Preguntas relacionadas con SAS70

Para los centros de datos, el desafío asociado con la adopción de SAS70 y SSAE16 es que ambos estándares se centran en los controles internos sobre la información financiera corporativa (ICFR). El control interno sobre la información financiera corporativa es el contenido central de la Ley Sarbanes-Oxley que las empresas deben cumplir. Sin embargo, en la mayoría de los casos, los controles internos sobre los informes financieros se limitan al servicio a los clientes del centro de datos. Las opciones limitadas de generación de informes crean un dilema para algunos centros de datos.

Certificación de sistemas de control de organizaciones de servicios

El Instituto Americano de Contadores Públicos Certificados es consciente de este problema y ha creado un conjunto de opciones de informes para proveedores de servicios denominado: ServiceOrganizationControls System Certification (SOC). ) Informe, recién realizado la transición a SSAE16. El propósito de los informes SOC es brindar a los proveedores de servicios opciones para que puedan brindar informes más relevantes a sus clientes.

SOC1 se basa en SSAE16 y es similar a su predecesor SAS70, centrándose en el control interno de los informes financieros de una empresa. SOC1 es más relevante para los centros de datos que atienden a clientes que requieren controles internos sobre los informes financieros.

Los informes SOC2 y SOC3 se basan en los principios de confianza de la AICPA: Seguridad: Medidas físicas y lógicas para evitar el acceso no autorizado. Disponibilidad: Especifica el uso y funcionamiento del sistema. Integridad del sistema de procesamiento: Autorización, exactitud, integridad y oportunidad del procesamiento del sistema. Confidencialidad: Proteger la información confidencial. Privacidad: la información se recopila, procesa y elimina de acuerdo con los principios de privacidad generalmente aceptados de la AICPA. SOC3 es un informe general que únicamente contiene la opinión de un auditor, es decir, si se han cumplido los estándares de verificación del sistema de control de la organización de servicios. SOC3 no incluye detalles de respaldo y es más útil para marketing con propósito.

Sin embargo, SOC2 debería ser muy útil para los centros de datos que deben cumplir con los requisitos de auditoría de los clientes. La mayoría de los proveedores de servicios de centros de datos se dan cuenta de que los conceptos de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad son más importantes que los controles internos que proporcionan sobre los informes financieros corporativos. El informe SOC2 incluye una descripción de los sistemas del centro de datos, así como la opinión del auditor sobre la descripción justa y la idoneidad del diseño. El informe también incluye una descripción de las pruebas realizadas por el auditor empresarial y los resultados de las pruebas.

El alcance de SOC2 puede incluir cualquier combinación de principios de servicio de confianza. Por ejemplo, los clientes de instalaciones de colocación pueden sentir que la seguridad es el único principio coherente con los servicios que prestan. Sin embargo, el proveedor del servicio de hosting podrá considerar que la seguridad está relacionada con los principios de disponibilidad y confidencialidad.