Dataoverholdelse – det er et minefelt! Det kan næsten være svært at tro, hvor mange data der er gemt i skyen (på andres servere) i disse dage. Store og små virksomheder har etableret en online tilstedeværelse og indført et væld af cloud-baserede løsninger for at opnå større fleksibilitet i driften, øge rentabiliteten og forbedre deres konkurrenceevne.

Selv organisationer, der opererer i brancher, hvor datasikkerhed og privatlivets fred er af største vigtighed, f.eks. sundhedssektoren, har bevæget sig væk fra lokale arkitekturer og er migreret til skyen. Enhver sundhedsorganisation, der vælger at opbevare og behandle brugernes personlige eller fortrolige oplysninger hos en tredjepartsleverandør, skal kunne påvise, at leverandøren arbejder på en HIPAA-kompatibel måde, og det er her SSAE 16- og SSAE 18-revisionsstandarderne for serviceorganisationer kommer ind i billedet.

Som om det ikke var svært nok at forstå forskellen mellem SSAE 16 og SAE 18, er der langt flere udtryk, der ofte misbruges og misforstås i forbindelse med disse standarder, herunder SAS 70, SOC 1-rapport, SOC 2-rapport, SOC 3-rapport, Type 1-rapport og Type 2-rapport. Lad os sætte en stopper for denne forvirring og forklare alt fra begyndelsen.

SAS 70

American Institute of Certified Public Accountants (AICPA), den nationale faglige organisation for statsautoriserede revisorer (CPA’er) i USA, er klar over, at serviceorganisationer og tjenesteudbydere har behov for at påvise, at de har tilstrækkelige kontroller og sikkerhedsforanstaltninger, når de hoster eller behandler data, der tilhører deres kunder, og udgav i april 1992 en række standarder for rapportering om de kontroller, der er gennemført af serviceorganisationer, kendt som SAS 70.

“I næsten 18 år var SAS 70 den autoritative vejledning, der gjorde det muligt for serviceorganisationer at afsløre deres kontrolaktiviteter og -processer for deres kunder og deres kunders revisorer i et ensartet rapporteringsformat,” forklarer SAS70.com, den første og ældste internetressource, der er fuldt dedikeret til SAS 70-revisionsstandarden.

SSAE 16

SAS 70-æraen sluttede i januar 2010 med AICPA’s færdiggørelse af Statement on Standards for Attestation Engagements (SSAE) nr. 16, Reporting on Controls at a Service Organization (Rapportering om kontroller i en serviceorganisation). SSAE 16 trådte i kraft den 15. juni 2011, og den fokuserede på den interne kontrol med den finansielle rapportering (ICFR) og havde kun lidt at gøre med de tjenester, som tilbydes af HIPAA-kompatible webhostingudbydere og datacentre generelt.

For at udvide rapporteringsområdet for SSAE 16 har AICPA oprettet SOC-rapporterne (Service Organization Controls) som nye muligheder for organisationer, der er bekymrede for sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og privatlivets fred:

  • SOC 1-rapporter: Anvendes kun med henblik på rapportering om systemet af interne kontroller vedrørende intern kontrol med hensyn til intern kontrol med finansiel rapportering.
  • SOC 2-rapporter og SOC 3-rapporter: Fokus på kontroller i en serviceorganisation, der er relevante for principperne om sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og privatlivets fred. Den største forskel mellem SOC 2-rapporter og SOC 3-rapporter er, at førstnævnte type rapporter deles under NDA, mens sidstnævnte type er offentligt tilgængelige for alle.

Webhostingudbydere, udbydere af administrerede tjenester, SaaS-selskaber (Software as a Service) og cloud computing-udbydere, der tidligere har anvendt SAS 70, har nu brug for en SOC 2-rapport.

For at gøre det hele endnu mere kompliceret kan SOC 1- og SOC 2-rapporter være af type I eller type II:

  • Type I: Undersøger, om serviceorganisationens beskrivelse af sit system stemmer overens med serviceorganisationens system, som blev designet og implementeret på en bestemt dato. Den undersøger også, om de kontroller, der vedrører de kontrolmål, der er anført i ledelsens beskrivelse af serviceorganisationens system, er hensigtsmæssigt udformet med henblik på at nå disse kontrolmål.
  • Type II: Ud over alt det, der indgår i type I-rapporter, undersøger en type II-rapport desuden, om de kontroller, der vedrører de kontrolmål, der er anført i ledelsens beskrivelse af serviceorganisationens system, har fungeret effektivt i hele den angivne periode med henblik på at nå disse kontrolmål.

SSAE 18

Den 1. maj 2017 erstattede AICPA SSAE 16 med en ny standard, kendt som SSAE 18, eller Statement on Standards for Attestation Engagements No. 18. Ligesom SAS 70 og SSAE 16 før det er SSAE 18 dataoverholdelse ikke en certificering. Det er en revisions- og attesteringsstandard, der anvendes til at udarbejde SOC-rapporter (System and Organisation Controls) (SOC 1, SOC 2 og SOC 3).

“SSAE 18-opdateringen indeholder et par væsentlige forskelle i forhold til forgængeren, SSAE 16. Hovedformålet er at tydeliggøre visse gamle standarder og strømline og forenkle gennemgangsprocessen”, forklarer Colocation America, , en HIPAA-kompatibel colocation-hostingudbyder. “Opdateringen af denne standard vil også kræve, at virksomhederne tager mere kontrol og ansvar for de personer, de arbejder med, primært tredjepartsleverandører.”

I henhold til SSAE 18 skal en serviceorganisation, som er defineret som enhver enhed, der leverer tjenester til andre organisationer, identificere alle underorganisationer, der anvendes til at levere tjenesterne, og beskrive enhver kontrol af underorganisationer, som serviceorganisationen er afhængig af for at levere de primære tjenester til sine kunder. Andre krav omfatter bl.a. en risikovurdering, der fremhæver organisationens vigtigste interne risici samt implementering af kontroller til overvågning af effektiviteten af relevante kontroller i underserviceorganisationen.

Ved at få foretaget en SSAE 18-gennemgang kan HIPAA-kompatible webhostingudbydere og alle andre serviceorganisationer holde deres partnere trygge ved at give dem konkret bevis for, at de driver deres forretning i overensstemmelse med deres specifikationer.

Overholdelse af data Konklusion

Forhåbentlig forstår du nu forskellen mellem SAS 70, SSAE 16, SSAE 18, SOC 1, SOC2 og SOC3 dataoverholdelse. I en verden, hvor alle gemmer data i skyen, er det vigtigt at have mulighed for objektivt at evaluere, hvordan forskellige tjenesteudbydere håndterer, driver og kontrollerer data relateret til kunder og finansiel rapportering.

Takket være SSAE 18 og dens forgængere kan HIPAA-kompatible webhostingudbydere og andre serviceorganisationer have ro i sindet, fordi det miljø, de har skabt, er sikkert og trygt.