{"id":18689,"date":"2020-12-23T17:17:10","date_gmt":"2020-12-23T17:17:10","guid":{"rendered":"https:\/\/webhostingprof.com\/ssae-16-ssae-18-sas-70-soc-1-soc-2-soc-3-quelle-est-la-difference\/"},"modified":"2024-01-03T07:43:33","modified_gmt":"2024-01-03T07:43:33","slug":"ssae-16-ssae-18-sas-70-soc-1-soc-2-soc-3-quelle-est-la-difference","status":"publish","type":"post","link":"http:\/\/webhostingprof.com\/fr\/ssae-16-ssae-18-sas-70-soc-1-soc-2-soc-3-quelle-est-la-difference\/","title":{"rendered":"SSAE 16, SSAE 18, SAS 70, SOC 1, SOC 2, SOC 3 : quelle est la diff\u00e9rence ?"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n

La conformit\u00e9 des donn\u00e9es – un champ de mines ! Il est presque difficile de croire combien de donn\u00e9es sont stock\u00e9es dans le nuage (sur les serveurs de quelqu’un d’autre) de nos jours. Les organisations, grandes et petites, ont \u00e9tabli une pr\u00e9sence en ligne et adopt\u00e9 une multitude de solutions bas\u00e9es sur le cloud pour gagner en souplesse op\u00e9rationnelle, accro\u00eetre leur rentabilit\u00e9 et am\u00e9liorer leur comp\u00e9titivit\u00e9.<\/p>\n

M\u00eame les organisations op\u00e9rant dans des secteurs o\u00f9 la confidentialit\u00e9 et la s\u00e9curit\u00e9 des donn\u00e9es sont de la plus haute importance, comme les soins de sant\u00e9, ont abandonn\u00e9 les architectures sur site et migr\u00e9 vers le cloud. Tout organisme de soins de sant\u00e9 qui choisit de stocker et de traiter les informations personnelles ou confidentielles des utilisateurs aupr\u00e8s d’un fournisseur tiers doit \u00eatre en mesure de d\u00e9montrer que ce dernier op\u00e8re de mani\u00e8re conforme \u00e0 la loi HIPAA . C’est l\u00e0 qu’interviennent les normes d’audit SSAE 16 et SSAE 18 pour les organismes de services.<\/p>\n

Comme si la compr\u00e9hension de la diff\u00e9rence entre SSAE 16 et SAE 18 n’\u00e9tait pas assez difficile, il existe bien d’autres termes qui sont fr\u00e9quemment utilis\u00e9s de mani\u00e8re abusive et mal comprise en rapport avec ces normes, notamment SAS 70, rapport SOC 1, rapport SOC 2, rapport SOC 3, rapport de type 1 et rapport de type 2. Mettons fin \u00e0 cette confusion et expliquons tout depuis le d\u00e9but.<\/p>\n

SAS 70<\/h2>\n

Conscient de la n\u00e9cessit\u00e9 pour les organisations de services et les prestataires de services de d\u00e9montrer qu’ils disposent de contr\u00f4les et de garanties ad\u00e9quats lorsqu’ils h\u00e9bergent ou traitent des donn\u00e9es appartenant \u00e0 leurs clients, l’American Institute of Certified Public Accountants (AICPA), l’organisation professionnelle nationale des experts-comptables agr\u00e9\u00e9s (CPA) aux \u00c9tats-Unis, a publi\u00e9 en avril 1992 une s\u00e9rie de normes permettant de rendre compte des contr\u00f4les mis en \u0153uvre par les organisations de services, connues sous le nom de SAS 70.<\/p>\n

“Pendant pr\u00e8s de 18 ans, SAS 70 a fait autorit\u00e9 en permettant aux organismes de services de divulguer leurs activit\u00e9s et processus de contr\u00f4le \u00e0 leurs clients et aux auditeurs de ces derniers dans un format de rapport uniforme“, explique<\/a> . SAS70.com<\/a> est la premi\u00e8re et la plus ancienne ressource Internet enti\u00e8rement consacr\u00e9e \u00e0 la norme d’audit SAS 70.<\/p>\n

SSAE 16<\/h2>\n

L’\u00e8re de la norme SAS 70 a effectivement pris fin en janvier 2010 avec la finalisation du Statement on Standards for Attestation Engagements (SSAE) No. 16, Reporting on Controls at a Service Organization, par l’AICPA. La norme SSAE 16 est entr\u00e9e en vigueur le 15 juin 2011 et a mis l’accent sur les contr\u00f4les internes en mati\u00e8re d’information financi\u00e8re (CIIF), ce qui n’a pas grand-chose \u00e0 voir avec les services offerts par les organismes de certification. Fournisseurs d’h\u00e9bergement web conformes \u00e0 la loi HIPAA<\/a> et centres de donn\u00e9es en g\u00e9n\u00e9ral.<\/p>\n

Afin d’\u00e9largir le champ d’application de la norme SSAE 16, l’AICPA a cr\u00e9\u00e9 les rapports SOC (Service Organization Controls) comme nouvelles options pour les organisations pr\u00e9occup\u00e9es par la s\u00e9curit\u00e9, la disponibilit\u00e9, l’int\u00e9grit\u00e9 du traitement, la confidentialit\u00e9 et la vie priv\u00e9e :<\/p>\n