în ultimele câteva săptămâni, am săpat în rapoartele SSAE 16 SOC 2. Am analizat ce este un raport SOC 2, diferențele dintre un raport de tip I și de tip II și de ce Secțiunea III este atât de importantă. În această săptămână ne vom uita la ceea ce se numește principiile serviciului de încredere 5. Acestea sunt foarte specifice raportului SSAE 16 SOC 2 și sunt critice atunci când parcurgeți întregul proces.
înainte de a săpa în cele 5 principii ale Serviciului de încredere, să definim ce sunt și de ce sunt atât de importante. Conform AICPA, cele 5 principii ale Serviciului de încredere sunt „un set de servicii profesionale de atestare și consultanță bazate pe un set de principii și criterii de bază care abordează riscurile și oportunitățile sistemelor IT și ale programelor de confidențialitate.”Whew, care a fost o îmbucătură! Dar ce înseamnă asta în termeni mai simpli? Cele 5 principii ale Serviciului de încredere sunt criterii definite sau controale care trebuie îndeplinite pentru a oferi o opinie necalificată atunci când treceți prin raportul SSAE 16 SOC 2. În esență, aceasta înseamnă că auditorul nu a găsit excepții sau constatări semnificative în timpul angajamentului (i.e. un rezultat favorabil).
deci, cu asta, să ne uităm la ceea ce sunt principiile serviciului de încredere 5 și să le oferim o definiție la nivel înalt:
- Securitate – Sistemul este protejat împotriva accesului neautorizat, atât fizic, cât și logic
- disponibilitate – sistemul este disponibil pentru operare și utilizare conform angajamentului sau Acordului
- integritatea procesării – procesarea sistemului este completă, precisă, în timp util și autorizată
- confidențialitate – informațiile desemnate ca confidențiale sunt protejate conform angajamentului sau Acordului
- confidențialitate – informațiile personale sunt colectate, utilizate, păstrate, dezvăluite și distruse în conformitate cu angajamentele din notificarea de Confidențialitate a entității și cu criteriile stabilite în principiile de Confidențialitate general acceptate (GAPP)
acum că cunoaștem cele 5 principii ale Serviciului de încredere, rămâne o întrebare majoră: cine alege și determină ce principii ale Serviciului de încredere sunt în sfera de aplicare a unui raport SSAE 16 SOC 2? Deși nu există o listă de verificare pe care să o puteți utiliza pentru a identifica principiile serviciului de încredere, este vorba de management și de un auditor bine instruit pentru a lua această decizie după ce ați analizat sistemele din domeniul de aplicare al raportului SOC 2 și infrastructura, software-ul, oamenii, politicile/procedurile și datele care înconjoară acel sistem care este în domeniul de aplicare.
concluzia este că, dacă vă pregătiți să parcurgeți procesul de raportare SSAE 16 SOC 2 (fie un tip I, fie un tip II), ar fi în interesul dvs. să angajați un profesionist care să vă asiste atât în secțiunea III, cât și în prezentarea principiilor serviciului de încredere, pe baza acelor factori subliniați mai sus. Pentru a vă ajuta să începeți și să parcurgeți procesul de raportare SSAE 16 SOC 2, contactați-ne pentru o consultare fără costuri. Pentru mai multe informații despre serviciile noastre, nu ezitați să descărcați broșura noastră de servicii SSAE 16 de mai jos.