{"id":18732,"date":"2020-12-23T17:17:10","date_gmt":"2020-12-23T17:17:10","guid":{"rendered":"https:\/\/webhostingprof.com\/ssae-16-ssae-18-sas-70-soc-1-soc-2-soc-3-hvad-er-forskellen\/"},"modified":"2024-01-03T07:43:33","modified_gmt":"2024-01-03T07:43:33","slug":"ssae-16-ssae-18-sas-70-soc-1-soc-2-soc-3-hvad-er-forskellen","status":"publish","type":"post","link":"http:\/\/webhostingprof.com\/da\/ssae-16-ssae-18-sas-70-soc-1-soc-2-soc-3-hvad-er-forskellen\/","title":{"rendered":"SSAE 16, SSAE 18, SAS 70, SOC 1, SOC 2, SOC 3: Hvad er forskellen?"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n

Dataoverholdelse – det er et minefelt! Det kan n\u00e6sten v\u00e6re sv\u00e6rt at tro, hvor mange data der er gemt i skyen (p\u00e5 andres servere) i disse dage. Store og sm\u00e5 virksomheder har etableret en online tilstedev\u00e6relse og indf\u00f8rt et v\u00e6ld af cloud-baserede l\u00f8sninger for at opn\u00e5 st\u00f8rre fleksibilitet i driften, \u00f8ge rentabiliteten og forbedre deres konkurrenceevne.<\/p>\n

Selv organisationer, der opererer i brancher, hvor datasikkerhed og privatlivets fred er af st\u00f8rste vigtighed, f.eks. sundhedssektoren, har bev\u00e6get sig v\u00e6k fra lokale arkitekturer og er migreret til skyen. Enhver sundhedsorganisation, der v\u00e6lger at opbevare og behandle brugernes personlige eller fortrolige oplysninger hos en tredjepartsleverand\u00f8r, skal kunne p\u00e5vise, at leverand\u00f8ren arbejder p\u00e5 en HIPAA-kompatibel m\u00e5de, og det er her SSAE 16- og SSAE 18-revisionsstandarderne for serviceorganisationer kommer ind i billedet.<\/p>\n

Som om det ikke var sv\u00e6rt nok at forst\u00e5 forskellen mellem SSAE 16 og SAE 18, er der langt flere udtryk, der ofte misbruges og misforst\u00e5s i forbindelse med disse standarder, herunder SAS 70, SOC 1-rapport, SOC 2-rapport, SOC 3-rapport, Type 1-rapport og Type 2-rapport. Lad os s\u00e6tte en stopper for denne forvirring og forklare alt fra begyndelsen.<\/p>\n

SAS 70<\/h2>\n

American Institute of Certified Public Accountants (AICPA), den nationale faglige organisation for statsautoriserede revisorer (CPA’er) i USA, er klar over, at serviceorganisationer og tjenesteudbydere har behov for at p\u00e5vise, at de har tilstr\u00e6kkelige kontroller og sikkerhedsforanstaltninger, n\u00e5r de hoster eller behandler data, der tilh\u00f8rer deres kunder, og udgav i april 1992 en r\u00e6kke standarder for rapportering om de kontroller, der er gennemf\u00f8rt af serviceorganisationer, kendt som SAS 70.<\/p>\n

“I n\u00e6sten 18 \u00e5r var SAS 70 den autoritative vejledning, der gjorde det muligt for serviceorganisationer at afsl\u00f8re deres kontrolaktiviteter og -processer for deres kunder og deres kunders revisorer i et ensartet rapporteringsformat,” forklarer<\/a> SAS70.com<\/a>, den f\u00f8rste og \u00e6ldste internetressource, der er fuldt dedikeret til SAS 70-revisionsstandarden.<\/p>\n

SSAE 16<\/h2>\n

SAS 70-\u00e6raen sluttede i januar 2010 med AICPA’s f\u00e6rdigg\u00f8relse af Statement on Standards for Attestation Engagements (SSAE) nr. 16, Reporting on Controls at a Service Organization (Rapportering om kontroller i en serviceorganisation). SSAE 16 tr\u00e5dte i kraft den 15. juni 2011, og den fokuserede p\u00e5 den interne kontrol med den finansielle rapportering (ICFR) og havde kun lidt at g\u00f8re med de tjenester, som tilbydes af HIPAA-kompatible webhostingudbydere<\/a> og datacentre generelt.<\/p>\n

For at udvide rapporteringsomr\u00e5det for SSAE 16 har AICPA oprettet SOC-rapporterne (Service Organization Controls) som nye muligheder for organisationer, der er bekymrede for sikkerhed, tilg\u00e6ngelighed, behandlingsintegritet, fortrolighed og privatlivets fred:<\/p>\n