Uppgiftsöverensstämmelse – det är ett minfält! Det kan vara svårt att tro hur mycket data som lagras i molnet (på någon annans servrar) nuförtiden. Stora och små företag har etablerat en närvaro på nätet och antagit en mängd molnbaserade lösningar för att få större flexibilitet i verksamheten, öka lönsamheten och förbättra sin konkurrenskraft.

Även organisationer som verkar inom branscher där dataintegritet och datasäkerhet är av yttersta vikt, t.ex. inom hälsovården, har gått ifrån lokala arkitekturer och flyttat över till molnet. Alla sjukvårdsorganisationer som väljer att lagra och behandla användarnas personliga eller konfidentiella information hos en tredjepartsleverantör måste kunna visa att leverantören arbetar på ett HIPAA-kompatibelt sätt, och det är här som SSAE 16 och SSAE 18-standarderna för revision av tjänsteorganisationer kommer in i bilden.

Som om det inte vore svårt nog att förstå skillnaden mellan SSAE 16 och SAE 18 finns det betydligt fler termer som ofta missbrukas och missförstås i samband med dessa standarder, däribland SAS 70, SOC 1-rapport, SOC 2-rapport, SOC 3-rapport, typ 1-rapport och typ 2-rapport. Låt oss sätta stopp för denna förvirring och förklara allt från början.

SAS 70

American Institute of Certified Public Accountants (AICPA), den nationella yrkesorganisationen för auktoriserade revisorer (CPA) i Förenta staterna, är medveten om att tjänsteorganisationer och tjänsteleverantörer måste visa att de har lämpliga kontroller och skyddsåtgärder när de inhyser eller behandlar uppgifter som tillhör deras kunder och utfärdade i april 1992 en serie standarder för rapportering om de kontroller som tjänsteorganisationer genomför, kända som SAS 70.

“I nästan 18 år var SAS 70 den auktoritativa vägledning som gjorde det möjligt för serviceorganisationer att redovisa sina kontrollaktiviteter och processer för sina kunder och kundernas revisorer i ett enhetligt rapporteringsformat“, förklarar SAS70.com, den första och äldsta internetresursen helt dedikerad till SAS 70 revisionsstandarden.

SSAE 16

SAS 70-eran upphörde i januari 2010 i och med att AICPA färdigställde Statement on Standards for Attestation Engagements (SSAE) nr 16, Reporting on Controls at a Service Organization. SSAE 16 trädde i kraft den 15 juni 2011 och fokuserade på den interna kontrollen av den finansiella rapporteringen (ICFR), vilket har lite att göra med de tjänster som erbjuds av HIPAA-kompatibla webbhotell och datacenter i allmänhet.

För att bredda rapporteringsområdet för SSAE 16 har AICPA skapat SOC-rapporterna (Service Organization Controls) som ett nytt alternativ för organisationer som oroar sig för säkerhet, tillgänglighet, behandlingsintegritet, konfidentialitet och sekretess:

  • SOC 1-rapporter: Används endast i syfte att rapportera om systemet för intern kontroll avseende intern kontroll över finansiell rapportering.
  • SOC 2-rapporter och SOC 3-rapporter: Fokus på kontroller i en tjänsteorganisation som är relevanta för principerna om säkerhet, tillgänglighet, behandlingsintegritet, konfidentialitet och integritet. Den största skillnaden mellan SOC 2-rapporter och SOC 3-rapporter är att den förstnämnda typen delas under NDA medan den sistnämnda typen är tillgänglig för alla offentligt.

Webbhotell, leverantörer av hanterade tjänster, SaaS-företag (Software as a Service) och leverantörer av molntjänster som tidigare använde SAS 70 behöver nu en SOC 2-rapport.

För att göra det hela ännu mer komplicerat kan SOC 1- och SOC 2-rapporter vara av typ I eller II:

  • Typ I: Undersöker om serviceorganisationens beskrivning av sitt system stämmer överens med serviceorganisationens system som utformades och implementerades vid ett visst datum. Den undersöker också om de kontroller som är relaterade till de kontrollmål som anges i ledningens beskrivning av tjänsteorganisationens system var lämpligt utformade för att uppnå dessa kontrollmål.
  • Typ II: Utöver allt som ingår i typ I-rapporter undersöker en typ II-rapport dessutom om de kontroller som är relaterade till de kontrollmål som anges i ledningens beskrivning av tjänsteorganisationens system fungerade effektivt under hela den angivna perioden för att uppnå dessa kontrollmål.

SSAE 18

Den 1 maj 2017 ersatte AICPA SSAE 16 med en ny standard, SSAE 18, eller Statement on Standards for Attestation Engagements No. 18. Precis som SAS 70 och SSAE 16 innan dess är SSAE 18 dataöverensstämmelse ingen certifiering. Det är en revisions- och intygsstandard som används för att ta fram SOC-rapporter (System and Organisation Controls) (SOC 1, SOC 2 och SOC 3).

“SSAE 18-uppdateringen innebär ett par betydande skillnader jämfört med föregångaren SSAE 16. Huvudsyftet är att förtydliga vissa gamla standarder och effektivisera och förenkla granskningsprocessen”, förklarar Colocation America, , en HIPAA-kompatibel colocationhostingleverantör. “Uppdateringen av denna standard kommer också att kräva att företagen tar större kontroll och ansvar för de personer de arbetar med, främst tredjepartsleverantörer.”

Enligt SSAE 18 ska en tjänsteorganisation, som definieras som en enhet som tillhandahåller tjänster till andra organisationer, identifiera alla underorganisationer som används för att tillhandahålla tjänsterna och beskriva alla kontroller av underorganisationer som tjänsteorganisationen förlitar sig på för att tillhandahålla de primära tjänsterna till sina kunder. Andra krav är bland annat en riskbedömning som belyser organisationens viktigaste interna risker samt genomförandet av kontroller för att övervaka effektiviteten av relevanta kontroller i underleverantörsorganisationen.

Genom att låta utföra en SSAE 18-granskning kan HIPAA-kompatibla webbhotell och alla andra serviceorganisationer hålla sina partners lugna genom att erbjuda dem konkreta bevis på att de bedriver sin verksamhet enligt deras specifikationer.

Slutsats om efterlevnad av uppgifter

Förhoppningsvis förstår du nu skillnaden mellan SAS 70, SSAE 16, SSAE 18, SOC 1, SOC2 och SOC3. I en värld där alla lagrar data i molnet är det viktigt att ha möjlighet att objektivt utvärdera hur olika tjänsteleverantörer hanterar, driver och kontrollerar data som rör kunder och finansiell rapportering.

Tack vare SSAE 18 och dess föregångare kan HIPAA-kompatibla webbhotell och andra serviceorganisationer känna sig trygga med att den miljö de har skapat är säker och trygg.