Cloud security
Cloud security een must voor onze toepassingen
Wat heeft u nodig om zeker te weten dat uw data veilig is in de cloud met Financial Suite® en Office 365?
Omdat u er zeker van wil zijn dat de data die u in de "Cloud" plaatst, zijn voorzien van procedurele maatregelen die uw accountant er van overtuigen dat derden geen toegang tot uw data hebben, wilt u weten welke gecontroleerde-controleerbare maatregelen uw cloud leverancier heeft genomen!
De ISAE3402 (SAS 70 II) verklaring van de externe accountant afgegeven aan Microsoft in combinatie met ISO 27001 zouden voor hem voldoende proces borging moeten zijn. Mocht dat voor hem onvoldoende zijn dat staat het hem of u vrij zelf contact hierover met Microsoft op te nemen. De ISO standaard 27017 voor cloud computing is in ontwikkeling en ook de andere standaarden zullen in 2012 nog verder worden aangepast aan de nieuwste ontwikkelingen.
Als u zeker wilt zijn dat uw processen de toets van de accountant kunnen doorstaan, is een SAS70 rapport het werkstuk waarop het vertrouwen van de accountant gebaseerd kan zijn.
De SAS 70 verklaring is vervangen door de ISAE 3402 / SSAE 16 standaard
SAS 70 - ISAE 3402 -SSAE 16
SAS staat voor Statement on Auditing Standards, ISAE voor International Standards for Assurance Engagements, SSAE voor Statement on Standards for Attestation Engagements (SSAE), en is een kwaliteitskeurmerk voor dienstverlenende organisaties. Deze standards verschaffen een waarborg voor de juistheid, volledigheid, tijdigheid en betrouwbaarheid van processen en controlemaatregelen. SAS 70 is ontwikkeld door de Amerikaanse beroepsorganisatie van accountants. Voor de inhoud van de diverse controls verwijs ik naar de pdf documenten aan de rechterbovenzijde van deze pagina
SAS 70 - ISAE 3402 en SSAE zijn internationaal erkende standaarden.
In het SAS 70 rapport zijn de interne beheersmaatregelen van een dienstverlenende organisatie beschreven. Ook de methode van auditing wordt vastgelegd om de maatregelen te beoordelen en de feitelijke werking vast te stellen. De audit dient door een externe accountant te worden uitgevoerd. Een SAS 70 rapportage is ten opzichte van een ISO-certificering veel transparanter omdat het een uitgebreide rapportage omvat met daarin de bevindingen van de externe accountant.
De inhoud van SAS 70/ISAE verklaring op externe dienstverlening
Een SAS 70 verklaring wordt gevraagd door de klant van een serviceorganisatie ter beoordeling van de kwaliteit van de uitbestede processen en effectiviteit van de controlemaatregelen. Hierdoor kunnen zij erop vertrouwen dat de serviceorganisatie de uitbestede activiteit goed beheerst en controleert. Een SAS 70 verklaring gaat daarom veel verder dan een Service Level Agreement. De serviceorganisatie verklaart niet alleen haar opleveringen juist, tijdig en volledig te doen, maar geeft ook inzicht in de wijze waarop zij haar processen inricht, beheerst en controleert.
Er zijn twee typen ISAE 3402 verklaringen, type I en II
De type I verklaring beschrijft de interne controles van de dienstverlenende organisatie. Een externe accountant toetst of de controles daadwerkelijk bestaan en worden nageleefd om de kwaliteit van de dienstverlening te waarborgen.
De type II verklaring geeft het oordeel over de inzet gedurende langere tijd en de effectiviteit van de interne controlemaatregelen. Gedurende een periode van minimaal zes maanden wordt gecontroleerd of de processen en controles conform de voorschriften worden uitgevoerd. Daarbij wordt gekeken naar zowel de administratieve organisatie, als de ondersteunende geautomatiseerde systemen.
Financial Suite® en Office 365
Microsoft heeft voor Office 365 een SAS 70/ISAE 3602 type II verklaring. Onze cloud producten worden gedistribueerd op dit platform. Indien u Office 365 bij Microsoft betrekt, heeft u een juridische relatie met hen en zijn alle data security en privacy statements van Microsoft van toepassing op die overeenkomst. Voor onze software is een licentieovereenkomst van toepassing, die het gebruik en onderhoud van de onze software regelt, wij beheren geen data.
Make the cloud a secure place!