Datenkonformität – ein Minenfeld! Es ist kaum zu glauben, wie viele Daten heutzutage in der Cloud (auf fremden Servern) gespeichert sind. Große und kleine Unternehmen haben eine Online-Präsenz aufgebaut und eine Vielzahl von Cloud-basierten Lösungen eingeführt, um ihre Betriebsabläufe flexibler zu gestalten, ihre Rentabilität zu steigern und ihre Wettbewerbsfähigkeit zu verbessern.
Selbst Unternehmen, die in Branchen tätig sind, in denen der Datenschutz und die Datensicherheit von größter Bedeutung sind, wie z. B. im Gesundheitswesen, haben sich von lokalen Architekturen verabschiedet und sind in die Cloud migriert. Jede Organisation des Gesundheitswesens, die sich dafür entscheidet, persönliche oder vertrauliche Daten der Benutzer bei einem Drittanbieter zu speichern und zu verarbeiten, muss nachweisen können, dass der Anbieter HIPAA-konform arbeitet. Hier kommen die SSAE 16- und SSAE 18-Prüfungsstandards für Dienstleistungsunternehmen ins Spiel.
Als wäre es nicht schon schwierig genug, den Unterschied zwischen SSAE 16 und SAE 18 zu verstehen, gibt es noch weitaus mehr Begriffe, die im Zusammenhang mit diesen Standards häufig missbraucht und missverstanden werden, darunter SAS 70, SOC 1 Report, SOC 2 Report, SOC 3 Report, Type 1 Report und Type 2 Report. Lassen Sie uns dieser Verwirrung ein Ende setzen und alles von Anfang an erklären.
SAS 70
Das American Institute of Certified Public Accountants (AICPA), der nationale Berufsverband der Certified Public Accountants (CPAs) in den Vereinigten Staaten, ist sich der Notwendigkeit bewusst, dass Dienstleistungsorganisationen und -anbieter nachweisen müssen, dass sie über angemessene Kontrollen und Sicherheitsvorkehrungen verfügen, wenn sie die Daten ihrer Kunden hosten oder verarbeiten, und hat daher im April 1992 eine Reihe von Normen für die Berichterstattung über die von Dienstleistungsorganisationen durchgeführten Kontrollen herausgegeben, die als SAS 70 bekannt sind.
“Fast 18 Jahre lang war SAS 70 der maßgebliche Leitfaden, der es Dienstleistungsunternehmen ermöglichte, ihre Kontrollaktivitäten und -prozesse gegenüber ihren Kunden und deren Wirtschaftsprüfern in einem einheitlichen Berichtsformat offenzulegen“, erklärt . SAS70.com ist die erste und älteste Internet-Ressource, die sich vollständig dem SAS 70-Prüfungsstandard widmet.
SSAE 16
Die Ära von SAS 70 endete im Januar 2010 mit der Verabschiedung des Statement on Standards for Attestation Engagements (SSAE) Nr. 16, Reporting on Controls at a Service Organization, durch die AICPA. SSAE 16 trat am 15. Juni 2011 in Kraft und konzentrierte sich auf die internen Kontrollen für die Finanzberichterstattung (ICFR), was wenig mit den von der Kommission angebotenen Dienstleistungen zu tun hat. HIPAA-konforme Webhosting-Anbieter und Rechenzentren im Allgemeinen.
Um den Berichtsumfang von SSAE 16 zu erweitern, schuf der AICPA die Service Organization Controls (SOC)-Berichte als neue Optionen für Organisationen, die sich um Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz sorgen:
- SOC 1-Berichte: Wird nur für die Berichterstattung über das interne Kontrollsystem für die Finanzberichterstattung verwendet.
- SOC 2-Berichte und SOC 3-Berichte: Der Schwerpunkt liegt auf den Kontrollen in einer Dienstleistungsorganisation, die sich auf die Grundsätze der Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und des Datenschutzes beziehen. Der Hauptunterschied zwischen SOC-2-Berichten und SOC-3-Berichten besteht darin, dass erstere unter NDA weitergegeben werden, während letztere für jedermann öffentlich zugänglich sind.
Webhosting-Anbieter, Anbieter von verwalteten Diensten, Software-as-a-Service (SaaS)-Unternehmen und Cloud-Computing-Anbieter, die in der Vergangenheit SAS 70 verwendet haben, benötigen jetzt einen SOC-2-Bericht.
Um die Sache noch komplizierter zu machen, können SOC-1- und SOC-2-Berichte vom Typ I oder Typ II sein:
- Typ I: Es wird geprüft, ob die Beschreibung des Systems der Dienstleistungsorganisation mit dem System der Dienstleistungsorganisation übereinstimmt, das zu einem bestimmten Datum entwickelt und eingeführt wurde. Außerdem wird untersucht, ob die Kontrollen, die sich auf die in der Beschreibung des Systems der Dienstleistungsorganisation durch das Management angegebenen Kontrollziele beziehen, geeignet sind, diese Kontrollziele zu erreichen.
- Typ II: Zusätzlich zu allem, was in den Berichten des Typs I enthalten ist, wird in einem Bericht des Typs II untersucht, ob die Kontrollen im Zusammenhang mit den Kontrollzielen, die in der Beschreibung des Systems der Dienstleistungsorganisation durch das Management angegeben sind, während des angegebenen Zeitraums wirksam waren, um diese Kontrollziele zu erreichen.
SSAE 18
Am 1. Mai 2017 hat der AICPA SSAE 16 durch einen neuen Standard ersetzt, der als SSAE 18 (Statement on Standards for Attestation Engagements No. 18) bekannt ist. Genau wie SAS 70 und SSAE 16 ist die Einhaltung von SSAE 18 keine Zertifizierung. Es handelt sich um einen Prüfungs- und Bescheinigungsstandard, der für die Erstellung von Berichten über System- und Organisationskontrollen (SOC) verwendet wird (SOC 1, SOC 2 und SOC 3).
“Die Aktualisierung SSAE 18 bringt einige wesentliche Unterschiede zu seinem Vorgänger SSAE 16 mit sich. Der Hauptzweck besteht darin, bestimmte alte Standards zu klären und den Überprüfungsprozess zu straffen und zu vereinfachen”, erklärt Colocation America, , ein HIPAA-konformer Colocation-Hosting-Anbieter. “Die Aktualisierung dieser Norm verlangt von den Unternehmen auch mehr Kontrolle und Verantwortung für die Personen, mit denen sie zusammenarbeiten, vor allem für Drittanbieter.”
Gemäß SSAE 18 sollte eine Dienstleistungsorganisation, die als jede Einheit definiert ist, die Dienstleistungen für andere Organisationen erbringt, alle Subdienstleistungsorganisationen identifizieren, die bei der Erbringung der Dienstleistungen eingesetzt werden, und alle Kontrollen der Subdienstleistungsorganisationen beschreiben, auf die sich die Dienstleistungsorganisation stützt, um die Hauptdienstleistungen für ihre Kunden zu erbringen. Zu den weiteren Anforderungen gehören unter anderem eine Risikobewertung, die die wichtigsten internen Risiken der Organisation aufzeigt, sowie die Durchführung von Kontrollen zur Überwachung der Wirksamkeit der relevanten Kontrollen in der Subdienstleistungsorganisation.
Durch die Durchführung einer SSAE 18-Prüfung können HIPAA-konforme Webhosting-Anbieter und alle anderen Dienstleistungsunternehmen ihre Partner beruhigen, indem sie ihnen einen konkreten Beweis dafür liefern, dass sie ihre Geschäfte nach ihren Vorgaben führen.
Dateneinhaltung Schlussfolgerung
Hoffentlich verstehen Sie jetzt den Unterschied zwischen SAS 70, SSAE 16, SSAE 18, SOC 1, SOC2 und SOC3. In einer Welt, in der jeder Daten in der Cloud speichert, ist es wichtig, objektiv bewerten zu können, wie die verschiedenen Dienstanbieter mit Daten in Bezug auf Kunden und Finanzberichterstattung umgehen, sie betreiben und kontrollieren.
Dank SSAE 18 und seinen Vorgängern können HIPAA-konforme Webhosting-Anbieter und andere Dienstleistungsunternehmen sicher sein, dass die von ihnen geschaffene Umgebung sicher ist.