AICPA SOC 2 y gestión de riesgos de terceros
El Comité Ejecutivo de Servicios de Aseguramiento (ASEC) del Instituto Americano de Contadores Públicos Certificados (AICPA) ha desarrolladocriterios de servicios de confianzapara que las organizaciones los utilicen como marco para demostrar la confidencialidad, integridad y disponibilidad de los sistemas y datos.
Las organizaciones familiarizadas con las auditoríasSOC (System and Organization Control) 2reconocerán que estos criterios de servicios de confianza se utilizan para informar sobre la eficacia de sus controles internos y medidas de seguridad en materia de infraestructura, software, personal, procedimientos y datos:
- Seguridad:Protección de la información y los sistemas contra el acceso no autorizado, la divulgación no autorizada de información y los daños a los sistemas que podrían comprometer la disponibilidad, integridad, confidencialidad y privacidad de la información o los sistemas y afectar a la capacidad de la entidad para cumplir sus objetivos.
- Disponibilidad:Garantizar la disponibilidad de la información y los sistemas para su funcionamiento y uso con el fin de cumplir los objetivos de la entidad.
- Integridad del procesamiento:Garantizar que el procesamiento del sistema sea completo, válido, preciso, oportuno y autorizado para cumplir los objetivos de la entidad.
- Confidencialidad:Proteger la información designada como confidencial para cumplir con los objetivos de la entidad.
- Privacidad:Garantizar que la información personal recopilada, utilizada, conservada, divulgada y eliminada cumpla con los objetivos de la entidad.
Cumplimiento de los requisitos SOC 2 TPRM
A continuación, le mostramos cómo Prevalent puede ayudarle a cumplir los requisitos de gestión de riesgos de terceros SOC 2, tal y como se establecen en los criterios de servicios de confianza de la AICPA:
Criterios de los servicios de confianza
Cómo ayudamos
CC2.3: La entidad se comunica con terceros externos en relación con asuntos que afectan al funcionamiento del control interno.
Comunica los objetivos relacionados con la confidencialidad y los cambios en los objetivos: la entidad comunica a los usuarios externos, proveedores, socios comerciales y otras personas cuyos productos y servicios forman parte del sistema, los objetivos y los cambios en los objetivos relacionados con la confidencialidad.
Comunica los objetivos relacionados con la privacidad y los cambios en los objetivos: la entidad comunica a los usuarios externos, proveedores, socios comerciales y otras personas cuyos productos y servicios forman parte del sistema, los objetivos relacionados con la privacidad y los cambios en dichos objetivos.
La plataformaPrevalentThird-Party Risk Management (TPRM)gestiona de forma centralizada el diálogo sobre riesgos, informes y soluciones entre las organizaciones y sus proveedores, distribuidores y socios externos.
Además, la Plataforma permite almacenar informes, documentos normativos, contratos y pruebas justificativas para su diálogo, certificación y puesta en común.
En conjunto, estas capacidades garantizan que las organizaciones dispongan de un único repositorio para visualizar y gestionar los riesgos, la documentación de los proveedores y las medidas correctivas.
CC3.2: La entidad identifica los riesgos que pueden afectar al logro de sus objetivos en toda la entidad y los analiza como base para determinar cómo deben gestionarse dichos riesgos.
Analiza las amenazas y vulnerabilidades de proveedores, socios comerciales y otras partes: el proceso de evaluación de riesgos de la entidad incluye el análisis de las posibles amenazas y vulnerabilidades derivadas de los proveedores que suministran bienes y servicios, así como las amenazas y vulnerabilidades derivadas de los socios comerciales, clientes y otras personas con acceso a los sistemas de información de la entidad.
La plataforma Prevalent TPRM permite a las organizaciones automatizar las tareas críticas necesarias para evaluar, gestionar, supervisar continuamente y remediar los riesgos relacionados con la seguridad, la privacidad, el cumplimiento normativo, la cadena de suministro y las adquisiciones de terceros en todas las etapas del ciclo de vida de los proveedores, desde su incorporación hasta su salida.
La solución incluye la capacidad deemitir y gestionar evaluaciones de riesgo puntualesutilizando más de 750 plantillas diferentes, analizar los resultados ysupervisar continuamente los riesgos cibernéticos, comerciales, reputacionales y financieros de tercerospara obtener una visión holística de los mismos.
Las plantillas de informes integradas garantizan que los equipos de seguridad y gestión de riesgos puedan comunicar los resultados de la evaluación de riesgos a los ejecutivos y otros responsables de la toma de decisiones y partes interesadas.
CC3.4: La entidad identifica y evalúa los cambios que podrían afectar significativamente al sistema de control interno.
Evalúa los cambios en las relaciones con proveedores y socios comerciales: el proceso de identificación de riesgos tiene en cuenta los cambios en las relaciones con proveedores y socios comerciales.
La plataforma Prevalent utiliza encuestas y flujos de trabajo personalizables para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales y mucho más durante la salida de la empresa, con el fin de garantizar que, a medida que cambian los acuerdos, también lo hagan las responsabilidades.
Además, Prevalent ofreceContract Essentials, una solución que centraliza la distribución, discusión, retención y revisión de los contratos con los proveedores. Incluye funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la salida.
CC9.2: La entidad evalúa y gestiona los riesgos asociados con los proveedores y socios comerciales.
Establece los requisitos para la contratación de proveedores y socios comerciales: la entidad establece requisitos específicos para la contratación de proveedores y socios comerciales, que incluyen (1) el alcance de los servicios y las especificaciones de los productos, (2) las funciones y responsabilidades, (3) los requisitos de cumplimiento y (4) los niveles de servicio.
Prevalent Contract Essentials ayuda a los equipos de gestión de proveedores, compras y asuntos legales a simplificar el proceso de establecimiento y negociación de los términos contractuales y los acuerdos de nivel de servicio (SLA), la gestión de las modificaciones y la obtención de aprobaciones a través del flujo de trabajo. La solución está totalmente integrada con la plataforma TPRM completa, lo que garantiza que las organizaciones puedan gestionar los contratos con los proveedores con la misma disciplina con la que gestionan los riesgos de los proveedores.
Evalúa los riesgos de los proveedores y socios comerciales: la entidad evalúa periódicamente los riesgos que los proveedores y socios comerciales (y los proveedores y socios comerciales de esas entidades) representan para el logro de los objetivos de la entidad.
La plataforma Prevalent permite a las organizaciones automatizar las tareas críticas necesarias para evaluar, gestionar, supervisar continuamente y remediar los riesgos relacionados con la seguridad, la privacidad, el cumplimiento normativo, la cadena de suministro y las adquisiciones de terceros en todas las etapas del ciclo de vida de los proveedores, desdesu incorporaciónhastasu salida.
Asigna la responsabilidad y la rendición de cuentas por la gestión de proveedores y socios comerciales: la entidad asigna la responsabilidad y la rendición de cuentas por la gestión de los riesgos asociados con los proveedores y socios comerciales.
Con la plataforma Prevalent, los equipos de seguridad y gestión de riesgos pueden asignar manualmente tareas relacionadas con la gestión de riesgos de evaluación, o aprovechar una biblioteca preconfigurada de ActiveRules para automatizar una serie de tareas que normalmente se realizan como parte de los procesos de evaluación y revisión, como actualizar los perfiles de los proveedores y los atributos de riesgo, enviar notificaciones o activar el flujo de trabajo, utilizando la lógica «si esto, entonces aquello».
Evalúa el rendimiento de los proveedores y socios comerciales: la entidad evalúa periódicamente el rendimiento de los proveedores y socios comerciales.
La plataforma Prevalent permite a los equipos de gestión de proveedores establecer requisitos para realizar un seguimiento y centralizarlos informes de SLA y rendimientoen función de dichos requisitos a través de un único panel de informes y análisis.
Implementa procedimientos para abordar los problemas identificados durante las evaluaciones de proveedores y socios comerciales: la entidad implementa procedimientos para abordar los problemas identificados en las relaciones con proveedores y socios comerciales.
La plataforma Prevalent ofrece informes que revelan tendencias de riesgo, estado y excepciones al comportamiento habitual de proveedores individuales o grupos, con información integrada basada en el aprendizaje automático. Gracias a esta capacidad, los equipos pueden identificar rápidamente valores atípicos en evaluaciones, tareas, riesgos, etc., que podrían justificar una investigación más profunda.
Implementa procedimientos para rescindir las relaciones con proveedores y socios comerciales: la entidad implementa procedimientos para rescindir las relaciones con proveedores y socios comerciales.
La plataforma Prevalent utiliza encuestas y flujos de trabajo personalizables para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales y mucho más durante el proceso de salida de la empresa.
Evalúa el cumplimiento de los compromisos de confidencialidad de los proveedores y socios comerciales: de forma periódica y según sea necesario, la entidad evalúa el cumplimiento por parte de los proveedores y socios comerciales de los compromisos y requisitos de confidencialidad de la entidad.
Evalúa el cumplimiento de los compromisos de privacidad de los proveedores y socios comerciales: de forma periódica y según sea necesario, la entidad evalúa el cumplimiento por parte de los proveedores y socios comerciales de los compromisos y requisitos de privacidad de la entidad y toma las medidas correctivas necesarias.
Evalúa el cumplimiento de los compromisos de privacidad de los proveedores y socios comerciales: de forma periódica y según sea necesario, la entidad evalúa el cumplimiento por parte de los proveedores y socios comerciales de los compromisos y requisitos de privacidad de la entidad y toma las medidas correctivas necesarias.
La plataforma Prevalent permite a los equipos de gestión de riesgos y cumplimiento normativo asignar automáticamente la información recopilada a partir de evaluaciones de proveedores basadas en controles a marcos normativos comoISO 27001,NIST,CMMC,GDPR, CoBiT 5, SSAE 18,SIG, SIG Lite, SOX,NYDFS y otros, con el fin de visualizar y abordar rápidamentelos requisitos de cumplimiento normativo importantes.
P6.4: La entidad obtiene compromisos de privacidad de los proveedores y otros terceros que tienen acceso a información personal para cumplir con los objetivos de la entidad relacionados con la privacidad. La entidad evalúa el cumplimiento de dichas partes de forma periódica y según sea necesario, y toma medidas correctivas, si es necesario.
Solo divulga información personal a terceros adecuados: la información personal solo se divulga a terceros que hayan firmado acuerdos con la entidad para proteger la información personal de manera coherente con los aspectos pertinentes del aviso de privacidad de la entidad u otras instrucciones o requisitos específicos. La entidad cuenta con procedimientos para evaluar que los terceros dispongan de controles eficaces para cumplir los términos del acuerdo, las instrucciones o los requisitos.
Prevalent incluye evaluaciones integradas para normativas de protección de datos comoel RGPD,la CCPA,la HIPAAyla NYDFS. Los resultados de estas evaluaciones se registran en un registro central de riesgos donde los equipos de seguridad y gestión de riesgos pueden visualizar y tomar medidas sobre los riesgos potenciales para los datos y comparar las acciones de un proveedor con sus obligaciones contractuales.
Remedia el uso indebido de información personal por parte de terceros: la entidad toma medidas correctivas en respuesta al uso indebido de información personal por parte de terceros a quienes la entidad ha transferido dicha información.
La plataforma Prevalent incluye orientación y recomendaciones integradas para la corrección de problemas. Los equipos de seguridad y gestión de riesgos pueden comunicarse de manera eficiente con los proveedores y coordinar las tareas de corrección a través de la plataforma, capturar y auditar conversaciones, y registrar las fechas estimadas de finalización.
P6.5: La entidad obtiene compromisos de los proveedores y otros terceros con acceso a información personal para que le notifiquen en caso de divulgación real o sospechada de información personal sin autorización. Dichas notificaciones se comunican al personal adecuado y se actúa de acuerdo con los procedimientos establecidos de respuesta a incidentes para cumplir los objetivos de la entidad en materia de privacidad.
Remedia el uso indebido de información personal por parte de terceros: la entidad toma medidas correctivas en respuesta al uso indebido de información personal por parte de terceros a quienes la entidad ha transferido dicha información.
Informes sobre divulgaciones no autorizadas reales o sospechadas: existe un proceso para obtener compromisos de los proveedores y otros terceros para que informen a la entidad sobre divulgaciones no autorizadas reales o sospechadas de información personal.
El servicio de respuesta ante incidentes de tercerospermite a los equipos de seguridad y gestión de riesgos identificar y mitigar rápidamente el impacto de los incidentes relacionados con la privacidad de los datos mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a directrices de corrección.
