SOC (SYSTEM AND ORGANIZATION CONTROLS)
Il Report SOC 1 è un rapporto che si focalizza sui controlli che vengono effettuati durante l’erogazione di un servizio da parte di una Service Organization quando i dati scaturenti dal servizio medesimo sono rilevanti ai fini del Financial Reporting dell’Oganizzazione utente.
I Report SOC 2 e 3 forniscono requisiti di controllo molto più rigorosi rispetto a quelli previsti dai Report SOC 1 con un insieme di controlli più efficaci e requisiti specificamente progettati intorno ai dati delle organizzazioni utenti.
I Report SOC 2 e 3 forniscono un benchmark standard con il quale due Service Organizations soggette a verifiche possono essere confrontate sulla base degli stessi criteri.
Il Report SSAE 16, dal 1 maggio 2017 SSAE 18, corrisponde al Report Soc 1 in quanto contiene due elementi riguardanti il Management: la Management Assertion Letter e, se applicabile, l’Assertion Letter della Subservice Organization.
Management Assertion Letter
Consiste nelle affermazioni del Management circa il sistema di organizzazione dei servizi con riferimento alla descrizione dei controlli inseriti in un Report SAS 70.
Assertion Letter dell’Organizzazione di servizi (Subservice Organization)
Contiene una affermazione illustrativa del Management della Service Organization che, oltre a comprendere l’intera descrizione della propria organizzazione, comprende anche la parte della descrizione riguardante i servizi del subfornitore, gli obiettivi di controllo ed i relativi controlli. Infatti, i servizi forniti da quest’ultimo costituiscono una parte del sistema del fornitore di servizi ed il Management è responsabile della sua porzione di descrizione del sistema.
Il Soc 2 Report include molti elementi del Soc 1 Report e indirizza ai controlli identificati dal TRUST SERVICES PRINCIPLES AND CRITERIA che includono:
- Sicurezza
- Disponibilità
- Integrità dei processi
- Riservatezza
- Privacy
La Sezione AT 101 (che definisce i controlli del SOC 2 Report) svolgerà un ruolo fondamentale nella segnalazione dei controlli presso le organizzazioni di servizi a causa del numero ampio e in costante crescita di entità nei settori “cloud computing” e tecnologia attuali. Le organizzazioni che forniscono Software as a Service (SaaS), servizi gestiti, cloud computing e host di altri servizi relativi alla tecnologia molto probabilmente riceveranno richieste di pubblicazione di report SOC sotto lo standard della sezione AT 101.
Anche nell’SSAE 16 Report, dal 1 maggio 2017 SSAE 18, viene testata la compliance dei controlli eseguiti dalla Service Organization in termini di sicurezza, disponibilità, integrità dei processi, riservatezza e privacy legati all’erogazione del servizio anche se non in modo strettamente dettagliato come negli altri due tipi di SOC.
