Che cosa sono i criteri dei servizi fiduciari?

I criteri dei servizi fiduciari (TSC) sono un insieme di standard utilizzati per valutare l'efficacia dei controlli di un'organizzazione relativi alla sicurezza, all'elaborazione integrità, riservatezza e disponibilità.

quali sono i criteri dei servizi fiduciari

Cosa sono i criteri dei servizi fiduciari?

Il termine "criteri dei servizi fiduciari" si riferisce a un quadro completo sviluppato per valutare l'adeguatezza e l'efficacia dei controlli di un'organizzazione su vari aspetti della protezione dei dati e delle prestazioni del sistema. Nello specifico, il TSC si concentra sui principi di sicurezza, disponibilità e trattamento. interezza , riservatezza e privacy. Viene utilizzato principalmente nel contesto di audit, come SOC 2 (Controlli di sistema e organizzazione), per garantire che le organizzazioni di servizi soddisfino rigorosi requisiti in materia di salvaguardia delle informazioni sensibili e dell'affidabilità dei loro sistemi operativi.

Valutando questi criteri, le organizzazioni dimostrano il loro impegno a mantenere elevati standard di protezione dei dati, resilienza operativa e privacy, essenziali per costruire la fiducia con clienti e stakeholder. TSC fornisce un approccio strutturato alla valutazione dei controlli interni di un'organizzazione, garantendo non solo la conformità agli standard di settore, ma anche la riduzione al minimo dei rischi associati. violazioni dei dati, sistema i tempi di inattività, E altri vulnerabilità.

Quali sono i cinque criteri dei servizi fiduciari?

I cinque criteri dei servizi fiduciari sono:

Sicurezza. Questo criterio si concentra sulla protezione di sistemi e dati da accessi non autorizzati, attacchi e violazioni. Garantisce l'adozione di misure di sicurezza adeguate per prevenire danni ai beni dell'organizzazione e preservare la riservatezza, l'integrità e la disponibilità delle informazioni.
Disponibilità. Questo criterio valuta se i sistemi e i servizi forniti dall'organizzazione sono disponibili per il funzionamento e l'utilizzo come concordato. Implica la valutazione della capacità dell'organizzazione di mantenere uptime ed incontrare contratti di servizio (SLA).
Integrità di elaborazioneQuesto criterio garantisce che i processi del sistema siano completi, accurati e tempestivi. Valuta se il sistema è in grado di elaborare i dati in modo coerente, in conformità con gli obiettivi aziendali e le aspettative degli utenti.
Riservatezza. Questo criterio si concentra sulla garanzia che le informazioni classificate come riservate siano protette in base alla loro sensibilità. Implica la salvaguardia dei dati sensibili da accessi e divulgazioni non autorizzati.
PrivacyQuesto criterio garantisce che i dati personali siano raccolti, utilizzati, conservati, divulgati e smaltiti in conformità con le leggi e i regolamenti sulla privacy pertinenti. Valuta la capacità dell'organizzazione di mantenere la riservatezza delle informazioni personali in modo da soddisfare gli obblighi legali e contrattuali.

Criteri dei servizi fiduciari e integrazione COSO

I criteri dei servizi fiduciari e il framework del Committee of Sponsoring Organizations of the Treadway Commission (COSO) sono entrambi essenziali per la valutazione dei controlli interni di un'organizzazione, ma si concentrano su aspetti diversi della governance e della gestione del rischio. L'integrazione dei TSC con COSO può aiutare le organizzazioni a garantire un approccio completo alla gestione del rischio, alla conformità e all'efficacia del controllo interno.

. criteri dei servizi fiduciari, Come accennato, includono cinque aree chiave: sicurezza, disponibilità, integrità di elaborazione, riservatezza e privacy. Questi criteri vengono utilizzati principalmente in audit come il SOC 2 per valutare se i controlli di un'organizzazione sono progettati e operano in modo efficace per proteggere i dati e garantire l'affidabilità del sistema. I criteri aiutano le organizzazioni a dimostrare il proprio impegno nella salvaguardia dei dati sensibili, nell'elevata disponibilità dei sistemi e nella tutela della privacy, tra le altre cose.

. Quadro COSO, d'altro canto, fornisce un insieme più ampio e globale di principi e pratiche per un controllo interno efficace. Include cinque componenti: ambiente di controllo, valutazione del rischio, attività di controllo, informazione e comunicazione e monitoraggio. Il framework COSO è comunemente utilizzato per valutare i controlli interni in aree quali l'informativa finanziaria e la conformità a leggi e regolamenti, ed è uno standard ampiamente adottato per la governance e la gestione del rischio.

Integrazione dei criteri dei servizi fiduciari e del framework COSO

L'integrazione di TSC e COSO crea un ambiente di controllo interno più solido per un'organizzazione, garantendo che sia gli aspetti tecnici che organizzativi della gestione del rischio siano adeguatamente affrontati. Ciò include:

Ambiente di controlloL'ambiente di controllo COSO prevede di stabilire il tono al vertice, garantendo l'impegno della leadership in materia di sicurezza, disponibilità, integrità dei processi, riservatezza e privacy. Ciò è in linea con il TSC, che richiede una supervisione di alto livello dei controlli progettati per proteggere sistemi e dati.
Valutazione del rischioSia TSC che COSO sottolineano l'importanza della valutazione del rischio. I criteri di sicurezza e privacy di TSC richiedono alle organizzazioni di identificare e mitigare i rischi per le informazioni sensibili, mentre la componente di valutazione del rischio di COSO garantisce che i rischi – finanziari, operativi e di conformità – siano adeguatamente identificati, valutati e gestiti.
Attività di controllo. Le attività di controllo del COSO garantiscono l'adozione di politiche e procedure per affrontare i rischi identificati. Ciò supporta direttamente il TSC, in particolare in ambiti come l'integrità e la riservatezza dei dati, dove è necessario progettare processi dettagliati per garantire l'elaborazione accurata dei dati e la protezione delle informazioni riservate.
Informazione e comunicazione. Entrambi i framework sottolineano l'importanza di garantire che le informazioni rilevanti siano comunicate in modo efficace all'interno dell'organizzazione. I criteri di privacy e sicurezza del TSC richiedono che le informazioni relative alle pratiche di trattamento dei dati siano comunicate in modo chiaro e trasparente, mentre la componente del COSO sottolinea il ruolo della comunicazione nella gestione dei controlli interni e nel garantire la responsabilità.
ControlloLa componente di monitoraggio del COSO garantisce che i controlli interni siano costantemente valutati e migliorati. Ciò è in linea con i requisiti del TSC per il monitoraggio continuo dei controlli, soprattutto in ambiti come la sicurezza e la disponibilità, per garantire che i sistemi rimangano sicuri, accessibili e privi di vulnerabilità.

Criteri dei servizi fiduciari in SOC 2

Nel contesto di SOC 2, i TSC sono gli standard utilizzati per valutare e valutare i controlli implementati dalle organizzazioni di servizi per proteggere i dati sensibili, garantire l'affidabilità del sistema e mantenere la privacy.

SOC 2 è un framework utilizzato principalmente per valutare la sicurezza, la disponibilità, l'integrità del processo, la riservatezza e la privacy dei sistemi e dei dati di un'organizzazione. Questi criteri aiutano a determinare se i controlli dell'organizzazione soddisfano requisiti specifici per salvaguardare le informazioni sensibili e soddisfare le aspettative dei suoi clienti e stakeholder.

I report SOC 2 sono in genere utilizzati dalle aziende tecnologiche, in particolare quelle che offrono cloud-basato o SaaS (Software come servizio) soluzioni, per dimostrare il loro impegno nel mantenere i più elevati standard di protezione dei dati, privacy e sicurezza.

I cinque criteri dei servizi fiduciari in SOC 2 sono:

Sicurezza. Il criterio di sicurezza si concentra sulla protezione dei sistemi da accessi non autorizzati, attacchi informaticie altre forme di intrusione. Valuta se i sistemi e i dati di un'organizzazione sono protetti da minacce sia interne che esterne. Le principali misure di sicurezza possono includere firewall, crittografia, sistemi di rilevamento delle intrusionie altri controlli tecnici che impediscono l'accesso non autorizzato o la modifica dei dati.
DisponibilitàQuesto criterio valuta se i sistemi e i servizi dell'organizzazione sono disponibili per il funzionamento e l'utilizzo previsti. Valuta la capacità dell'organizzazione di mantenere i tempi di attività e rispettare gli accordi sul livello di servizio. Questo è fondamentale per i clienti che fanno affidamento sulla disponibilità dei servizi per le proprie operazioni, come ad esempio cloud soluzioni di hosting o SaaS.
Integrità di elaborazioneL'integrità dell'elaborazione garantisce che i sistemi elaborino i dati in modo accurato, completo e tempestivo. Questo criterio valuta se i processi del sistema funzionano correttamente e forniscono i risultati previsti, il che è essenziale per i clienti che dipendono dall'affidabilità delle informazioni elaborate. Ciò potrebbe includere la convalida dell'accuratezza delle transazioni, l'elaborazione tempestiva e la corretta gestione degli errori.
riservatezzaIl criterio di riservatezza si concentra sulla protezione delle informazioni sensibili da accessi o divulgazioni non autorizzati. Valuta la capacità dell'organizzazione di proteggere dati riservati come proprietà intellettuale, segreti commerciali e informazioni personali, in conformità con le leggi sulla privacy dei dati e gli obblighi contrattuali. Ciò può includere crittografia, archiviazione sicura e protocolli di accesso limitato.
PrivacyIl criterio di privacy garantisce che le informazioni personali siano raccolte, utilizzate, conservate, divulgate e smaltite in conformità con le leggi sulla privacy pertinenti, come la GDPR o CCPAGarantisce che le organizzazioni implementino pratiche che salvaguardino i dati personali, proteggendo il diritto alla privacy degli individui e rispettando al contempo i requisiti legali e normativi.

Criteri dei servizi fiduciari e altri quadri di conformità

Ecco un confronto tra il TSC utilizzato in SOC 2 e altri framework di conformità diffusi:

Quadro di conformità	Aree/criteri chiave	Focus	casi d'uso tipici
SOC 2 (Criteri per i servizi fiduciari)	Sicurezza, disponibilità, integrità dell'elaborazione, riservatezza, privacy	Valuta l'efficacia dei controlli interni relativi a sicurezza, privacy, disponibilità e integrità dei dati per le organizzazioni di servizi	Cloud fornitori di servizi, aziende SaaS, fornitori di servizi IT
SOC 1	Obiettivi di controllo per la rendicontazione finanziaria (nessun criterio di fiducia)	Si concentra sui controlli relativi alla rendicontazione finanziaria, in particolare per le organizzazioni utenti che si affidano a servizi esternalizzati	Servizi finanziari esternalizzati, servizi di elaborazione paghe e studi contabili
ISO / IEC 27001	Informazioni Di Sicurezza Sistema di Gestione (SGSI)	Si concentra sulla creazione, implementazione e manutenzione di un sistema di gestione della sicurezza delle informazioni (ISMS)	Imprese che necessitano di un sistema completo di sicurezza informatica
HIPAA (legge sulla portabilità e la responsabilità dell'assicurazione sanitaria)	Sicurezza, Privacy, Notifica delle violazioni, Applicazione	Si concentra sulla protezione della privacy e della sicurezza delle informazioni sanitarie nel settore sanitario statunitense	Organizzazioni sanitarie, fornitori di servizi sanitari, compagnie di assicurazione sanitaria
GDPR (Regolamento generale sulla protezione dei dati)	Protezione dei dati, Privacy	Protegge i dati personali e la privacy degli individui all'interno dell'Unione Europea	Aziende che trattano dati personali di residenti nell'UE, multinazionali
PCI DSS (Settore delle carte di pagamento) Data Security Standard)	Protezione dei dati, sicurezza della rete, monitoraggio e controllo degli accessi	Si concentra sulla protezione delle informazioni delle carte di pagamento e sulla garanzia di transazioni sicure per i titolari di carta	Piattaforme di e-commerce, commercianti, elaboratori di pagamento, istituti finanziari
Quadro di sicurezza informatica del NIST	Identificare, proteggere, rilevare, rispondere, recuperare	Fornisce un approccio basato sul rischio per migliorare l'infrastruttura e la resilienza della sicurezza informatica	Enti governativi, infrastrutture critiche, aziende che cercano una guida completa sulla sicurezza informatica
FISMA (Legge federale sulla modernizzazione della sicurezza delle informazioni)	Sicurezza e Privacy	Si concentra sulla garanzia della protezione dei sistemi informativi e dei dati federali	Agenzie federali, appaltatori ed enti statunitensi che lavorano con dati federali
CSA STAR (Cloud Registro di sicurezza, fiducia e garanzia della Security Alliance	Sicurezza, privacy, governance, rischio e conformità	Cloud standard di sicurezza focalizzati sulla postura di sicurezza di cloud fornitori e la fiducia che instaurano con i clienti	Cloud fornitori, aziende che utilizzano cloud servizi

Esempi di criteri per i servizi fiduciari

Ecco alcuni esempi di come i TSC vengono applicati in diversi scenari:

Sicurezza. Un processore di pagamento online implementa autenticazione a più fattori Sia per gli utenti che per gli amministratori. Ciò garantisce che solo le persone autorizzate possano accedere alle informazioni di pagamento sensibili e ai sistemi di elaborazione, riducendo il rischio di accessi non autorizzati o attacchi informatici.
Disponibilità. A cloud il fornitore di hosting implementa un sistema automatizzato backup e ripristino di emergenza Soluzione con un SLA (Service Level Agreement) di uptime del 99.9%. Questo garantisce che i siti web e i dati dei clienti siano sempre disponibili, anche in caso di interruzioni impreviste del sistema o disastri, riducendo al minimo i tempi di inattività e le interruzioni del servizio.
Integrità dell'elaborazione. Un fornitore di software di supporto clienti garantisce che tutte le richieste dei clienti vengano automaticamente registrate e inoltrate al team di supporto appropriato in pochi minuti. Il sistema fornisce tempo reale aggiornamenti e conferme, garantendo l'accuratezza dei dati e l'elaborazione tempestiva delle richieste dei clienti.
Riservatezza. Uno studio legale utilizza la crittografia per proteggere i dati riservati dei clienti archiviati nel proprio database. Inoltre, l'accesso ai documenti sensibili è limitato ai soli dipendenti autorizzati, garantendo che i documenti legali e le comunicazioni con i clienti non siano accessibili a soggetti non autorizzati.
Privacy. Un operatore sanitario raccoglie informazioni sanitarie personali (PHI) dai pazienti, ma implementa rigorose procedure di gestione dei dati. Queste includono la crittografia delle PHI sia in transito che a riposo, nonché la possibilità per i pazienti di accedere ai propri dati e di cancellarli, in conformità con le normative sulla privacy come l'HIPAA.

Perché i criteri dei servizi fiduciari sono importanti?

I criteri dei servizi fiduciari sono importanti perché forniscono alle organizzazioni un modo strutturato e standardizzato per dimostrare il proprio impegno nella protezione e gestione dei dati, garantendo servizi affidabili e tutelando la privacy dei clienti. Ecco diversi motivi chiave per cui i TSC sono cruciali:

Crea fiducia con clienti e parti interessate. Le organizzazioni che rispettano i criteri dei servizi fiduciari dimostrano il loro impegno nella salvaguardia delle informazioni sensibili e nel mantenimento dell'affidabilità operativa. Ciò rafforza la fiducia con clienti, partner e stakeholder, fondamentale per la crescita e la fidelizzazione del business.
Migliora la protezione e la sicurezza dei dati. I criteri aiutano le organizzazioni a implementare solide misure di sicurezza per proteggere i dati da accessi non autorizzati, attacchi informatici e violazioni. Concentrandosi sugli aspetti di sicurezza e riservatezza, TSC garantisce che le informazioni sensibili siano adeguatamente protette.
Supporta la conformità normativa. Molti quadri normativi, come GDPR, HIPAA e PCI DSS, si sovrappongono ai criteri stabiliti dal TSC. L'adesione a questi standard aiuta le organizzazioni a soddisfare i requisiti legali e normativi, riducendo il rischio di non conformità e potenziali sanzioni.
Attenua i rischi operativi. Concentrandosi sulla disponibilità e sull'integrità di elaborazione, TSC garantisce che i sistemi siano resilienti, accurati e disponibili quando necessario. Ciò riduce al minimo i rischi di guasti di sistema, errori nei dati o interruzioni del servizio che potrebbero influire sulle operazioni aziendali e sulla soddisfazione del cliente.
Migliora l'efficienza operativa. L'implementazione del TSC aiuta le organizzazioni a semplificare i processi, identificare i punti deboli e migliorare l'ambiente di controllo. Ciò porta a una gestione del rischio più efficiente, riducendo licenziamentie garantisce che le risorse siano allocate correttamente per mantenere l'integrità del sistema.
Fornisce un vantaggio competitivo. Il raggiungimento della conformità ai criteri dei servizi fiduciari dimostra che un'organizzazione segue le migliori pratiche del settore. Questo distingue un'azienda nei mercati competitivi, poiché i clienti sono più propensi a scegliere fornitori di servizi che danno priorità data security, privacy e affidabilità operativa.
Riduce il rischio di violazioni dei dati e di responsabilità legali. Poiché la privacy e la riservatezza sono componenti fondamentali del TSC, le organizzazioni sono meglio attrezzate per proteggere i dati dei clienti dalle violazioni. Seguendo questi criteri, le organizzazioni riducono al minimo il rischio di costose violazioni dei dati, azioni legali o danni alla reputazione.
Consente una rendicontazione trasparente. La conformità al TSC viene spesso verificata tramite audit esterni, come i report SOC 2. Queste valutazioni di terze parti garantiscono trasparenza e convalida indipendente dell'impegno di un'organizzazione in materia di protezione dei dati, offrendo garanzie a clienti e investitori.

Chi gestisce i criteri dei servizi fiduciari?

I criteri per i servizi fiduciari sono stabiliti dall'American Institute of Certified Public Accountants (AICPA). L'AICPA è un'organizzazione professionale che definisce gli standard per la revisione contabile, la contabilità e il reporting negli Stati Uniti.

AICPA ha sviluppato i criteri per i servizi fiduciari nell'ambito del framework SOC, che include i report SOC 1, SOC 2 e SOC 3. Questi criteri vengono regolarmente rivisti e aggiornati da AICPA per allinearli all'evoluzione degli standard di settore, ai progressi tecnologici e ai requisiti normativi. Il TSC funge da base per la valutazione dei controlli delle organizzazioni di servizi in materia di sicurezza, disponibilità, integrità del trattamento, riservatezza e privacy, in particolare nel contesto degli audit SOC 2 e SOC 3.

L'AICPA garantisce che i criteri rimangano pertinenti consultandosi con esperti del settore e parti interessate, consentendo alle organizzazioni di dimostrare la conformità alle migliori pratiche e di garantire la protezione dei dati sensibili e l'integrità del sistema.

Con quale frequenza dovrebbero essere aggiornati i controlli dei criteri dei servizi fiduciari?

I controlli dei criteri dei servizi fiduciari devono essere aggiornati regolarmente per garantire che rimangano efficaci e in linea con l'evoluzione degli standard di sicurezza, privacy e normativi. Tuttavia, la frequenza degli aggiornamenti dipende da diversi fattori, come cambiamenti nei sistemi dell'organizzazione, minacce emergenti e cambiamenti nei requisiti normativi. Ecco alcune linee guida su quando i controlli devono essere rivisti e aggiornati:

Monitoraggio e aggiornamenti continui. I controlli devono essere monitorati costantemente e qualsiasi lacuna o inefficienza dovrebbe essere oggetto di revisione. Audit interni regolari, monitoraggio automatizzato e raccolta di informazioni sulle minacce aiutano a identificare le aree in cui i controlli potrebbero richiedere aggiornamenti più frequenti.
Revisione annuale. Si raccomanda alle organizzazioni di rivedere i propri controlli TSC almeno una volta all'anno per garantire che siano in linea con gli standard di settore vigenti e con le minacce in continua evoluzione. Una revisione annuale aiuta le organizzazioni a rimanere proattive nell'adattamento a nuovi rischi, tecnologie e requisiti di conformità. Garantisce inoltre che eventuali cambiamenti nell'ambiente aziendale o operativo si riflettano nei controlli.
In seguito a importanti cambiamenti. Se un'organizzazione subisce un importante aggiornamento del sistema, un cambiamento nell'architettura (ad esempio, trasferirsi al cloud), o un aggiornamento delle infrastrutture critiche, è importante rivedere ed eventualmente aggiornare i controlli. Analogamente, se l'organizzazione si fonde o acquisisce un'altra azienda, i controlli esistenti devono essere rivisti per garantirne l'integrazione con i nuovi processi aziendali.
Dopo modifiche normative o legali. Modifiche alle leggi sulla protezione dei dati (ad esempio, GDPR, CCPA) o le normative di settore (ad esempio, HIPAA, PCI DSS) potrebbero richiedere aggiornamenti ai controlli dell'organizzazione per garantire la conformità continua ai nuovi quadri giuridici.
In risposta a vulnerabilità identificate o incidenti di sicurezza. In caso di scoperta di una vulnerabilità o di violazione dei dati, i controlli devono essere immediatamente rivisti per garantire che siano in atto misure appropriate per prevenire incidenti simili in futuro. Questa revisione potrebbe comportare il rafforzamento delle policy di sicurezza, l'aggiunta di nuovi strumenti di monitoraggio o modifiche alle procedure di gestione dei dati.
Come parte degli audit SOC 2. Se un'organizzazione viene sottoposta a un audit SOC 2 Tipo II, che valuta l'efficacia operativa dei controlli in un determinato periodo (solitamente 6-12 mesi), è buona norma rivedere ed eventualmente aggiornare i controlli in preparazione dell'audit. L'audit SOC 2 valuta se i controlli dell'organizzazione sono progettati e operano in modo efficace, pertanto è essenziale assicurarsi che i controlli siano aggiornati e completi prima dell'audit.