La conformità SEC dell'host controllato "SAS 70 Tipo II"?

4

Da quanto ho letto e saputo, la conformità della SEC è piuttosto vaga. È meglio essere affrontati in modo strong, ma quando si tratta di hosting in terze parti, l'unico modo per dimostrare la propria conformità è tramite audit.

Poiché non ci sono regole concrete (ad esempio: "tutte le terze parti devono essere conformi a SAS 70"), cosa è accettabile? La conformità "SAS 70 Tipo II" è accettabile? In caso negativo, quali sono alcune raccomandazioni per trattare con terzi?

Poiché so che stackexchange odia domande vaghe, quali altri audit sono la prova che le terze parti sono "soluzioni conformi?"

Grazie,

Matt

    
posta mbrownnyc 20.09.2011 - 14:54
fonte

2 risposte

5

SAS-70 (incluso Tipo II) non è uno standard di certificazione. È una dichiarazione di ciò che pretendi di fare, accoppiato con un attestato di un revisore che fai ciò che dici. Hai una flessibilità incredibilmente ampia per definire esattamente quello che fai, quindi non ci sono due SAS-70 uguali. Non so a quali regole SEC ti riferisci, ma le SAS-70 non sono in ogni caso una certificazione definita con precisione, quindi sono difficili da confrontare con qualsiasi altra cosa.

    
risposta data 20.09.2011 - 18:53
fonte
5

I report SAS-70 sono progettati per dimostrare che un revisore ha visto che la società in revisione esegue determinate azioni che la società in esame enumera. Un esempio che utilizziamo qui per dimostrare la natura di un SAS-70 è che potremmo esaminare un requisito che "Tutti i nostri bidoni della spazzatura sono rotondi".

Quando esternalizzi una funzione che è fondamentale per la tua attività, spesso sei ancora responsabile di quella funzione. Un SAS-70 mostra che alcuni controlli sono in atto presso il proprio fornitore di servizi. Si spera che la persona che riceve il rapporto dal proprio fornitore di servizi abbia esaminato il rapporto per assicurarsi che tali controlli siano ragionevoli.

Ricorda che per un SAS-70, il client enumera i loro controlli e se hanno davvero un senso o per una particolare esigenza aziendale non fa parte della revisione. Quello che vuoi vedere è un Type-II (controlli attivi per l'intero periodo di test) e vuoi assicurarti che i controlli siano efficaci .

Mentre ci siamo, il SAS-70 è morto a partire da quest'anno. In futuro, stai cercando i rapporti SOC-1, SOC-2 o SOC-3. Vedi link

    
risposta data 20.09.2011 - 22:15
fonte

Leggi altre domande sui tag