info@aksiliagroup.com
+39 347 5748387
+39 02 40703351

Una panoramica sui Report SOC: i controlli per la cybersecurity

Una panoramica sui Report SOC: i controlli per la cybersecurity

Ormai è consueto vedere le aziende affidare alcune funzioni di base come l’archiviazione dei dati e l’accesso alle applicazioni a provider di servizi cloud e ad altre organizzazioni di servizi. 
Sulla scia di questa tendenza, l’American Institute of Certified Public Accountants (AICPA) ha messo a punto il framework Service Organization Controls (SOC) per verificare l’attendibilità di queste attività.

Che cosa significa Service Organization Controls?

Il framework SOC è uno standard per i controlli che proteggono la riservatezza e la privacy delle informazioni archiviate ed elaborate nel cloud. 
Esso è in linea con l’International Standard on Assurance Engagements (ISAE), lo standard dei report per le organizzazioni di servizi internazionali.
I controlli dei servizi basati sul framework SOC si suddividono in tre categorie, tutte applicabili ai servizi cloud: SOC 1,SOC 2 e SOC3.

SOC1

Il controllo SOC 1 è destinato alle società che effettuano controlli sui rendiconti finanziari. La sua finalità è quella di valutare l’efficacia dei controlli interni di un provider di servizi cloud che interessano i rapporti finanziari di un cliente che usa i servizi cloud del provider. 
Lo Statement on Standards for Attestation Engagements (SSAE 18) e l’International Standards for Assurance Engagements n. 3402 (ISAE 3402) sono gli standard di esecuzione del controllo e la base del report SOC 1.

SOC2

Il controllo SOC 2 valuta l’efficacia del sistema di un provider di servizi cloud in base ai criteri e ai principi dei servizi attendibili AICPA.
La base dei report SOC 2 e SOC 3 è fondata sugli standard di certificazione AT Sezione 101.
I rapporti SOC 2 mirano al soddisfacimento delle diverse esigenze degli utenti che devono comprendere il controllo interno di un’organizzazione di servizi in relazione ai criteri specifici di sicurezza, disponibilità, integrità di elaborazione, riservatezza e privacy.​
L’efficacia operativa dei controlli messi in atto dal SOC2 avviene in un ampio periodo di tempo, non solo in un momento preciso.​ Questo è il suo punto di forza perché fornisce una revisione dettagliata.


SOC 3

Il rapporto SOC 3 fornisce una sintesi del rapporto SOC 2, poiché gli è molto affine.
In particolare risponde allo standard SSAE 18, in particolare alle sezioni AT-C 105 e 205.
In pratica, si tratta di un’attestazione rilasciata sotto forma di report da parte di un auditor indipendente abilitato, relativo al sistema di controllo interno implementato da un’organizzazione che offre servizi in outsourcing.
Il SOC 3 fornisce garanzie riguardo a controlli di sicurezza e riservatezza, in linea con i principi dei servizi attendibili AICPA. Ciò include un parere di un revisore esterno sull’efficacia del funzionamento dei controlli.​

report SOC

Le finalità dei Report SOC

Per riassumere quanto enunciato sopra, il Report SOC 1 è un rapporto che si focalizza sui controlli che vengono effettuati durante l’erogazione di un servizio da parte di una Service Organization quando i dati forniti dal servizio stesso sono rilevanti ai fini del Financial Reporting dell’Organizzazione utente.
I Report SOC 2 e 3, invece, forniscono requisiti di controllo molto più rigorosi rispetto a quelli previsti dai Report SOC 1 con un insieme di controlli più efficaci e requisiti progettati intorno ai dati delle organizzazioni utenti.
Alla conclusione di un controllo SOC 1 o SOC 2, il revisore del servizio trasmette il suo parere in un report SOC 1 Tipo 2 o SOC 2 Tipo 2, in cui riassume quanto analizzato in merito al sistema del provider di servizi cloud e valuta la correttezza della descrizione dei controlli fatta dal provider stesso. 
Inoltre, sottopone a ulteriori valutazioni i controlli del provider di servizi cloud per definire se essi sono stati progettati in modo appropriato, se erano in funzione in una determinata data e se funzionavano in un periodo di tempo specificato.

La sicurezza prima di tutto

Garantire che il sistema del provider di servizi cloud rispetti i criteri di sicurezza, disponibilità, integrità dei processi e privacy conferisce valore al provider stesso.
La richiesta di servizi di cloud computing permette alle aziende di ridurre i costi di una struttura IT attraverso l’acquisto di servizi in outsourcing utilizzati in cloud quali SAAS (Software AS A Service), IAAS (Infrastructure As A Service) e PAAS (Platform As A Service). Questo, però, ha determinato anche la necessità di sottoporre le aziende fornitrici a controlli rigorosi riguardanti la propria struttura IT.

Aksilia può fornirti il servizio che stai cercando, dotando la tua struttura della cybersecurity necessaria. Affidati all’esperienza decennale di una realtà eterogenea!

Se hai trovato questo articolo interessante, leggi il nostro blog, seguici sui nostri canali social e resta aggiornato iscrivendoti alla nostra newsletter. Siamo a tua disposizione per ogni dubbio: contattaci!