Каким требованиям SOC 2 нужно соответствовать в России

0
145

Соответствие требованиям SOC 2 Аудит системы и организации контроля для сервисных организаций 2 (SOC 2) типа 2 — это технический аудит, проводимый аудитором или фирмой Американского института сертифицированных общественных бухгалтеров (AICPA). Аудит SOC 2 Тип 2 проверяет, соответствуют ли средства контроля вашей сервисной организации строгим требованиям системы обеспечения конфиденциальности и безопасности SOC 2.

Отчеты о соответствии требованиям SOC 2 бывают двух видов: Тип 1 (Тип i) и Тип 2 (Тип ii).

Знание того, какой тип подходит для вашей сервисной организации, необходимо перед тем, как поручить ей изучить ваши записи и подготовить для вас отчет.

Что такое SOC 2?

SOC 2 — это система обеспечения безопасности и конфиденциальности данных, рекомендованная для всех поставщиков услуг, которые обрабатывают и хранят данные клиентов, таких как поставщики программного обеспечения как услуги (SaaS), сторонние поставщики, хосты облачных вычислений и платежные процессоры.

Что такое AICPA TSC?

TSC — это признанный в отрасли стандарт доверия третьей стороны для аудита сервисных организаций, таких как поставщики облачных услуг, поставщики и разработчики программного обеспечения, компании, занимающиеся веб-маркетингом, и организации, предоставляющие финансовые услуги.

Они классифицируются по пяти категориям доверительных услуг и соответствуют 17 принципам, изложенным в документе COSO (Committee of Sponsoring Organizations of the Treadway Commission) 2013 года «Внутренний контроль — интегрированная система».

В дополнение к 17 принципам COSO, TSC содержат критерии, которые дополняют принцип 12 COSO («Организация развертывает контрольную деятельность через политику, которая устанавливает, что ожидается, и процедуры, которые приводят политику в действие»).

Они разделены на четыре категории:

  • Контроль логического и физического доступа
  • Системные операции
  • Управление изменениями
  • Снижение рисков

Некоторые из них применимы ко всем пяти категориям доверительных услуг.

AICPA создала SOC 2 для обеспечения безопасности, доступности, обработки, целостности и конфиденциальности данных клиентов — пяти критериев, которые известны как «категории доверительных услуг» SOC 2 (ранее «принципы доверительных услуг» или «критерии доверительных услуг»).

Соблюдение требований SOC 2 является добровольным. Однако многие предприятия не будут вести дела с поставщиками услуг, которые не получили аттестат соответствия SOC 2 от независимого CPA или CPA-фирмы.

При подготовке сертификата соответствия SOC 2 аудиторы используют в качестве ориентиров контрольные показатели, содержащиеся в документе AICPA «Положение о стандартах аттестационных заданий No 18» (SSAE 18), в котором особое внимание уделяется безопасности данных.

SOC 2 требует от организаций создания и соблюдения строгих политик и процедур информационной безопасности. Наличие отчета SOC 2, подтверждающего соответствие средств контроля вашей сервисной организации, означает, что вы и ваши клиенты, а также ваши деловые партнеры могут быть уверены в том, что обрабатываемая вами личная информация надежно защищена от несанкционированного доступа.

Тип 1 против типа 2. По какому работать?

Как SOC 1, который касается финансовой отчетности, так и SOC 2, который регулирует информационную безопасность и конфиденциальность, имеют два типа отчетов. В этом документе мы рассматриваем SOC 2.

Разница между отчетами SOC 2 типа i и Soc 2 типа ii заключается в периоде времени, который охватывает каждый из них.

В отчете SOC 2 Тип 1, который часто является первым отчетом SOC 2 для организации, рассматривается внутренний контроль, регулирующий безопасность и конфиденциальность данных на момент проведения аудита.

В отчетах SOC 2 типа 2 рассматривается эффективность контроля информационной безопасности и конфиденциальности вашей организации с момента последнего аудита SOC, что обычно составляет один год.

Эти два типа отчетов используются организациями по-разному:

  • SOC 2 Тип 1 использует подход «моментального снимка во времени», устанавливая базовые показатели для будущих аудитов системы вашей обслуживающей организации.
  • SOC 2 Тип 2 спрашивает, насколько хорошо сработали средства контроля безопасности и конфиденциальности данных с момента последнего аудита SOC 2.

Какие организации проверяют соответствие SOC 2?

В России по направлению SOC 2 работают PwC, RTM Group, LiteraFort.

Выводы

Итак, процедура аудита, которой следуют большинство организаций, такова:

  • Тип 1 для первого аудита SOC 2
  • Тип 2 для последующих аудитов SOC 2. Аудиторские услуги

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь