SOC2原則の選択
信頼サービス原則
信頼サービス基準
非プライバシー SOC2エンゲージメントでは、セキュリティ原則 セキュリティ原則は、SOC2の関与に適用され、プライバシーを除く関係するすべてのプリンシパルに全面的に適用される共通基準としてのものです。 セキュリティ原則は、システムが不正アクセスから(物理的および論理的に)保護されているかどうかに対処します。
組織が提供するサービスが、個人を特定できる情報(PII)や保護された健康情報(PHI)などの機密データを扱う場合、機密性原則はSOC2監査 機密性の原則は、お客様が情報をどのように使用するか、情報にアクセスできる人、および情報をどのように保護するかに関して、お客様がクライア お客様の情報を適切に保護することにより、契約上の義務に従っていますか?
クライアントに提供するシステム(インフラストラクチャとアプリケーション)が運用可能であり、合意された稼働時間に従って使 可用性は、提供するサービスが、クライアントが期待し、SLAに文書化されている可用性のタイプで動作しているかどうかに対処します。 可用性の原則は、通常、コロケーション、データセンター、SAAS(Software As A Service)ベースのサービスまたはホスティングサービスをクライアントに提供する企業に適用されます。
お客様が提供するサービスが金融サービスまたは電子商取引サービスであり、取引の完全性に関係している場合、処理の完全性はSOC2監査に含める必要 お客様は、お客様がお客様のクライアントに提供するサービスが完全で、正確で、承認され、時間通りであることを確認する必要があります。
最後に、プライバシー原則があります。 プライバシーの原則は非常にユニークで、本当に独自の上に立っています。 具体的には、消費者の個人情報を収集および/または使用する方法に対処し、消費者はその情報の使用方法をオプトアウトする権利を持っています。 これにより、お客様の組織は、aicpaによって発行された一般に受け入れられているプライバシー原則で定義された基準に従って、事業体のプライバシー通知
だから、あなたは必ずしもあなたのSOC2監査レポート内の信頼サービスの原則のすべてに対処する必要はありませんが、あなたはあなたの顧客に提供して:
- 始めるべきよい場所はどんな信頼の主義が証明されて得ると期待しているか期待のあなたの顧客と常に点検している。
- 署名したSLAを確認し、利害関係者のフィードバックを取ることもできます。
- 最後に、たとえ彼らが同じことを期待していなくても、あなたがあなたのクライアントに提供することを約束したものについて、あなたの会社のビ
結論
組織は、SOC2監査報告書でTrust Services原則のすべてに対処する必要はありませんが、顧客に提供するサービスに関連する原則を選択する必要があります。 私の意見では、組織が彼らのビジネスに必要なものを知るためにコンサルタントと同じことを議論するのが最善です。
SOC2監査を開始する準備ができていて、どの信頼サービス原則を含めるべきかを決定する助けが必要な場合は、今日私たちに連絡してください。 私たちのベルトの下で成功したSOC1/2/3証明の数十で、私たちは私たちのSOC2証明サービスを提供しますが、私たちの米国オフィス(VISTA InfoSec LLC)と私たちは、レポートが完全に合法的であることを確認するために私たち自身のAICPA認定CPAを持っています。
SOC2信頼原則に関するウェビナーを見る