Cumplimiento de datos: ¡es un campo de minas! Resulta casi difícil de creer la cantidad de datos que se almacenan en la nube (en servidores ajenos) hoy en día. Organizaciones grandes y pequeñas han establecido una presencia en línea y han adoptado una multitud de soluciones basadas en la nube para obtener una mayor agilidad operativa, impulsar la rentabilidad y mejorar su competitividad.
Incluso las organizaciones que operan en sectores en los que la privacidad y la seguridad de los datos son de suma importancia, como la sanidad, han abandonado las arquitecturas locales y han migrado a la nube. Cualquier organización sanitaria que decida almacenar y procesar la información personal o confidencial de los usuarios con un proveedor externo debe ser capaz de demostrar que el proveedor opera de una manera que cumple con la HIPAA , que es donde entran en juego las normas de auditoría SSAE 16 y SSAE 18 para las organizaciones de servicios.
Por si no fuera suficientemente difícil entender la diferencia entre SSAE 16 y SAE 18, hay muchos más términos de los que se abusa y se malinterpretan con frecuencia en relación con estas normas, como SAS 70, informe SOC 1, informe SOC 2, informe SOC 3, informe de tipo 1 e informe de tipo 2. Acabemos con esta confusión y expliquemos todo desde el principio.
SAS 70
Consciente de la necesidad que tienen las organizaciones de servicios y los proveedores de servicios de demostrar que disponen de controles y salvaguardias adecuados cuando alojan o procesan datos pertenecientes a sus clientes, el Instituto Americano de Contadores Públicos Certificados (AICPA), la organización profesional nacional de Contadores Públicos Certificados (CPA) de Estados Unidos, publicó en abril de 1992 una serie de normas para informar sobre los controles implantados por las organizaciones de servicios, conocidas como SAS 70.
“Durante casi 18 años, SAS 70 fue la guía autorizada que permitió a las organizaciones de servicios revelar sus actividades y procesos de control a sus clientes y a los auditores de sus clientes en un formato de informe uniforme“, explica SAS70.com, el primer y más antiguo recurso de Internet dedicado por completo a la norma de auditoría SAS 70.
SSAE 16
La era de la SAS 70 terminó efectivamente en enero de 2010 con la finalización de la Declaración de Normas para los Compromisos de Atestación (SSAE) nº 16, Información sobre los Controles en una Organización de Servicios, por parte del AICPA. La SSAE 16 entró en vigor el 15 de junio de 2011, y se centró en los controles internos sobre la información financiera (ICFR), teniendo poco que ver con los servicios ofrecidos por Proveedores de alojamiento web que cumplen con la HIPAA y centros de datos en general.
Con el fin de ampliar el alcance de los informes de la SSAE 16, el AICPA creó los informes de controles de organizaciones de servicios (SOC) como nuevas opciones para las organizaciones preocupadas por la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad:
- Informes SOC 1: Utilizados únicamente para informar sobre el sistema de controles internos relativos al control interno sobre la información financiera.
- Informes SOC 2 y Informes SOC 3: Se centran en los controles de una organización de servicios relevantes para los principios de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. La principal diferencia entre los informes SOC 2 y los SOC 3 es que los primeros se comparten bajo NDA mientras que los segundos están disponibles para cualquier persona públicamente.
Los proveedores de alojamiento web, los proveedores de servicios gestionados, las empresas de software como servicio (SaaS) y los proveedores de computación en la nube que utilizaban la norma SAS 70 en el pasado necesitan ahora un informe SOC 2.
Para complicarlo todo, los informes SOC 1 y SOC 2 pueden ser de tipo I o de tipo II:
- Tipo I: Examina si la descripción de la organización de servicios de su sistema coincide con el sistema de la organización de servicios que fue diseñado e implementado a partir de una fecha específica. También se examina si los controles relacionados con los objetivos de control indicados en la descripción del sistema de la organización de servicios por parte de la dirección se han diseñado adecuadamente para alcanzar dichos objetivos de control.
- Tipo II: Además de todo lo incluido en los informes de Tipo I, un informe de Tipo II examina adicionalmente si los controles relacionados con los objetivos de control indicados en la descripción de la dirección del sistema de la organización de servicios funcionaron eficazmente a lo largo del periodo especificado para lograr esos objetivos de control”.
SSAE 18
El 1 de mayo de 2017, el AICPA sustituyó la SSAE 16 por una nueva norma, conocida como SSAE 18, o Statement on Standards for Attestation Engagements No. 18. Al igual que SAS 70 y SSAE 16 antes, el cumplimiento de datos de SSAE 18 no es una certificación. Es una norma de auditoría y atestación que se utiliza para elaborar informes de controles de sistemas y organizaciones (SOC 1, SOC 2 y SOC 3).
“La actualización de la SSAE 18 aporta un par de diferencias significativas con respecto a su predecesora, la SSAE 16. Su principal objetivo es aclarar ciertas normas antiguas y agilizar y simplificar el proceso de revisión”, explica Colocation America, , un proveedor de alojamiento de colocación que cumple con la HIPAA. “La actualización de esta norma también exigirá a las empresas un mayor control y responsabilidad de las personas con las que trabajan, principalmente los proveedores externos”.
Según la SSAE 18, una organización de servicios, que se define como cualquier entidad que presta servicios a otras organizaciones, debe identificar todas las organizaciones de sub-servicios utilizadas en la prestación de los servicios y describir cualquier control de la organización de sub-servicios en la que la organización de servicios se basa para proporcionar los servicios primarios a sus clientes. Otros requisitos incluyen una evaluación de riesgos que destaque los principales riesgos internos de la organización, así como la aplicación de controles para supervisar la eficacia de los controles pertinentes en la organización de subservicios, entre otras cosas.
Al realizar una revisión SSAE 18, los proveedores de alojamiento web que cumplen con la HIPAA y todas las demás organizaciones de servicios pueden mantener a sus socios tranquilos ofreciéndoles una prueba concreta de que están llevando a cabo su actividad según sus especificaciones.
Conclusión sobre el cumplimiento de los datos
Esperamos que ahora entienda la diferencia entre el cumplimiento de datos SAS 70, SSAE 16, SSAE 18, SOC 1, SOC2 y SOC3. En un mundo en el que todo el mundo almacena datos en la nube, es importante disponer de medios para evaluar objetivamente cómo los diferentes proveedores de servicios manejan, operan y controlan los datos relacionados con los clientes y los informes financieros.
Gracias a la SSAE 18 y sus predecesoras, los proveedores de alojamiento web que cumplen con la HIPAA y otras organizaciones de servicios pueden disfrutar de la tranquilidad de que el entorno que han creado es seguro.