Conformidade dos dados – é um campo minado! Pode ser quase difícil de acreditar a quantidade de dados armazenados na nuvem (nos servidores de outra pessoa) nos dias de hoje. As organizações grandes e pequenas estabeleceram uma presença on-line e adoptaram uma multiplicidade de soluções baseadas na nuvem para ganhar maior agilidade de funcionamento, aumentar a rentabilidade e melhorar a sua competitividade.
Mesmo organizações que operam em indústrias onde a privacidade e segurança dos dados é da maior importância, tais como os cuidados de saúde, afastaram-se das arquitecturas no local e migraram para a nuvem. Qualquer organização de saúde que opte por armazenar e processar as informações pessoais ou confidenciais dos utilizadores com um prestador de serviços terceirizado deve ser capaz de demonstrar que o prestador opera de forma compatível com HIPAA, que é onde entram as normas de auditoria SSAE 16 e SSAE 18 para organizações de serviços.
Como se a compreensão da diferença entre SSAE 16 e SAE 18 não fosse suficientemente difícil, há muito mais termos que são frequentemente abusados e mal compreendidos em relação a estas normas, incluindo SAS 70, relatório SOC 1, relatório SOC 2, relatório SOC 3, relatório Tipo 1, e relatório Tipo 2. Vamos pôr um fim a esta confusão e explicar tudo desde o início.
SAS 70
Consciente da necessidade das organizações e prestadores de serviços demonstrarem que possuem controlos e salvaguardas adequados quando hospedam ou processam dados pertencentes aos seus clientes, o American Institute of Certified Public Accountants (AICPA), a organização profissional nacional de Certified Public Accountants (CPAs) nos Estados Unidos, emitiu uma série de normas para a elaboração de relatórios sobre os controlos implementados pelas organizações de serviços, conhecidas como SAS 70, em Abril de 1992.
“Durante quase 18 anos, a SAS 70 foi a orientação autorizada que permitiu às organizações de serviços divulgarem as suas actividades e processos de controlo aos seus clientes e aos auditores dos seus clientes num formato de relatório uniforme“, explica SAS70.com, o primeiro e mais antigo recurso da Internet totalmente dedicado à norma de auditoria SAS 70.
SSAE 16
A era do SAS 70 terminou efectivamente em Janeiro de 2010 com a finalização da Declaração sobre as Normas para os Contratos de Atestado (SSAE) No. 16, Reporting on Controls at a Service Organization, pela AICPA. O SSAE 16 entrou em vigor em 15 de Junho de 2011, e concentrou-se nos controlos internos sobre relatórios financeiros (ICFR), tendo pouco a ver com os serviços oferecidos por Provedores de alojamento web compatíveis com HIPAA e centros de dados em geral.
A fim de alargar o âmbito dos relatórios do SSAE 16, a AICPA criou os relatórios da Organização de Serviços (SOC) como novas opções para organizações preocupadas com a segurança, disponibilidade, integridade de processamento, confidencialidade, e privacidade:
- Relatórios SOC 1: Utilizado apenas para efeitos de relatórios sobre o sistema de controlos internos relacionados com o controlo interno sobre a informação financeira.
- Relatórios SOC 2 e Relatórios SOC 3: Foco nos controlos numa organização de serviços relevantes para os princípios de segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. A principal diferença entre relatórios SOC 2 e relatórios SOC 3 é que o primeiro tipo é partilhado sob NDA enquanto o segundo tipo está disponível a qualquer pessoa publicamente.
Os fornecedores de alojamento Web, fornecedores de serviços geridos, empresas de Software como Serviço (SaaS), e fornecedores de cloud computing que utilizaram o SAS 70 no passado precisam agora de um relatório SOC 2.
Como se para tornar tudo mais complicado, os relatórios SOC 1 e SOC 2 podem ser do tipo I ou do tipo II:
- Tipo I: Examina se a descrição da organização de serviços do seu sistema corresponde ao sistema da organização de serviços que foi concebido e implementado a partir de uma data específica. Também examina se os controlos relacionados com os objectivos de controlo declarados na descrição do sistema da gestão da organização de serviços foram adequadamente concebidos para alcançar esses objectivos de controlo.
- Tipo II: Para além de tudo incluído nos relatórios Tipo I, um relatório Tipo II examina adicionalmente se os controlos relacionados com os objectivos de controlo declarados na descrição da gestão do sistema da organização de serviços funcionaram eficazmente durante todo o período especificado para alcançar esses objectivos de controlo”.
SSAE 18
Em 1 de Maio de 2017, a AICPA substituiu o SSAE 16 por uma nova norma, conhecida como SSAE 18, ou Statement on Standards for Attestation Engagements No. 18. Tal como o SAS 70 e o SSAE 16 antes dele, a conformidade dos dados SSAE 18 não é uma certificação. É uma norma de auditoria e atestação utilizada para produzir relatórios de Sistema e Controlo de Organização (SOC) (SOC 1, SOC 2, e SOC 3).
“A actualização do SSAE 18 traz um par de diferenças significativas em relação ao seu antecessor, o SSAE 16. O seu principal objectivo é clarificar certas normas antigas e racionalizar e simplificar o processo de revisão”, explica Colocation America, um fornecedor de alojamento de colocações em conformidade com a HIPAA. “A actualização desta norma exigirá também que as empresas assumam mais controlo e responsabilidade sobre as pessoas com quem trabalham, principalmente os vendedores terceiros”.
Nos termos do SSAE 18, uma organização de serviços, definida como qualquer entidade que presta serviços a outras organizações, deve identificar todas as organizações de sub-serviços utilizadas na prestação dos serviços e descrever qualquer organização de sub-serviços em que a organização de serviços confie para prestar os serviços primários aos seus clientes. Outros requisitos incluem uma avaliação de risco que destaca os principais riscos internos da organização, bem como a implementação de controlos para monitorizar a eficácia dos controlos relevantes na organização do sub-serviço, entre outras coisas.
Ao mandar fazer uma revisão SSAE 18, fornecedores de alojamento Web em conformidade com a HIPAA e todas as outras organizações de serviços podem manter os seus parceiros à vontade, oferecendo-lhes provas concretas de que estão a conduzir os seus negócios de acordo com as suas especificações.
Conclusão sobre a conformidade dos dados
Esperemos que agora compreenda a diferença entre SAS 70, SSAE 16, SSAE 18, SOC 1, SOC2, e SOC3 conformidade de dados. Num mundo em que todos armazenam dados na nuvem, é importante ter os meios para avaliar objectivamente como os diferentes prestadores de serviços lidam, operam e controlam os dados relacionados com clientes e relatórios financeiros.
Graças ao SSAE 18 e aos seus predecessores, os fornecedores de alojamento Web compatíveis com a HIPAA e outras organizações de serviços podem desfrutar da paz de espírito de que o ambiente que criaram é seguro e protegido.