Dataoverholdelse – det er et minefelt! Det kan være nesten vanskelig å tro hvor mye data som er lagret i skyen (på andres servere) i disse dager. Store og små organisasjoner har etablert en online tilstedeværelse og tatt i bruk en rekke skybaserte løsninger for å oppnå større smidighet i driften, øke lønnsomheten og forbedre deres konkurranseevne.

Selv organisasjoner som opererer i bransjer der personvern og sikkerhet for data er av største betydning, for eksempel helsetjenester, har gått bort fra lokale arkitekturer og migrert til skyen. Enhver helseorganisasjon som velger å lagre og behandle brukernes personlige eller konfidensielle informasjon hos en tredjepartsleverandør, må kunne demonstrere at leverandøren opererer i en  HIPAA-kompatibel måte, som er der revisjonsstandardene SSAE 16 og SSAE 18 for serviceorganisasjoner kommer inn.

Som om det ikke var vanskelig nok å forstå forskjellen mellom SSAE 16 og SAE 18, er det langt flere begreper som ofte blir misbrukt og misforstått i forbindelse med disse standardene, inkludert SAS 70, SOC 1-rapport, SOC 2-rapport, SOC 3-rapport, Type 1-rapport og Type 2-rapport. La oss få slutt på denne forvirringen og forklare alt fra begynnelsen.

SAS 70

American Institute of Certified Public Accountants (AICPA), den nasjonale profesjonelle organisasjonen for Certified Public Accountants, som er klar over behovet til tjenesteorganisasjoner og tjenesteleverandører for å demonstrere at de har tilstrekkelige kontroller og sikkerhetstiltak når de er vert for eller behandler data som tilhører deres kunder (AICPA). CPAs) i USA, utstedte en serie standarder for rapportering om kontrollene implementert av serviceorganisasjoner, kjent som SAS 70, i april 1992.

“I nesten 18 år var SAS 70 den autoritative veiledningen som tillot serviceorganisasjoner å avsløre sine kontrollaktiviteter og prosesser til kundene og kundenes revisorer i et enhetlig rapporteringsformat,”  forklarer SAS70.com , den første og eldste internettressursen som er fullt dedikert til SAS 70-revisjonsstandarden.

SSAE 16

Tiden med SAS 70 endte faktisk i januar 2010 med fullføringen av Statement on Standards for Attestation Engagement (SSAE) nr. 16, Reporting on Controls at a Service Organization, av AICPA. SSAE 16 trådte i kraft 15. juni 2011, og den fokuserte på internkontroll over finansiell rapportering (ICFR), og hadde lite å gjøre med tjenestene som tilbys av HIPAA-kompatible webhotellleverandører  og datasentre generelt.

For å utvide rapporteringsomfanget til SSAE 16, opprettet AICPA-rapportene Service Organization Controls (SOC) som nye alternativer for organisasjoner som er opptatt av sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern:

  • SOC 1-rapporter : Brukes kun med det formål å rapportere om systemet med internkontroller knyttet til internkontroll over finansiell rapportering.
  • SOC 2 rapporterer og SOC 3-rapporter : Fokuser på kontroller hos en serviceorganisasjon som er relevant for prinsippene om sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern. Hovedforskjellen mellom SOC 2-rapporter og SOC 3-rapporter er at den førstnevnte typen er delt under NDA, mens den sistnevnte typen er offentlig tilgjengelig for alle.

Netthotellleverandører, administrerte tjenesteleverandører, Software as a Service (SaaS)-selskaper og cloud computing-leverandører som brukte SAS 70 tidligere trenger nå en SOC 2-rapport.

Som for å gjøre alt mer komplisert, kan SOC 1- og SOC 2-rapporter være en type I eller en type II:

  • Type I : Undersøker om serviceorganisasjonens beskrivelse av sitt system samsvarer med serviceorganisasjonens system som ble designet og implementert på en bestemt dato. Den undersøker også om kontrollene knyttet til kontrollmålene angitt i ledelsens beskrivelse av tjenesteorganisasjonens system var hensiktsmessig utformet for å nå disse kontrollmålene.
  • Type II : I tillegg til alt som er inkludert i Type I-rapporter, undersøker en Type II-rapport i tillegg om kontrollene knyttet til kontrollmålene angitt i ledelsens beskrivelse av serviceorganisasjonens system fungerte effektivt gjennom den angitte perioden for å oppnå disse kontrollmålene.’

SSAE 18

1. mai 2017 erstattet AICPA SSAE 16 med en ny standard, kjent som SSAE 18, eller Statement on Standards for Attestation Engagements No. 18. Akkurat som SAS 70 og SSAE 16 før det, er SSAE 18 dataoverholdelse ikke en sertifisering. Det er en revisjons- og attestasjonsstandard som brukes til å produsere rapporter om system- og organisasjonskontroller (SOC 1, SOC 2 og SOC 3).

“SSAE 18-oppdateringen bringer inn et par betydelige forskjeller enn forgjengeren, SSAE 16. Hovedformålet er å klargjøre visse gamle standarder og effektivisere og forenkle gjennomgangsprosessen,” forklarer Colocation America,  en HIPAA-kompatibel vertsleverandør for samlokalisering. “Oppdateringen til denne standarden vil også kreve at selskaper tar mer kontroll og ansvar for menneskene de jobber med, først og fremst tredjepartsleverandører.”

I henhold til SSAE 18 skal en tjenesteorganisasjon, som er definert som enhver enhet som leverer tjenester til andre organisasjoner, identifisere alle undertjenesteorganisasjoner som brukes til å levere tjenestene og beskrive eventuelle undertjenesteorganisasjonskontroller som tjenesteorganisasjonen er avhengig av for å levere den primære tjenester til sine kunder. Andre krav inkluderer en risikovurdering som synliggjør organisasjonens sentrale interne risikoer samt implementering av kontroller for blant annet å overvåke effektiviteten av relevante kontroller hos undertjenesteorganisasjonen.

Ved å få utført en SSAE 18-gjennomgang,  HIPAA-kompatible webhotellleverandører  og alle andre serviceorganisasjoner kan holde sine partnere i ro ved å tilby dem konkrete bevis på at de driver sin virksomhet i henhold til deres spesifikasjoner.

Konklusjon om dataoverholdelse

Forhåpentligvis forstår du nå forskjellen mellom SAS 70, SSAE 16, SSAE 18, SOC 1, SOC2 og SOC3 dataoverholdelse. I en verden der alle lagrer data i skyen, er det viktig å ha midler til å objektivt evaluere hvordan ulike tjenesteleverandører håndterer, driver og kontrollerer data knyttet til kunder og finansiell rapportering.

Takket være SSAE 18 og dens forgjengere kan HIPAA-kompatible webhotellleverandører og andre tjenesteorganisasjoner nyte tryggheten av at miljøet de har laget er trygt og sikkert.