È comune per le piccole aziende ottenere certificati di sicurezza / conformità da parte delle agenzie di audit per il loro SaaS da presentare ai clienti per la loro sicurezza?
In caso affermativo, quali sono le certificazioni suggerite?
È qualcosa che ho visto, ma sembra essere più comune con le società più grandi o con quelle che servono mercati che hanno particolarmente bisogno / valore delle certificazioni (ad esempio, finanza, governo).
In termini di quali guardare c'è un paio di opzioni di cui sono a conoscenza, alcune delle quali sono di natura geografica.
Il vantaggio di questi certificati è che puoi evitare che i clienti che hanno requisiti di controllo arrivino e ti infastidiscano molto (cioè possono contare sul certificato e non hanno bisogno di dimostrare i livelli di controllo)
Ciò dipenderà dalle esigenze del cliente e da quali aree hanno bisogno di garanzia.
Le certificazioni della serie ISO 27001 soddisfano i requisiti di gestione IS.
SSAE16 / SOC1 è specifico per i controlli che hanno un impatto significativo sui rapporti finanziari.
Un impegno SOC 3 ti consente di fornire un sigillo sul tuo sito web che mostra che conosci i Criteri di WebTrust . Potresti anche trarre vantaggio fornendo un impegno SOC 2 , che è anche tecnicamente più mirato.
AICPA fornisce un confronto di SOC1, SOC2 e SOC3 .
A seconda del numero di clienti che hai e dei loro requisiti specifici, possono inviare le proprie persone a rivedere o coinvolgere una società di contabilità / consulenza di terze parti per fornire concordato le procedure per avere una revisione di terze parti.
Leggi altre domande sui tag risk-management certification