Usługi atestacyjne: Service Organization Controls Reporting (SOCR)

Raport stanowi odpowiedź na potrzeby dostawcy wykraczające poza powyższe kryteria (np. dotyczące oceny skuteczności mechanizmów zapewniających odpowiednią jakość danych w systemie).

Zakres takiego raportu może być zdefiniowany według życzenia klienta, aby dokładnie odpowiadał jego specyficznym potrzebom. Raport ISAE 3000 często porusza zagadnienia związane z zapewnieniem poprawnego działania środowiska kontroli wewnętrznej w odniesieniu do wymagań RODO i DORA.

Raport SOC 2+ to rozszerzona wersja raportu SOC 2, która łączy standardowe kryteria "Trust Services Criteria” wydane przez AICPA, czyli bezpieczeństwo, dostępność, prywatność, integralność oraz poufność danych przetwarzanych przez dostawcę usług, z dodatkowymi wymaganiami regulacyjnymi lub branżowymi, takimi jak ISO 27001, NIST czy  GDPR.

Raport SOC 2+ zwiększa zaufanie partnerów biznesowych i ułatwia ekspansję na mocno regulowane rynki.

Raport jest potwierdzeniem przyznania uznawanego i szanowanego na całym świecie symbolu potwierdzającego bezpieczeństwo i pewność usług elektronicznych. Ocena świadczonych usług jest dokonywana w zakresie ich zgodności z wymaganiami opisanymi w najnowszym standardzie Trust Service Principles and Criteria for Certification Authorities.

Zgodnie z rozporządzeniem DORA instytucje finansowe są zobowiązane do kontrolowania i audytowania swoich zewnętrznych dostawców usług ICT. Chcąc zoptymalizować koszty w swojej organizacji oraz zapewnić odpowiedni poziom świadczonych usług, wybierz SOC 2+ dla DORA.

Raport SOC 2+ dla DORA gwarantuje:

• pełne dostosowanie raportów do wymagań DORA, ponieważ badane ryzyka oraz  mechanizmy kontrolne ich dotyczące są zgodne z aktualnymi regulacjami;
• jasne i klarowne macierze kontrolne, które mapują badane obszary na poszczególne artykuły regulacji;
• wiarygodne informacje przekazywane klientom, oparte na wymogach SOC 2;
• możliwość przekazania kilku klientom jednego raportu przygotowanego przez zaufanego audytora.

Dodatkowo, potwierdzenie skuteczności mechanizmów kontrolnych objętych raportem może stać się przewagą konkurencyjną, otwierając Twoją firmę na nowych klientów, w szczególności na rynku amerykańskim.

Katalog C5 (Cloud Computing Compliance Criteria Catalogue), opracowany przez niemiecki urząd BSI (Bundesamt für Sicherheit in der Informationstechnik) to uznany standard oceny bezpieczeństwa i zgodności usług chmurowych. C5 jest obecnie rozpoznawany na całym świecie jako jeden z wiodących standardów w zakresie audytu i atestacji bezpieczeństwa chmury, wykorzystywany zarówno przez dostawców, jak i klientów usług cloud computing.

Atestacja zgodności z C5 potwierdza spełnienie rygorystycznych wymagań dotyczących ochrony danych, zarządzania ryzykiem i przejrzystości procesów, a jednocześnie umożliwia świadczenie usług na wymagającym rynku niemieckim, gdzie zgodność z C5 stanowi ważne kryterium zaufania biznesowego.

Atestacja może być przeprowadzona w ramach międzynarodowego standardu ISAE 3000, co zapewnia niezależne potwierdzenie zgodności z katalogiem C5.

Co więcej, jesteśmy w pełni przygotowani do raportowania zgodnie z nadchodzącym standardem EU Cloud Scheme (również w ramach ISAE 3000), który ujednolici wymagania dotyczące certyfikacji bezpieczeństwa usług chmurowych w całej Unii Europejskiej.