CSA i AICPA publikują przewodnik po atestacji SOC2 w ramach programu STAR

Cloud Security Alliance (CSA) i  American Institute of CPAs (AICPA), ogłosiły wydanie oficjalnego przewodnika dla CPA (Certified Public Accountants) po Service Organization Controls (SOC) 2 z wykorzystaniem CSA Cloud Controls Matrix (CCM).  Specyfikacja dla rygorystycznej oceny stron trzecich, oficjalnie znana jako CSA Security Trust & Assurance Registry (STAR) Attestation, jest dostępna na stronie www.cloudsecurityalliance.org/star/attestation/.

Atestacja CSA jest najnowszą propozycją poziomu 2 programu CSA STAR, któy jest publicznie dostępnym rejestrem, w którym udokumentowane są systemy kontroli stosowane przez dostawców usług. Program składa się z kilku poziomów.

1 . Samoocena – Polega na opublikowaniu deklarowanej przez dostawcę samooceny opartej na Consensus Assessment Initiative (CAI) Questionnaire i Cloud Control Matrix (CCM).

2. Certyfikacja / Atestacja: Polega na publikacji wyników oceny dokonanej przez niezależną stronę. Certyfikacja obejmuje ocenę zgodności z wymaganiami Cloud Control Matrix oraz standardu ISO27001. W tym celu Cloud Security Alliance nawiązał w pażdzierniku zeszłego roku współpracę z British Standard Institute. Atestacja opiera się na wynikach raportu 2 SOC – Service Operation Centre (dawny SAS 70, obecnie SSAE 16.) wykorzystującego elementy Cloud Control matrix

3. STAR Continuous: Jest w fazie rozwoju i jego uruchomienie jest przewidziane na koniec 2015. Polega na publikacji wyników ciągłego audytu i monitoringu opartego na Cloud Audit i Cloud Trust Protocol (CTP). W rejestrze STAR widnieje około 50 dostawców z czego tylko 3 osiągnęły 2 poziom programu. Program OCF został oficjalnie zatwierdzony przez rządową agencję Tajlandii do stosowania przez dostawców usług. Program ma być rozszerzony na państwa należące do stowarzyszenia narodów Azi południowo- wschodniej. Obecnie w Parlamencie Europejskim trwają dyskusję nad przyjęciem bądź opracowaniem programu certyfikacyjnego dla europejskich dostawców. Jednym z programów branym pod uwagę jest Open Certification Framework

“Organizacji AICPA jest niezmiernie miło współracować z CSA przy Atestacji STAR, łączącej najlepsze praktyki Security Organization Control raportowane przez CPA wykonujących SOC 2 oraz specyficzne dla modelu cloud computing zawarte w Cloud Controls Matrix. Bezpieczeństwo jest kluczowym aspektem w modelu chmury i komplementarne wytyczne AICPA i CSA dostarczają fundamenty dla praktyków wykonujących badania w tym obszarze” z Security is of paramount importance in cloud computing, and the complementary frameworks put forth by AICPA and the CSA provide a comprehensive foundation for practitioners to follow in performing engagements in this space,” powiedział Amy Pawlicki, AICPA Director of Business Reporting, Assurance and Advisory Services.

“SOC 2 stał się koniecznością dla dostawców chmury świadcząccyh usługi dla klientów korporacyjnych. ” powiedzał Mark Lundin, KPMG LLP’s Global SOC 2/SOC 3 Leader. “Połączenie raportu SOC2 z uznaną na rynku inicjatywą Cloud Controls Matrix stwarza ogromną szansę dla dostawców chmury w zademonstrowaniu wdrożonego systemu kontroli oraz zbudowania zaufania wśród swoich klientów. Współpracując z wieloma największymi dostawcami chmury zauważyliśmy, że raport SOC 2 reprezentuje najlepsze praktyki, efektywnie prezentując startegię dostawcy w spełnieniu oczekiwań klientów w zakresie zarządzaia bezpieczeństwem i zgodnością.”

Celem i misją programu  CSA STAR Attestation jest wzmocnienie zaufania do usług chmurowych poprzez prezentowanie transparentności zastosowanych rozwiązań i zabezpieczeń.

Facebooktwittergoogle_pluslinkedin
Facebooklinkedin

Skomentuj