¿Cumple la SEC con el host auditado "SAS 70 Tipo II"?

SAS-70 (incluido el Tipo II) no es un estándar de certificación. Es una declaración de lo que dice hacer, junto con la certificación de un auditor de que hace lo que dice. Tiene una flexibilidad increíblemente amplia para definir exactamente qué es lo que hace, por lo que no hay dos SAS-70 exactamente iguales. No sé a qué reglas de la SEC se refiere, pero en cualquier caso los SAS-70 no son una certificación definida con precisión, por lo que son difíciles de comparar con otra cosa.

Los informes SAS-70 están diseñados para mostrar que un auditor ha visto que la compañía en revisión realiza ciertas acciones que la compañía bajo revisión enumera. Un ejemplo que usamos aquí para demostrar la naturaleza de un SAS-70 es que podemos revisar el requisito de que "todos nuestros botes de basura son redondos".

Cuando externaliza una función que es crítica para su negocio, a menudo todavía es responsable de esa función. Un SAS-70 muestra que ciertos controles están implementados en su proveedor de servicios. Esperamos que la persona que recibe el informe de su proveedor de servicios haya revisado el informe para asegurarse de que esos controles sean adecuados.

Recuerde que para un SAS-70, el cliente enumera sus controles y si realmente tienen sentido o para una necesidad comercial en particular no es parte de la revisión. Lo que desea ver es un Tipo II (controles establecidos durante todo el período de prueba) y desea asegurarse de que considera que esos controles son efectivos .

Mientras estamos en ello, el SAS-70 tal como lo conocemos está muerto a partir de este año. En el futuro, está buscando informes SOC-1, SOC-2 o SOC-3. Consulte enlace