| | |||
|
AVISO IMPORTANTE REF.: SysTrust para el cese del programa de sellos de Controles de organización de servicios A partir del 31 de diciembre de 2014, el programa de sellos SOC 3 SysTrust para la organización de servicios ya no se encuentra activo ni está respaldado o asociado a AICPA y CPA Canada. Capital Confirmation seguirá contratando servicios de certificación/garantía en el área de confiabilidad de sistemas y controles de organización de servicios, así como continuará manteniendo los criterios y principios de los servicios seguros subyacentes para seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad para garantizar la efectividad de estos servicios con el tiempo. Usted llegó aquí desde un sitio SOC 3 certificado que ha sido examinado por un contador independiente. El reporte del profesional (ver a continuación) sobre las(s) afirmación(es) de gestión de la actividad comercial de la entidad de la que depende guarda conformidad con los criterios y principios de los servicios seguros aplicables. Los principios de los servicios seguros representan los atributos de un sistema confiable que ayude a respaldar el logro de los objetivos de gestión. Existen criterios detallados para cada uno de los principios, los cuales se utilizan como puntos de referencia para medir y presentar el asunto y sobre los cuales el profesional evalúa dicho asunto. Los atributos de los criterios apropiados se describen a continuación:
Al demostrar cumplimiento con los criterios de los servicios seguros mediante un examen realizado por un profesional independiente, las entidades respetan el/los principio(s) de dichos servicios: Seguridad El principio de security se refiere a la protección de los recursos del sistema a través de medidas de control de acceso lógico y físico con el objeto de respaldar el logro de los compromisos y requisitos de gestión relacionados con la seguridad, disponibilidad, integridad de procesamiento y confidencialidad. Los controles sobre la seguridad de un sistema previenen o detectan el desglose y la elusión de la segregación de tareas, un fallo del sistema, procesamiento incorrecto, robo o eliminación no autorizada de datos o recursos del sistema, uso indebido de software y acceso o uso incorrecto, alteración, destrucción o divulgación de información. Disponibilidad El principio de disponibilidad se refiere al acceso al sistema, productos o servicios en virtud de un contrato, acuerdo de nivel de servicio u otros acuerdos. Este principio, en sí mismo, no establece un nivel de desempeño mínimo aceptable para la disponibilidad del sistema. El principio de disponibilidad no aborda la funcionalidad del sistema (las funciones específicas que realiza un sistema) y el uso del sistema (la capacidad de los usuarios para aplicar las funciones del sistema para la realización de tareas específicas o la resolución de problemas). Sin embargo, sí verifica si el sistema incluye controles para respaldar el acceso al sistema para su funcionamiento, supervisión y mantenimiento. Integridad de procesamiento El principio de integridad de procesamiento se refiere a la completitud, validez, precisión, puntualidad y autorización del procesamiento del sistema. La integridad de procesamiento verifica si el sistema alcanza su objetivo o el fin para el cual existe, y si lleva a cabo su función prevista sin impedimentos ni manipulación no autorizada o involuntaria. La integridad de procesamiento no implica automáticamente que la información que recibe y almacena el sistema esté completa y autorizada, y sea válida, actual y precisa. Muchas veces los controles del sistema no pueden abordar el riesgo de que los datos contengan errores introducidos antes de su ingreso al sistema. Por lo general, detectar dichos errores no es responsabilidad de la entidad. Del mismo modo, los usuarios fuera de los límites del sistema podrían ser responsables de iniciar el procesamiento. Si no se toman dichas medidas, es posible que los datos pierdan validez, no sean precisos o, de lo contrario, sean inapropiados. Confidencialidad El principio de confidencialidad aborda la capacidad del sistema para proteger información designada como tal, de acuerdo con los compromisos y los requisitos de la organización a través de la eliminación y disposición final del sistema. La información es confidencial si el custodio de dicha información, ya sea por ley o regulación, compromiso u otro acuerdo, está obligado a limitar su acceso, uso y retención, y restringe su divulgación a un grupo específico de personas u organizaciones (incluidos los que pueden tener acceso autorizado de otro modo dentro de los límites del sistema). La necesidad de que la información sea confidencial puede deberse a diferentes motivos. Por ejemplo, la información es información de propiedad, información prevista solo para el personal de la compañía, información personal o, simplemente, información comprometedora. La confidencialidad se distingue de la privacidad en que (i) la privacidad incluye la información personal, mientras que la confidencialidad se refiere a una mayor variedad de información que no está restringida a la información personal; y (ii) la privacidad aborda el requisito para el tratamiento, procesamiento y manejo de información personal. Privacidad El principio de privacidad aborda la recopilación, uso, retención, divulgación y disposición de información personal, de conformidad con los compromisos de la notificación de privacidad de la entidad y los criterios establecidos en los Principios de Privacidad Generalmente Aceptados (GAPP, por sus siglas en inglés) publicados por AICPA y CPA Canada. GAPP es un marco de gestión que incluye los criterios de medición para el principio de privacidad de los servicios seguros y consta de 10 subprincipios:
Informe de auditoría
Informe de auditoría, afirmaciones de gestión y descripción del sistema ( Haga clic aquí para descargar Adobe Acrobat Reader )
|
