¿Es común que las pequeñas empresas obtengan certificados de seguridad / cumplimiento de las agencias de auditoría para que sus SaaS los presenten a los clientes para su garantía?
Si es así, ¿cuáles son las certificaciones sugeridas?
Es algo que he visto, pero parece ser más común con empresas más grandes o con aquellos que sirven a mercados que necesitan certificaciones de valor / en particular (por ejemplo, finanzas, gobierno).
En cuanto a cuáles mirar, hay un par de opciones que conozco, algunas de las cuales son de naturaleza geográfica.
La ventaja de estos certificados puede ser que puede evitar que los clientes que tienen requisitos de auditoría vengan y lo molesten mucho (es decir, pueden confiar en el certificado y no necesitan probar los niveles de control)
Esto dependerá de las necesidades de sus clientes y de las áreas en las que necesitan garantía.
Las certificaciones de la serie ISO 27001 abordarán los requisitos de gestión de su IS.
SSAE16 / SOC1 es específico de los controles que tienen un impacto importante en la información financiera.
Un compromiso SOC 3 le permite proporcionar un sello en su sitio web que muestra que cumple los Criterios de WebTrust . También puede beneficiarse al proporcionar un compromiso SOC 2 , que también tiene un enfoque más técnico.
AICPA proporciona una comparación de SOC1, SOC2 y SOC3 .
Dependiendo de la cantidad de clientes que tenga y de sus requisitos específicos, pueden enviar a sus propias personas para que revisen o contraten a una firma de consultoría / contabilidad de terceros para que proporcione procedimientos acordados para que un tercero los revise.
Lea otras preguntas en las etiquetas risk-management certification