Selección de los Principios SOC 2
Los Principios de Servicios de confianza
Criterios de servicios de confianza
En una interacción SOC 2 sin privacidad, se debe incluir el principio de seguridad. Principio de seguridad como el criterio común que se aplica a cualquier compromiso SOC 2 y se aplica en todos los ámbitos a todos los principales involucrados, excepto para la privacidad. Los principios de seguridad se refieren a si el sistema está protegido (tanto física como lógicamente) contra el acceso no autorizado.
Si los servicios que ofrece su organización tratan con datos confidenciales, como Información de Identificación Personal (PII) o Información de Salud Protegida (PHI), el principio de Confidencialidad debe estar presente en su informe de auditoría SOC 2. El principio de confidencialidad aborda los acuerdos que tiene con los clientes con respecto a cómo usa su información, quién tiene acceso a ella y cómo la protege. ¿Está cumpliendo con sus obligaciones contractuales protegiendo adecuadamente la información del cliente?
¿Se está asegurando de que los sistemas (infraestructura y aplicación) que proporciona a sus clientes estén disponibles para su funcionamiento y se utilicen según los tiempos de actividad acordados? La disponibilidad indica si los servicios que proporciona están operando con el tipo de disponibilidad que sus clientes esperan Y están documentados en su ANS. El principio de disponibilidad se aplica normalmente a las empresas que proporcionan servicios de alojamiento, centro de datos, servicios basados en SAAS (Software Como Servicio) o servicios de alojamiento a sus clientes.
Si los servicios que proporciona son servicios financieros o de comercio electrónico y están relacionados con la integridad de las transacciones, la Integridad del procesamiento es un principio que debe incluirse en su auditoría SOC 2 . Debe asegurarse de que los servicios que proporciona a sus clientes sean completos, precisos, autorizados y puntuales.
Por último, tenemos el principio de privacidad. El principio de privacidad es muy único y realmente se mantiene por sí solo. Se refiere específicamente a cómo recopila y / o utiliza la información personal de los consumidores y si tienen derecho a excluirse de cómo se utiliza su información. Garantiza que su organización está manejando los datos de los clientes de acuerdo con cualquier compromiso en el aviso de privacidad de la entidad como comprometido o acordado y con criterios definidos en los principios de privacidad generalmente aceptados emitidos por la AICPA.
Por lo tanto, no necesariamente debe abordar los cinco Principios de Servicios de Confianza en su informe de auditoría SOC 2, sin embargo, debe seleccionar los principios que son relevantes para los servicios que está brindando a sus clientes
Algunos buenos consejos para asegurarse de que:
- Un buen lugar para comenzar es siempre consultar con su cliente sobre sus expectativas de los Principios de Confianza en los que esperan que se certifique.
- También puede consultar el ANS que ha firmado y recibir comentarios de las partes interesadas.
- Por último, pero no menos importante, mire la visión de su empresa en cuanto a lo que se ha comprometido a ofrecer a su cliente, incluso si no esperan lo mismo.
Conclusión
Si bien las organizaciones no están necesariamente obligadas a abordar los cinco Principios de los Servicios de Confianza en su informe de auditoría SOC 2, deben seleccionar los principios que sean relevantes para los servicios que brindan a sus clientes. En mi opinión, es mejor que las organizaciones discutan lo mismo con los consultores para saber lo que se requiere para su negocio.
Si está listo para comenzar su auditoría SOC 2 y necesita ayuda para determinar cuáles de los Principios de Servicios de Confianza debe incluir, contáctenos hoy mismo. Con docenas de certificaciones SOC1/2/3 exitosas en nuestro haber, proporcionamos nuestros servicios de certificación SOC2 a través de nuestra oficina de EE.UU. (VISTA InfoSec LLC) Y tenemos nuestro propio CPA acreditado AICPA para garantizar que los informes sean completamente legítimos.
Vea el seminario web Sobre los Principios de Confianza de SOC2