under de senaste veckorna har vi grävt in i SSAE 16 SOC 2-rapporterna. Vi har tittat på vad en SOC 2-rapport är, skillnaderna mellan en typ I och typ II-rapport och varför avsnitt III är så viktigt. Den här veckan ska vi titta på vad som kallas 5 Trust Service-principerna. Dessa är mycket specifika för SSAE 16 SOC 2-rapporten och är kritiska när de går igenom hela processen.
innan vi gräver i de 5 principerna för betrodda tjänster, låt oss definiera vad de är och varför de är så viktiga. Enligt AICPA, de 5 Trust Service-principerna är ” en uppsättning professionella intyg och rådgivningstjänster baserade på en kärnuppsättning principer och kriterier som tar itu med riskerna och möjligheterna med IT-aktiverade system och sekretessprogram.”Whew, det var en munfull! Men vad betyder det i enklare termer? De 5 principerna för betrodda tjänster är definierade kriterier, eller kontroller, som måste uppfyllas för att göra en okvalificerad åsikt när du går igenom din SSAE 16 SOC 2-rapport. I huvudsak innebär detta att revisorn inte hittade några väsentliga undantag eller resultat under uppdraget (i.E. ett gynnsamt resultat).
så med det, låt oss titta på vad de 5 Trust Service-principerna är och ge en definition på hög nivå av dem:
- säkerhet – systemet är skyddat mot obehörig åtkomst, både fysisk och logisk
- tillgänglighet – systemet är tillgängligt för drift och användning som engagerat eller överenskommet
- Behandlingsintegritet – systembehandlingen är fullständig, korrekt, aktuell och auktoriserad
- Sekretess – Information som betecknas som konfidentiell skyddas som engagerad eller överenskommen
- sekretess – personlig information samlas in används, behålls, avslöjas och förstörs i enlighet med åtagandena i företagets integritetsmeddelande och med kriterierna anges i allmänt accepterade sekretessprinciper (GAPP)
nu när vi känner till 5 principer för betrodda tjänster finns det en viktig fråga som återstår: Vem väljer och bestämmer vilka principer för betrodda tjänster som finns för en SSAE 16 SOC 2-rapport? Även om det inte finns en checklista som du kan använda för att identifiera vilka principer för Förtroendetjänster som omfattas, kommer det ner till ledningen och en välutbildad revisor att fatta det beslutet efter att ha tittat på systemen i omfattning för SOC 2-rapporten och infrastrukturen, programvaran, människorna, policyerna/förfarandena och data som omger det systemet som omfattas.
Bottom line är att om du gör dig redo att gå igenom SSAE 16 SOC 2-Rapportprocessen (antingen en typ i eller en typ II), skulle det vara i ditt bästa intresse att engagera en professionell för att hjälpa till med både din avsnitt III samt att beskriva vilka principer för Förtroendetjänster som kommer att omfattas, baserat på de faktorer som beskrivs ovan. För att få hjälp att komma igång med och gå igenom SSAE 16 SOC 2 Rapportprocessen, kontakta oss för en kostnadsfri konsultation. För mer information om våra tjänster, Ladda ner vår SSAE 16-tjänstebroschyr nedan.
