¿Cumple la SEC con el host auditado "SAS 70 Tipo II"?

4

Por lo que he leído y conocido, el cumplimiento de la SEC es bastante vago. Lo mejor es abordarlo de una manera sólida, pero cuando se trata de alojamiento en terceros, la única forma de demostrar su cumplimiento es mediante auditorías.

Dado que no hay reglas concretas (por ejemplo, "todos los terceros deben cumplir con SAS 70"), ¿qué sirve como aceptable? ¿El cumplimiento con "SAS 70 Tipo II" sirve como aceptable? Si no, ¿cuáles son algunas recomendaciones para tratar con terceros?

Como sé que stackexchange odia las preguntas vagas, ¿qué otras auditorías demuestran que los terceros son "soluciones compatibles"?

Gracias,

Matt

    
pregunta mbrownnyc 20.09.2011 - 14:54
fuente

2 respuestas

5

SAS-70 (incluido el Tipo II) no es un estándar de certificación. Es una declaración de lo que dice hacer, junto con la certificación de un auditor de que hace lo que dice. Tiene una flexibilidad increíblemente amplia para definir exactamente qué es lo que hace, por lo que no hay dos SAS-70 exactamente iguales. No sé a qué reglas de la SEC se refiere, pero en cualquier caso los SAS-70 no son una certificación definida con precisión, por lo que son difíciles de comparar con otra cosa.

    
respondido por el Steve Dispensa 20.09.2011 - 18:53
fuente
5

Los informes SAS-70 están diseñados para mostrar que un auditor ha visto que la compañía en revisión realiza ciertas acciones que la compañía bajo revisión enumera. Un ejemplo que usamos aquí para demostrar la naturaleza de un SAS-70 es que podemos revisar el requisito de que "todos nuestros botes de basura son redondos".

Cuando externaliza una función que es crítica para su negocio, a menudo todavía es responsable de esa función. Un SAS-70 muestra que ciertos controles están implementados en su proveedor de servicios. Esperamos que la persona que recibe el informe de su proveedor de servicios haya revisado el informe para asegurarse de que esos controles sean adecuados.

Recuerde que para un SAS-70, el cliente enumera sus controles y si realmente tienen sentido o para una necesidad comercial en particular no es parte de la revisión. Lo que desea ver es un Tipo II (controles establecidos durante todo el período de prueba) y desea asegurarse de que considera que esos controles son efectivos .

Mientras estamos en ello, el SAS-70 tal como lo conocemos está muerto a partir de este año. En el futuro, está buscando informes SOC-1, SOC-2 o SOC-3. Consulte enlace

    
respondido por el Jeff Ferland 20.09.2011 - 22:15
fuente

Lea otras preguntas en las etiquetas