Nelle ultime settimane, abbiamo approfondito i rapporti SSAE 16 SOC 2. Abbiamo esaminato cos’è una relazione SOC 2, le differenze tra una relazione di tipo I e una relazione di tipo II e il motivo per cui la Sezione III è così importante. Questa settimana ci accingiamo a guardare quelli che vengono chiamati i 5 Principi di servizio di fiducia. Questi sono molto specifici per il rapporto SSAE 16 SOC 2 e sono fondamentali quando si passa attraverso l’intero processo.
Prima di approfondire i 5 principi del servizio di fiducia, definiamo cosa sono e perché sono così importanti. Secondo l’AICPA, i 5 Trust Service Principles sono “un insieme di attestazione professionale e servizi di consulenza basati su un nucleo di principi e criteri che affrontano i rischi e le opportunità dei sistemi IT e dei programmi di privacy.”Whew, quello era un boccone! Ma cosa significa in termini più semplici? I 5 Principi del servizio fiduciario sono criteri definiti, o controlli, che devono essere soddisfatti per esprimere un parere non qualificato quando si passa attraverso il rapporto SSAE 16 SOC 2. Essenzialmente questo significa che il revisore non ha trovato eccezioni significative, o risultati, durante l’impegno (io.e.un risultato favorevole).
Quindi, diamo un’occhiata a quali sono i 5 principi del servizio di fiducia e ne diamo una definizione di alto livello:
- Sicurezza – Il sistema è protetto contro gli accessi non autorizzati, sia fisica che logica
- Disponibilità – Il sistema è disponibile per il funzionamento e l’utilizzo come commesso e / o concordati
- Elaborazione di Integrità del Sistema di elaborazione è completa, accurata, tempestiva e autorizzato
- la Riservatezza delle Informazioni considerate riservate è protetto come commesso e / o concordati
- Privacy – i dati Personali vengono raccolti, utilizzati, conservati, resi noti, e distrutti in conformità con gli impegni dell’entità informativa sulla privacy e con i criteri stabilito nei principi sulla privacy generalmente accettati (GAPP)
Ora che conosciamo i 5 principi del servizio fiduciario, rimane una domanda importante: chi sceglie e determina quali principi del servizio fiduciario sono nell’ambito di un rapporto SSAE 16 SOC 2? Anche se non esiste una lista di controllo che è possibile utilizzare per identificare quali principi del servizio di fiducia sono nell’ambito, si tratta di gestione e di un auditor ben addestrato per prendere tale decisione dopo aver esaminato i sistemi nell’ambito del rapporto SOC 2 e l’infrastruttura, il software, le persone, le politiche/procedure e i dati che circondano
La linea di fondo è che, se ti stai preparando a passare attraverso il processo di report SSAE 16 SOC 2 (un tipo I o un Tipo II), sarebbe nel tuo interesse coinvolgere un professionista per assistere sia la tua Sezione III che delineare quali Principi del servizio di fiducia saranno nell’ambito, in base a quei fattori sopra descritti. Per aiuto per iniziare e passare attraverso il processo di report SSAE 16 SOC 2, contattaci per una consulenza senza costi. Per ulteriori informazioni sui nostri servizi, non esitate a scaricare il nostro SSAE 16 Servizi brochure qui sotto.