Quels sont les critères des services de confiance ?

Les critères des services de confiance de l'AICPA sont le cadre utilisé par les auditeurs pour déterminer les contrôles de sécurité et de conformité qu'ils testeront dans une entreprise. La seule catégorie de critères des services de confiance requise pour chaque rapport SOC 2 est la sécurité, mais les auditeurs ont la possibilité d'ajouter la disponibilité et l'intégrité du traitement après avoir déterminé la portée de l'audit.

Catégories de critères des services de confiance :

Sécurité

• Les données et les systèmes sont protégés contre tout accès non autorisé et toute divulgation, y compris les dommages potentiellement compromettants pour les systèmes. Les données doivent être protégées lors de leur collecte ou création, utilisation, traitement, transmission et stockage.

Disponibilité

• Les données et les systèmes sont disponibles pour l'exploitation et l'utilisation. Les systèmes incluent des contrôles pour soutenir l'accessibilité pour l'exploitation, la surveillance et la maintenance.

Confidentialité

• L'organisation doit protéger les données désignées comme confidentielles (c'est-à-dire toute information sensible).

Intégrité du traitement

• Le traitement du système (notamment les données des clients) est complet, valide, précis, opportun et autorisé pour atteindre les objectifs de l'entité.

Confidentialité

• Les données personnelles sont collectées, utilisées, conservées, divulguées et éliminées conformément aux réglementations et politiques pertinentes.