructure, les logiciels, les personnes, les politiques / procédures et les données qui entourent ce système qui est dans la portée.
En bout de ligne, si vous vous apprêtez à passer par le processus de rapport SSAE 16 SOC 2 (soit un Type I ou un type II), il serait dans votre intérêt de faire appel à un professionnel pour vous aider à la fois à votre Section III et à définir les Principes de service de confiance qui seront visés, en fonction des facteurs décrits ci-dessus. Pour obtenir de l’aide pour démarrer et passer par le processus de rapport SSAE 16 SOC 2, contactez-nous pour une consultation gratuite. Pour plus d’informations sur nos services, n’hésitez pas à télécharger notre brochure SSAE 16 Services ci-dessous.