Conformità dei dati: un campo minato! È quasi difficile credere alla quantità di dati archiviati nel cloud (sui server di qualcun altro) al giorno d’oggi. Le organizzazioni grandi e piccole hanno stabilito una presenza online e adottato una moltitudine di soluzioni basate sul cloud per ottenere una maggiore agilità operativa, aumentare la redditività e migliorare la propria competitività.

Anche le organizzazioni che operano in settori in cui la privacy e la sicurezza dei dati sono di estrema importanza, come quello sanitario, hanno abbandonato le architetture on-premise per migrare verso il cloud. Qualsiasi organizzazione sanitaria che scelga di archiviare ed elaborare le informazioni personali o riservate degli utenti con un fornitore di terze parti deve essere in grado di dimostrare che il fornitore opera in modo conforme a HIPAA, ed è qui che entrano in gioco gli standard di revisione SSAE 16 e SSAE 18 per le organizzazioni di servizi.

Come se non fosse già abbastanza difficile capire la differenza tra SSAE 16 e SAE 18, ci sono molti altri termini che vengono spesso abusati e fraintesi in relazione a questi standard, tra cui SAS 70, SOC 1 report, SOC 2 report, SOC 3 Report, Type 1 Report e Type 2 Report. Poniamo fine a questa confusione e spieghiamo tutto dall’inizio.

SAS 70

Consapevole della necessità per le organizzazioni di servizi e i fornitori di servizi di dimostrare di avere controlli e salvaguardie adeguati quando ospitano o elaborano dati appartenenti ai loro clienti, l’American Institute of Certified Public Accountants (AICPA), l’organizzazione professionale nazionale dei Certified Public Accountants (CPA) degli Stati Uniti, ha emesso nell’aprile 1992 una serie di standard per la rendicontazione dei controlli implementati dalle organizzazioni di servizi, noti come SAS 70.

“Per quasi 18 anni, SAS 70 è stata la guida autorevole che ha permesso alle organizzazioni di servizi di divulgare le attività e i processi di controllo ai loro clienti e ai revisori dei clienti in un formato di reporting uniforme“, spiega SAS70.com, la prima e più antica risorsa Internet interamente dedicata allo standard di revisione SAS 70.

SSAE 16

L’era di SAS 70 si è effettivamente conclusa nel gennaio 2010 con la finalizzazione dello Statement on Standards for Attestation Engagements (SSAE) No. 16, Reporting on Controls at a Service Organization, da parte dell’AICPA. Lo SSAE 16 è entrato in vigore il 15 giugno 2011 e si è concentrato sui controlli interni sul reporting finanziario (ICFR), avendo poco a che fare con i servizi offerti da Fornitori di web hosting conformi alla HIPAA e centri dati in generale.

Per ampliare l’ambito di rendicontazione dello SSAE 16, l’AICPA ha creato i report SOC (Service Organization Controls) come nuove opzioni per le organizzazioni interessate a sicurezza, disponibilità, integrità dell’elaborazione, riservatezza e privacy:

  • Rapporti SOC 1: Utilizzati solo per la stesura di relazioni sul sistema di controlli interni relativi al controllo interno sull’informativa finanziaria.
  • Rapporti SOC 2 e Rapporti SOC 3: Si concentrano sui controlli di un’organizzazione di servizi relativi ai principi di sicurezza, disponibilità, integrità dell’elaborazione, riservatezza e privacy. La differenza principale tra i rapporti SOC 2 e SOC 3 è che il primo tipo è condiviso sotto NDA, mentre il secondo è disponibile a chiunque pubblicamente.

I fornitori di web hosting, i fornitori di servizi gestiti, le società di Software as a Service (SaaS) e i fornitori di cloud computing che in passato utilizzavano il sistema SAS 70, ora hanno bisogno di un report SOC 2.

Per rendere tutto più complicato, i rapporti SOC 1 e SOC 2 possono essere di tipo I o di tipo II:

  • Tipo I: Esamina se la descrizione del sistema fornita dall’organizzazione di servizi corrisponde al sistema dell’organizzazione di servizi progettato e implementato a partire da una data specifica. Inoltre, esamina se i controlli relativi agli obiettivi di controllo indicati nella descrizione del sistema dell’organizzazione di servizi da parte della direzione sono stati progettati in modo adeguato per raggiungere tali obiettivi di controllo.
  • Tipo II: oltre a tutto ciò che è incluso nei rapporti di tipo I, un rapporto di tipo II esamina se i controlli relativi agli obiettivi di controllo indicati nella descrizione del sistema dell’organizzazione di servizi da parte della direzione hanno funzionato efficacemente durante il periodo specificato per raggiungere tali obiettivi di controllo”.

SSAE 18

Il 1° maggio 2017, l’AICPA ha sostituito lo SSAE 16 con un nuovo standard, noto come SSAE 18, ovvero Statement on Standards for Attestation Engagements No. 18. Proprio come SAS 70 e SSAE 16, la conformità dei dati SSAE 18 non è una certificazione. È uno standard di audit e di attestazione utilizzato per produrre i rapporti SOC (System and Organisation Controls) (SOC 1, SOC 2 e SOC 3).

“L’aggiornamento SSAE 18 apporta un paio di differenze significative rispetto al suo predecessore, SSAE 16. Il suo scopo principale è quello di chiarire alcuni vecchi standard e di snellire e semplificare il processo di revisione”, spiega Colocation America, , un provider di hosting di colocation conforme alla normativa HIPAA. “L’aggiornamento di questo standard richiederà inoltre alle aziende di assumere un maggiore controllo e responsabilità nei confronti delle persone con cui lavorano, in primo luogo i fornitori terzi”.

Secondo lo SSAE 18, un’organizzazione di servizi, definita come qualsiasi entità che fornisce servizi ad altre organizzazioni, deve identificare tutte le organizzazioni di sottoservizi utilizzate per la fornitura dei servizi e descrivere tutti i controlli delle organizzazioni di sottoservizi su cui l’organizzazione di servizi si basa per fornire i servizi primari ai propri clienti. Altri requisiti includono una valutazione dei rischi che evidenzi i principali rischi interni dell’organizzazione, nonché l’implementazione di controlli per monitorare l’efficacia dei controlli pertinenti presso l’organizzazione di sottoservizi, tra le altre cose.

Sottoponendosi a una revisione SSAE 18, i provider di web hosting conformi a HIPAA e tutte le altre organizzazioni di servizi possono far sentire i loro partner a proprio agio, offrendo loro la prova concreta che stanno conducendo la loro attività secondo le loro specifiche.

Conclusione sulla conformità dei dati

Si spera che ora abbiate compreso la differenza tra la conformità dei dati SAS 70, SSAE 16, SSAE 18, SOC 1, SOC2 e SOC3. In un mondo in cui tutti conservano i dati nel cloud, è importante avere i mezzi per valutare oggettivamente come i diversi fornitori di servizi gestiscono, operano e controllano i dati relativi ai clienti e al reporting finanziario.

Grazie a SSAE 18 e ai suoi predecessori, i provider di web hosting conformi a HIPAA e altre organizzazioni di servizi possono godere della tranquillità di sapere che l’ambiente che hanno creato è sicuro e protetto.