跳转到主要内容

因此,您已经在AWS或其他基础设施即服务提供商的基础上构建了软件即服务(SaaS)应用程序。您这样做的原因之一可能是为了利用符合AWS SOC 2的基础设施。AWS等服务组织收到SOC 2报告,向投资者和客户等利益相关者证明AWS基础设施是安全和可用的。此外,AWS的用户希望知道AWS的控件设计合理,运行有效。利用AWS SOC 2创建您自己的符合SOC 2的应用程序在我们的客户中很常见。

偶尔,我们会收到客户的询问,

“AWS已经有了SOC 2,我们也需要自己的SOC 2吗?”

答案是,这取决于您的客户和利益相关者。仅仅因为AWS负责某些控制以满足SOC 2标准,并不意味着贵公司不负责其他控制以满足SOC 2标准。如果你的客户有精明的审计师,他们也会要求保证你公司负责的控制措施设计和运行有效。

如果您在AWS或Azure上构建应用程序,您公司的SOC 2将不包括AWS或Azure负责的控制。这些都是从报告中分离出来的,报告仅涵盖您的SaaS公司为满足适用的SOC 2信任服务标准而实施的控制。

多年来,我们遇到了一些SaaS公司,他们在客户坚持之前接受了SOC 2审计,但这些审计通常是在公司所在的行业受到高度监管的情况下进行的,比如金融行业。我们的大多数客户都受到合同约束或要求提交SOC 2报告。

简而言之,您可以尝试在需要时提供AWS SOC 2来代替您自己的。如果它能让安全相关问题停止,那就干得好。如果没有,那就考虑编写自己的SOC 2报告。

通过利用AWS,我们是否节省了SOC 2合规性?

AWS几乎符合您能想到的所有标准和法规。为您的IaaS使用AWS或其他提供商是利用其他服务组织的控制来构建符合SOC 2的应用程序的一种好方法。由于您使用了AWS,因此您报告中涵盖的适用SOC 2控制的数量将少于您自己负责这些控制的数量。一家好的审计公司会将测试较少控制所节省的时间传递给您,您应该会收到SOC 2报告费用的节省。

如果您有其他子服务提供商需要满足与您的SaaS相关的一些SOC 2标准,则这些子服务提供商也可以从报告中删除,以便包含的唯一控制措施是您自己的SaaS公司的责任,因为它们与适用的SOC 2标准相关。

什么是服务组织与子服务组织?

什么是服务组织?

AICPA将服务组织定义为“向作为用户组织信息系统一部分的用户组织提供服务的实体(或实体的一部分)”

什么是次服务组织?

AICPA将子服务组织定义为“由另一服务组织使用的服务组织,用于执行向用户实体提供的一些服务,这些服务可能与这些用户实体对财务报告的内部控制相关。“您还可以将子服务组织视为服务组织将其部分业务外包给的实体。

例如,一家公司为其客户提供由基础设施即服务(IaaS)提供商托管的SaaS解决方案,该提供商为SaaS公司提供物理安全、环境控制和监控服务。在这种情况下,SaaS公司是服务组织,IaaS是子服务组织。

什么是分拆报告?

请参阅我们上一篇文章,其中介绍了分离与包容SOC报告。

分离审计方法允许服务组织在其系统描述中描述子服务组织执行的服务,但不包括服务组织SOC 2报告中的子服务组织控制。虽然该方法不包括子服务组织的控制,但服务组织需要注意(在其“系统”描述中)用于有效监控子服务组织。

监测次级服务组织

AICPA的SSAE 18综合指南中提供的最新更新之一包括对子服务组织的额外监控。请参阅我们上一篇关于SSAE 18和监控子服务组织的文章。

服务组织应确保其对子服务组织实施监控。监测应包括从子服务组织获得SOC 1和SOC 2报告,并审查报告中的控制和控制测试结果。

如果子服务组织无法提供SOC报告,则审查可能包括审查和协调输出报告、与子服务组织进行讨论、对子服务组织的现场访问以及服务组织内部审计职能部门成员在子服务组织测试控制等。

总结

SaaS公司通常使用子服务组织(如Amazon AWS)作为IaaS提供商。在这些情况下,SaaS公司已将某些控制的性能外包给子服务提供商。外包给AWS的控制也可能涉及一些SOC 2标准。在这种情况下,服务组织(SaaS公司)应监控子服务组织,以确保他们一致地执行与SOC 2要求相关的控制。这可以通过查看AWS的SOC 2报告和您的SaaS服务的相关领域来实现。

满足SOC 2要求所需的控制(由贵公司负责)应包含在单独的SOC 2报告中。

本文:https://cioctocdo.com/leveraging-aws-soc-2-how-build-soc-2-compliant-sa…