de afgelopen weken hebben we ons verdiept in de SSAE 16 SOC 2 rapporten. We hebben gekeken naar wat een SOC 2-verslag is, naar de verschillen tussen een type I-en type II-verslag en waarom Deel III zo belangrijk is. Deze week gaan we kijken naar wat de 5 Trust Service Principles worden genoemd. Deze zijn zeer specifiek voor het SSAE 16 SOC 2-rapport en zijn van cruciaal belang bij het doorlopen van het hele proces.
voordat we ingaan op de 5 Trust Service principes, laten we definiëren wat ze zijn en waarom ze zo belangrijk zijn. Volgens de AICPA, de 5 Trust Service Principles zijn “een set van professionele attest en adviesdiensten op basis van een kernset van principes en criteria die de risico’ s en kansen van IT-enabled systemen en privacy-programma ‘ s aan te pakken.”OEF, dat was een mondvol! Maar wat betekent dat in eenvoudigere termen? De 5 principes van de vertrouwensdienst zijn gedefinieerde criteria of controles waaraan moet worden voldaan om een verklaring zonder beperking te geven wanneer u uw SSAE 16 SOC 2-rapport doorneemt. In wezen betekent dit dat de auditor geen significante uitzonderingen of bevindingen heeft gevonden tijdens de opdracht (i.e. een gunstig resultaat).
laten we eens kijken naar wat de 5 principes van vertrouwensdiensten zijn en een definitie van deze principes op hoog niveau geven:
- Beveiliging – Het systeem is beveiligd tegen ongeoorloofde toegang, zowel voor fysieke en logische
- Beschikbaarheid van Het systeem is klaar voor gebruik en te gebruiken als gepleegd of overeengekomen
- Processing Integrity – Systeem voor de verwerking is voltooid, nauwkeurige, tijdige en geautoriseerd
- Vertrouwelijkheid – Informatie aangewezen als vertrouwelijk is beschermd gepleegd of overeengekomen
- Privacy – Persoonlijke informatie wordt verzameld, gebruikt, bewaard, openbaar gemaakt, en vernietigd in overeenstemming met de vastleggingen van de entiteit ‘ s privacybeleid en de criteria uiteengezet in algemeen aanvaarde privacybeginselen (GAPP)
nu we de 5 Trust Service Principles kennen, is er één belangrijke vraag die overblijft: Wie kiest en bepaalt welke Trust Service Principles in het kader zijn van een SSAE 16 SOC 2 rapport? Hoewel er geen checklist is die u kunt gebruiken om te bepalen welke Vertrouwensdienstprincipes in het bereik liggen, komt het neer op management en een goed opgeleide auditor om die beslissing te nemen na te kijken naar de systemen in het bereik voor het SOC 2-rapport en de infrastructuur, software, mensen, beleid/procedures en gegevens die dat systeem omringen dat in het bereik is.
het komt erop neer dat, als u klaar bent om het SSAE 16 SOC 2-Rapportproces te doorlopen (een type I of een type II), het in uw belang zou zijn om een professional in te schakelen om u te helpen met zowel uw sectie III als met het schetsen van de principes van de vertrouwensdienst, gebaseerd op de hierboven beschreven factoren. Neem voor hulp bij het starten en doorlopen van het SSAE 16 SOC 2-rapport contact met ons op voor een gratis consult. Voor meer informatie over onze diensten, voel je vrij om onze SSAE 16 diensten brochure hieronder te downloaden.