Le comité exécutif des services d'assurance (ASEC) de l'American Institute of Certified Public Accountants (AICPA) a élaboré des critères de services de confiance que les organisations peuvent utiliser comme cadre pour démontrer la confidentialité, l'intégrité et la disponibilité des systèmes et des données.
Les organisations familiarisées avec les audits SOC (System and Organization Control) 2 reconnaîtront que ces critères de services de confiance sont utilisés pour rendre compte de l'efficacité de leurs contrôles internes et de leurs sauvegardes sur l'infrastructure, les logiciels, les personnes, les procédures et les données :
Liste de contrôle de la conformité des tiers à la norme SOC 2
Cette liste de contrôle complète vous aidera à simplifier vos évaluations des contrôles de tiers par rapport à la norme AICPA SOC 2.
Répondre aux exigences de SOC 2 TPRM
Voici comment Prevalent peut vous aider à répondre aux exigences de gestion des risques liés aux tiers de type SOC 2, telles que communiquées dans les critères de l'AICPA relatifs aux services fiduciaires :
Critères des services fiduciaires | Quelle aide nous apportons |
---|---|
CC2.3 : L'entité communique avec les parties externes sur les questions affectant le fonctionnement du contrôle interne. |
|
Communiquer les objectifs liés à la confidentialité et les modifications apportées aux objectifs - L'entité communique, aux utilisateurs externes, aux vendeurs, aux partenaires commerciaux et aux autres personnes dont les produits et services font partie du système, les objectifs et les modifications apportées aux objectifs liés à la confidentialité. Communiquer les objectifs liés à la protection de la vie privée et les modifications apportées à ces objectifs - L'entité communique aux utilisateurs externes, aux vendeurs, aux partenaires commerciaux et aux autres personnes dont les produits et services font partie du système, les objectifs liés à la protection de la vie privée et les modifications apportées à ces objectifs. |
Laplateforme de gestion des risques des tiers (TPRM) Prevalent gère de manière centralisée le dialogue sur les risques, les rapports et les mesures correctives entre les organisations et leurs vendeurs, fournisseurs et partenaires tiers. En outre, la plate-forme permet de stocker des rapports, des documents de politique, des contrats et des preuves à l'appui en vue d'un dialogue, d'une attestation et d'un partage. Ensemble, ces fonctionnalités permettent aux organisations de disposer d'un référentiel unique pour visualiser et gérer les risques, la documentation relative aux fournisseurs et les mesures correctives. |
CC3.2 : L'entité identifie les risques pour la réalisation de ses objectifs dans l'ensemble de l'entité et analyse les risques afin de déterminer comment les gérer. |
|
Analyse des menaces et des vulnérabilités provenant des fournisseurs, des partenaires commerciaux et des autres parties - Le processus d'évaluation des risques de l'entité comprend l'analyse des menaces et des vulnérabilités potentielles provenant des fournisseurs de biens et de services, ainsi que des menaces et des vulnérabilités provenant des partenaires commerciaux, des clients et des autres personnes ayant accès aux systèmes d'information de l'entité. |
La plateforme TPRM Prevalent permet aux entreprises d'automatiser les tâches essentielles requises pour évaluer, gérer, surveiller en permanence et corriger les risques liés à la sécurité, à la confidentialité, à la conformité, à la chaîne d'approvisionnement et aux achats des tiers à chaque étape du cycle de vie des fournisseurs, de l'intégration à l'exclusion. La solution permet d'effectuer et de gérer des évaluations de risques ponctuelles à l' aide de plus de 750 modèles différents, d'analyser les résultats et de surveiller en permanence les tiers cyber, les risques commerciaux, financiers et de réputation, afin d'obtenir une vue d'ensemble des tiers. Des modèles de rapports intégrés permettent aux équipes de sécurité et de gestion des risques de communiquer les résultats de l'évaluation des risques aux dirigeants et aux autres décideurs et parties prenantes. |
CC3.4 : L'entité identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne. |
|
Évaluation des changements dans les relations avec les fournisseurs et les partenaires commerciaux - Le processus d'identification des risques tient compte des changements dans les relations avec les fournisseurs et les partenaires commerciaux. |
La plateforme Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès au système, de la destruction des données, de la gestion de l'accès, de la conformité à toutes les lois pertinentes, des paiements finaux, et plus encore pendant l'externalisation, afin de garantir que les responsabilités évoluent au fur et à mesure que les accords changent. En outre, Prevalent propose Contract Essentials, une solution qui centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Elle inclut des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. |
CC9.2 : L'entité évalue et gère les risques associés aux fournisseurs et aux partenaires commerciaux. |
|
Établir des exigences pour les missions des fournisseurs et des partenaires commerciaux - L'entité établit des exigences spécifiques pour les missions des fournisseurs et des partenaires commerciaux qui comprennent (1) la portée des services et les spécifications des produits, (2) les rôles et les responsabilités, (3) les exigences de conformité et (4) les niveaux de service. |
Prevalent Contract Essentials aide les équipes chargées de la gestion des fournisseurs, des achats et des affaires juridiques à simplifier le processus d'établissement et de négociation des conditions contractuelles et des accords de niveau de service, à gérer les versions révisées et à obtenir des approbations par le biais du flux de travail. La solution est entièrement intégrée à la plateforme TPRM complète, ce qui permet aux entreprises de gérer les contrats des fournisseurs avec la même rigueur que celle dont elles font preuve pour gérer les risques liés aux fournisseurs. |
Évaluer les risques liés aux fournisseurs et aux partenaires commerciaux - L'entité évalue périodiquement les risques que les fournisseurs et les partenaires commerciaux (ainsi que les fournisseurs et les partenaires commerciaux de ces entités) représentent pour la réalisation des objectifs de l'entité. |
La plateforme Prevalent permet aux organisations d'automatiser les tâches essentielles requises pour évaluer, gérer, surveiller en permanence et corriger les risques liés à la sécurité, à la confidentialité, à la conformité, à la chaîne d'approvisionnement et aux achats des tiers à chaque étape du cycle de vie des fournisseurs, de l'intégration à l'exclusion. |
Attribue la responsabilité et l'obligation de rendre compte de la gestion des fournisseurs et des partenaires commerciaux - L'entité attribue la responsabilité et l'obligation de rendre compte de la gestion des risques associés aux fournisseurs et aux partenaires commerciaux. |
Avec la plateforme Prevalent , les équipes de gestion de la sécurité et des risques peuvent assigner manuellement des tâches liées à la gestion des risques d'évaluation, ou s'appuyer sur une bibliothèque pré-packagée d'ActiveRules pour automatiser une série de tâches normalement exécutées dans le cadre des processus d'évaluation et de révision - comme la mise à jour des profils des fournisseurs et des attributs de risque, l'envoi de notifications ou l'activation du flux de travail - en utilisant la logique "si ça, alors ça". |
Évaluer la performance des fournisseurs et des partenaires commerciaux - L'entité évalue périodiquement la performance des fournisseurs et des partenaires commerciaux. |
La plateforme Prevalent permet aux équipes de gestion des fournisseurs d'établir des exigences à suivre et de centraliser les rapports sur les accords de niveau de service et les performances par rapport à ces exigences grâce à un tableau de bord unique de rapports et d'analyses. |
Mise en œuvre de procédures pour traiter les problèmes identifiés lors des évaluations des fournisseurs et des partenaires commerciaux - L'entité met en œuvre des procédures pour traiter les problèmes identifiés dans les relations avec les fournisseurs et les partenaires commerciaux. |
La plateforme Prevalent propose des rapports qui révèlent les tendances en matière de risques, le statut et les exceptions au comportement habituel pour les fournisseurs individuels ou les groupes, avec des informations d'apprentissage automatique intégrées. Grâce à cette capacité, les équipes peuvent rapidement identifier les aberrations dans les évaluations, les tâches, les risques, etc. qui pourraient justifier une enquête plus approfondie. |
Mise en œuvre de procédures pour mettre fin aux relations avec les fournisseurs et les partenaires commerciaux - L'entité met en œuvre des procédures pour mettre fin aux relations avec les fournisseurs et les partenaires commerciaux. |
La plateforme Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès au système, de la destruction des données, de la gestion de l'accès, de la conformité à toutes les lois pertinentes, des paiements finaux, etc. lors de l'exclusion. |
Évaluation du respect des engagements de confidentialité des fournisseurs et des partenaires commerciaux - L'entité évalue périodiquement et selon les besoins le respect par les fournisseurs et les partenaires commerciaux des engagements et des exigences de confidentialité de l'entité. Évaluation du respect des engagements des fournisseurs et des partenaires commerciaux en matière de protection de la vie privée - Périodiquement et en fonction des besoins, l'entité évalue le respect par les fournisseurs et les partenaires commerciaux des engagements et des exigences de l'entité en matière de protection de la vie privée et prend des mesures correctives si nécessaire. Évaluation du respect des engagements des fournisseurs et des partenaires commerciaux en matière de protection de la vie privée - Périodiquement et en fonction des besoins, l'entité évalue le respect par les fournisseurs et les partenaires commerciaux des engagements et des exigences de l'entité en matière de protection de la vie privée et prend des mesures correctives si nécessaire. |
La plateforme Prevalent permet aux équipes chargées de la gestion des risques et de la conformité de mettre automatiquement en correspondance les informations recueillies lors des évaluations des fournisseurs basées sur les contrôles avec les cadres réglementaires, notamment ISO 27001, NIST, CMMC, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS, et bien d'autres, afin de visualiser et de répondre rapidement aux exigences de conformité importantes. |
P6.4 : L'entité obtient des engagements en matière de protection de la vie privée de la part des fournisseurs et des autres tiers qui ont accès aux informations personnelles afin d'atteindre les objectifs de l'entité en matière de protection de la vie privée. L'entité évalue la conformité de ces parties de façon périodique et selon les besoins et prend des mesures correctives, si nécessaire. |
|
Ne divulgue les informations personnelles qu'à des tiers appropriés - Les informations personnelles ne sont divulguées qu'à des tiers qui ont conclu des accords avec l'entité pour protéger les informations personnelles d'une manière compatible avec les aspects pertinents de l'avis de confidentialité de l'entité ou d'autres instructions ou exigences spécifiques. L'entité a mis en place des procédures pour évaluer que les tiers disposent de contrôles efficaces pour respecter les termes de l'accord, des instructions ou des exigences. |
Prevalent comprend des évaluations intégrées pour les réglementations de protection des données telles que GDPR, CCPA HIPAA et NYDFS. Les résultats de ces évaluations sont mis en correspondance dans un registre central des risques où les équipes de sécurité et de gestion des risques peuvent visualiser et prendre des mesures sur les risques potentiels pour les données et comparer les actions d'un fournisseur à ses obligations contractuelles. |
Remédier à l'utilisation abusive d'informations personnelles par un tiers - L'entité prend des mesures correctives en réponse à l'utilisation abusive d'informations personnelles par un tiers à qui l'entité a transféré ces informations. |
La plateforme Prevalent comprend des conseils et des recommandations de remédiation intégrés. Les équipes de gestion de la sécurité et des risques peuvent communiquer efficacement avec les fournisseurs et coordonner les efforts de remédiation par le biais de la plate-forme, capturer et auditer les conversations, et enregistrer les dates d'achèvement estimées. |
P6.5 : L'entité obtient des fournisseurs et autres tiers ayant accès à des informations personnelles qu'ils s'engagent à l'informer en cas de divulgation non autorisée réelle ou présumée d'informations personnelles. Ces notifications sont communiquées au personnel approprié et font l'objet d'une action conformément aux procédures de réponse aux incidents établies pour atteindre les objectifs de l'entité en matière de protection de la vie privée. |
|
Remédier à l'utilisation abusive d'informations personnelles par un tiers - L'entité prend des mesures correctives en réponse à l'utilisation abusive d'informations personnelles par un tiers à qui l'entité a transféré ces informations. Signalement des divulgations non autorisées réelles ou présumées - Il existe un processus permettant d'obtenir l'engagement des fournisseurs et autres tiers de signaler à l'entité les divulgations non autorisées réelles ou présumées d'informations personnelles. |
Leservice de réponse aux incidents de tiers Prevalent permet aux équipes de sécurité et de gestion des risques d'identifier et d'atténuer rapidement l'impact des incidents liés à la confidentialité des données en gérant de manière centralisée les fournisseurs, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation. |
Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.
Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.
Suivez et corrigez facilement les risques détectés dans les rapports SOC 2 des fournisseurs sans alourdir votre équipe.
Comment auditer et rendre compte en fonction de la norme SOC 2 et des principes de service de confiance avec le risque de tiers....
Si vous envisagez d'utiliser SOC 2 dans votre programme de gestion des risques des tiers (TPRM), cette...