AICPA SOC 2 y gestión de riesgos de terceros
El Comité Ejecutivo de Servicios de Garantía (ASEC) del Instituto Americano de Contables Públicos Certificados (AICPA) ha desarrollado criterios de servicios de confianza para que las organizaciones los utilicen como marco para demostrar la confidencialidad, integridad y disponibilidad de sistemas y datos.
Las organizaciones familiarizadas con las auditorías de Control de Sistemas y Organización (SOC) 2 reconocerán que estos criterios de servicios de confianza se utilizan para informar sobre la eficacia de sus controles internos y salvaguardias sobre infraestructura, software, personas, procedimientos y datos:
- Seguridad: Protección de la información y los sistemas contra el acceso no autorizado, la divulgación no autorizada de información y los daños a los sistemas que puedan comprometer la disponibilidad, integridad, confidencialidad y privacidad de la información o los sistemas y afectar a la capacidad de la entidad para cumplir sus objetivos.
- Disponibilidad: Garantizar la disponibilidad de la información y los sistemas para su funcionamiento y uso con el fin de cumplir los objetivos de la entidad.
- Integridad del procesamiento: Garantizar que el procesamiento del sistema es completo, válido, preciso, oportuno y autorizado para cumplir los objetivos de la entidad.
- Confidencialidad: Proteger la información designada como confidencial para cumplir los objetivos de la entidad.
- Privacidad: Garantizar que la información personal recopilada, utilizada, conservada, divulgada y eliminada cumple los objetivos de la entidad.
Cumplimiento de los requisitos SOC 2 TPRM
A continuación le explicamos cómo Prevalent puede ayudarle a cumplir los requisitos de gestión de riesgos de terceros SOC 2, tal y como se comunican en los criterios de servicios fiduciarios de la AICPA:
Criterios de los servicios fiduciarios
Cómo ayudamos
CC2.3: La entidad se comunica con las partes externas en relación con cuestiones que afectan al funcionamiento del control interno.
Comunica los objetivos relacionados con la confidencialidad y los cambios en los objetivos - La entidad comunica, a los usuarios externos, proveedores, socios comerciales y otras personas cuyos productos y servicios forman parte del sistema, los objetivos y los cambios en los objetivos relacionados con la confidencialidad.
Comunica los objetivos relacionados con la privacidad y los cambios en los objetivos - La entidad comunica, a los usuarios externos, proveedores, socios comerciales y otros cuyos productos y servicios forman parte del sistema, los objetivos relacionados con la privacidad y los cambios en dichos objetivos.
La plataforma de gestión de riesgos de terceros (TPRM) de Prevalent gestiona de forma centralizada el diálogo sobre riesgos, la elaboración de informes y las medidas correctoras entre las organizaciones y sus vendedores, proveedores y socios externos.
Además, la plataforma permite almacenar informes, documentos normativos, contratos y justificantes para dialogar, atestiguar y compartir.
Juntas, estas funciones garantizan que las organizaciones dispongan de un único repositorio para visualizar y gestionar los riesgos, la documentación de los proveedores y las medidas correctoras.
CC3.2: La entidad identifica los riesgos para la consecución de sus objetivos en toda la entidad y analiza los riesgos como base para determinar cómo deben gestionarse.
Analiza las amenazas y vulnerabilidades de los proveedores, socios comerciales y otras partes - El proceso de evaluación de riesgos de la entidad incluye el análisis de las amenazas y vulnerabilidades potenciales derivadas de los proveedores que suministran bienes y servicios, así como las amenazas y vulnerabilidades derivadas de los socios comerciales, clientes y otras personas con acceso a los sistemas de información de la entidad.
La plataforma TPRM de Prevalent permite a las organizaciones automatizar las tareas críticas necesarias para evaluar, gestionar, supervisar de forma continua y corregir los riesgos relacionados con la seguridad, la privacidad, el cumplimiento, la cadena de suministro y las adquisiciones de terceros en todas las fases del ciclo de vida de los proveedores, desde la incorporación hasta la baja.
La solución incluye la capacidad de emitir y gestionar evaluaciones de riesgos puntuales utilizando más de 750 plantillas diferentes, analizar los resultados, así como supervisar continuamente los riesgos cibernéticos, empresariales, de reputación y financieros de terceros para obtener una visión holística de terceros.
Las plantillas de informes integradas garantizan que los equipos de seguridad y gestión de riesgos puedan comunicar los resultados de la evaluación de riesgos a los ejecutivos y otros responsables de la toma de decisiones y partes interesadas.
CC3.4: La entidad identifica y evalúa los cambios que podrían afectar significativamente al sistema de control interno.
Evalúa los cambios en las relaciones con proveedores y socios comerciales - El proceso de identificación de riesgos tiene en cuenta los cambios en las relaciones con proveedores y socios comerciales.
La plataforma Prevalent aprovecha las encuestas personalizables y los flujos de trabajo para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales y mucho más durante la desvinculación para garantizar que, a medida que cambian los acuerdos, también lo hacen las responsabilidades.
Además, Prevalent ofrece Contract Essentials, una solución que centraliza la distribución, discusión, retención y revisión de los contratos con proveedores. Incluye funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la baja.
CC9.2: La entidad evalúa y gestiona los riesgos asociados a proveedores y socios comerciales.
Establece requisitos para la contratación de proveedores y socios comerciales - La entidad establece requisitos específicos para la contratación de proveedores y socios comerciales que incluyen (1) el alcance de los servicios y las especificaciones de los productos, (2) las funciones y responsabilidades, (3) los requisitos de cumplimiento y (4) los niveles de servicio.
Prevalent Contract Essentials ayuda a los equipos de gestión de proveedores, adquisiciones y jurídicos a simplificar el proceso de establecimiento y negociación de las condiciones contractuales y los acuerdos de nivel de servicio, la gestión de las líneas rojas y la obtención de aprobaciones a través del flujo de trabajo. La solución está totalmente integrada con la plataforma completa TPRM, lo que garantiza que las organizaciones puedan gestionar los contratos de proveedores con la misma disciplina con la que gestionan los riesgos de proveedores.
Evalúa los riesgos de proveedores y socios comerciales - La entidad evalúa periódicamente los riesgos que representan los proveedores y socios comerciales (y los proveedores y socios comerciales de esas entidades) para la consecución de los objetivos de la entidad.
La plataforma Prevalent permite a las organizaciones automatizar las tareas críticas necesarias para evaluar, gestionar, supervisar de forma continua y remediar los riesgos relacionados con la seguridad, la privacidad, el cumplimiento, la cadena de suministro y las adquisiciones de terceros en cada etapa del ciclo de vida del proveedor, desde la incorporación hasta la baja.
Asigna responsabilidad y rendición de cuentas para la gestión de proveedores y socios comerciales - La entidad asigna responsabilidad y rendición de cuentas para la gestión de riesgos asociados con proveedores y socios comerciales.
Con la plataforma Prevalent, los equipos de seguridad y gestión de riesgos pueden asignar manualmente tareas relacionadas con la gestión de los riesgos de las evaluaciones, o aprovechar una biblioteca preempaquetada de ActiveRules para automatizar una serie de tareas que normalmente se realizan como parte de los procesos de evaluación y revisión -como la actualización de los perfiles de proveedores y los atributos de riesgo, el envío de notificaciones o la activación del flujo de trabajo- utilizando la lógica "si esto, entonces aquello".
Evalúa el rendimiento de proveedores y socios comerciales - La entidad evalúa periódicamente el rendimiento de proveedores y socios comerciales.
La plataforma Prevalent permite a los equipos de gestión de proveedores establecer requisitos de seguimiento y centralizar los informes de SLA y rendimiento en función de dichos requisitos a través de un único panel de informes y análisis.
Implementa procedimientos para abordar los problemas identificados durante las evaluaciones de proveedores y socios comerciales - La entidad implementa procedimientos para abordar los problemas identificados en las relaciones con proveedores y socios comerciales.
La plataforma Prevalent presenta informes que revelan las tendencias de riesgo, el estado y las excepciones al comportamiento común para proveedores individuales o grupos con conocimientos de aprendizaje automático integrados. Con esta capacidad, los equipos pueden identificar rápidamente valores atípicos en evaluaciones, tareas, riesgos, etc. que podrían justificar una investigación más profunda.
Implementa procedimientos para terminar las relaciones con proveedores y socios comerciales - La entidad implementa procedimientos para terminar las relaciones con proveedores y socios comerciales.
La plataforma Prevalent aprovecha las encuestas y los flujos de trabajo personalizables para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales y mucho más durante la desvinculación.
Evalúa el cumplimiento de los compromisos de confidencialidad de proveedores y socios comerciales - De forma periódica y en función de las necesidades, la entidad evalúa el cumplimiento por parte de proveedores y socios comerciales de los compromisos y requisitos de confidencialidad de la entidad.
Evalúa el cumplimiento de los compromisos de privacidad de los proveedores y socios comerciales - De forma periódica y en función de las necesidades, la entidad evalúa el cumplimiento por parte de los proveedores y socios comerciales de los compromisos y requisitos de privacidad de la entidad y adopta las medidas correctivas necesarias.
Evalúa el cumplimiento de los compromisos de privacidad de los proveedores y socios comerciales - De forma periódica y en función de las necesidades, la entidad evalúa el cumplimiento por parte de los proveedores y socios comerciales de los compromisos y requisitos de privacidad de la entidad y adopta las medidas correctivas necesarias.
La plataforma Prevalent permite a los equipos de gestión de riesgos y cumplimiento asignar automáticamente la información recopilada de las evaluaciones de proveedores basadas en controles a marcos normativos como ISO 27001, NIST, CMMC, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS, etc., para visualizar y abordar rápidamente los requisitos de cumplimiento importantes.
P6.4: La entidad obtiene compromisos de privacidad de los proveedores y otros terceros que tienen acceso a la información personal para cumplir con los objetivos de la entidad relacionados con la privacidad. La entidad evalúa el cumplimiento de esas partes de forma periódica y en función de las necesidades y adopta medidas correctivas, si es necesario.
Divulga información personal sólo a terceros apropiados - La información personal se divulga sólo a terceros que tienen acuerdos con la entidad para proteger la información personal de manera coherente con los aspectos relevantes del aviso de privacidad de la entidad u otras instrucciones o requisitos específicos. La entidad cuenta con procedimientos para evaluar que los terceros disponen de controles eficaces para cumplir los términos del acuerdo, las instrucciones o los requisitos.
Prevalent incluye evaluaciones integradas para normativas de protección de datos como GDPR, CCPA, HIPAA y NYDFS. Los resultados de estas evaluaciones se asignan a un registro central de riesgos en el que los equipos de seguridad y gestión de riesgos pueden visualizar los posibles riesgos para los datos y tomar medidas al respecto, así como comparar las acciones de un proveedor con sus obligaciones contractuales.
Corrige el uso indebido de información personal por parte de un tercero - La entidad toma medidas correctivas en respuesta al uso indebido de información personal por parte de un tercero al que la entidad ha transferido dicha información.
La plataforma Prevalent incluye orientación y recomendaciones de corrección integradas. Los equipos de seguridad y gestión de riesgos pueden comunicarse eficazmente con los proveedores y coordinar los esfuerzos de corrección a través de la plataforma, capturar y auditar las conversaciones y registrar las fechas estimadas de finalización.
P6.5: La entidad obtiene el compromiso de los proveedores y otros terceros con acceso a información personal de notificar a la entidad en caso de divulgación no autorizada, real o sospechada, de información personal. Dichas notificaciones se comunican al personal adecuado y se actúa en consecuencia de acuerdo con los procedimientos establecidos de respuesta a incidentes para cumplir los objetivos de la entidad relacionados con la privacidad.
Corrige el uso indebido de información personal por parte de un tercero - La entidad toma medidas correctivas en respuesta al uso indebido de información personal por parte de un tercero al que la entidad ha transferido dicha información.
Informa de divulgaciones no autor izadas reales o presuntas - Existe un proceso para obtener el compromiso de los proveedores y otros terceros de informar a la entidad de divulgaciones no autorizadas reales o presuntas de información personal.
El servicio Prevalent Third-Party Incident Response permite a los equipos de seguridad y gestión de riesgos identificar y mitigar rápidamente el impacto de los incidentes relacionados con la privacidad de los datos mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a orientaciones para la corrección.
