AICPA SOC 2 et gestion des risques liés aux tiers
Le comité exécutif des services d'assurance (ASEC) de l'American Institute of Certified Public Accountants (AICPA) a élaborédes critères de services de confianceque les organisations peuvent utiliser comme cadre pour démontrer la confidentialité, l'intégrité et la disponibilité des systèmes et des données.
Les organisations familiarisées avec les auditsSOC (System and Organization Control) 2reconnaîtront que ces critères de services de confiance sont utilisés pour rendre compte de l'efficacité de leurs contrôles internes et de leurs mesures de protection des infrastructures, des logiciels, des personnes, des procédures et des données :
- Sécurité :Protection des informations et des systèmes contre tout accès non autorisé, toute divulgation non autorisée d'informations et tout dommage aux systèmes susceptible de compromettre la disponibilité, l'intégrité, la confidentialité et la protection des informations ou des systèmes et d'affecter la capacité de l'entité à atteindre ses objectifs.
- Disponibilité :garantir la disponibilité des informations et des systèmes nécessaires au fonctionnement et à l'utilisation afin d'atteindre les objectifs de l'entité.
- Intégrité du traitement :garantir que le traitement du système est complet, valide, précis, opportun et autorisé afin de répondre aux objectifs de l'entité.
- Confidentialité :protéger les informations désignées comme confidentielles afin d'atteindre les objectifs de l'entité.
- Confidentialité :veiller à ce que les renseignements personnels recueillis, utilisés, conservés, divulgués et éliminés répondent aux objectifs de l'entité.
Respect des exigences SOC 2 TPRM
Voici comment Prevalent peut vous aider à répondre aux exigences SOC 2 en matière de gestion des risques liés aux tiers, telles que communiquées dans les critères des services de confiance de l'AICPA :
Critères relatifs aux services de confiance
Comment nous aidons
CC2.3 : L'entité communique avec des parties externes au sujet des questions qui ont une incidence sur le fonctionnement du contrôle interne.
Communication des objectifs liés à la confidentialité et des modifications apportées à ces objectifs— L'entité communique aux utilisateurs externes, fournisseurs, partenaires commerciaux et autres dont les produits et services font partie du système, les objectifs et les modifications apportées à ces objectifs liés à la confidentialité.
Communication des objectifs liés à la confidentialité et des modifications apportées à ces objectifs— L'entité communique aux utilisateurs externes, fournisseurs, partenaires commerciaux et autres dont les produits et services font partie du système, les objectifs liés à la confidentialité et les modifications apportées à ces objectifs.
La plateformePrevalentThird-Party Risk Management (TPRM)gère de manière centralisée les échanges sur les risques, les rapports et les mesures correctives entre les organisations et leurs fournisseurs, prestataires et partenaires tiers.
En outre, la plateforme permet de stocker les rapports, les documents politiques, les contrats et les preuves à l'appui pour le dialogue, l'attestation et le partage.
Ensemble, ces capacités garantissent que les organisations disposent d'un référentiel unique pour visualiser et gérer les risques, la documentation des fournisseurs et les mesures correctives.
CC3.2 : L'entité identifie les risques qui pèsent sur la réalisation de ses objectifs à tous les niveaux et analyse ces risques afin de déterminer comment ils doivent être gérés.
Analyse les menaces et les vulnérabilités provenant des fournisseurs, des partenaires commerciaux et d'autres parties— Le processus d'évaluation des risques de l'entité comprend l'analyse des menaces et des vulnérabilités potentielles provenant des fournisseurs de biens et de services, ainsi que des menaces et des vulnérabilités provenant des partenaires commerciaux, des clients et d'autres parties ayant accès aux systèmes d'information de l'entité.
La plateforme TPRM de Prevalent permet aux entreprises d'automatiser les tâches critiques nécessaires à l'évaluation, la gestion, la surveillance continue et la correction des risques liés à la sécurité, à la confidentialité, à la conformité, à la chaîne d'approvisionnement et à l'approvisionnement des tiers à chaque étape du cycle de vie des fournisseurs - de l'inscription à l'offre jusqu'à la sortie.
La solution permet notammentd'émettre etdegérer des évaluations de risques ponctuellesà l'aide de plus de 750 modèles différents, d'analyser les résultats etde surveiller en permanence les risques cybernétiques, commerciaux, réputationnels et financiers liés aux tiersafin d'obtenir une vue d'ensemble de ces derniers.
Des modèles de rapports intégrés permettent aux équipes de sécurité et de gestion des risques de communiquer les résultats de l'évaluation des risques aux dirigeants et aux autres décideurs et parties prenantes.
CC3.4 : L'entité identifie et évalue les changements susceptibles d'avoir une incidence significative sur le système de contrôle interne.
Évalue les changements dans les relations avec les fournisseurs et les partenaires commerciaux— Le processus d'identification des risques tient compte des changements dans les relations avec les fournisseurs et les partenaires commerciaux.
La plateforme Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès aux systèmes, de la destruction des données, de la gestion des accès, du respect de toutes les lois pertinentes, des paiements finaux et d'autres aspects pendant la phase d'externalisation, afin de s'assurer que les responsabilités changent au fur et à mesure de l'évolution des accords.
De plus, Prevalent proposeContract Essentials, une solution qui centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. Elle comprend des fonctionnalités de workflow permettant d'automatiser le cycle de vie des contrats, de l'intégration à la résiliation.
CC9.2 : L'entité évalue et gère les risques liés aux fournisseurs et aux partenaires commerciaux.
Établit les exigences relatives aux engagements des fournisseurs et des partenaires commerciaux— L'entité établit des exigences spécifiques pour les engagements des fournisseurs et des partenaires commerciaux, qui comprennent (1) l'étendue des services et les spécifications des produits, (2) les rôles et responsabilités, (3) les exigences de conformité et (4) les niveaux de service.
Prevalent Contract Essentials aide les équipes chargées de la gestion des fournisseurs, des achats et des questions juridiques à simplifier le processus d'établissement et de négociation des conditions contractuelles et des accords de niveau de service (SLA), à gérer les modifications et à obtenir les approbations nécessaires grâce à un workflow. La solution est entièrement intégrée à la plateforme TPRM complète, ce qui permet aux organisations de gérer les contrats avec les fournisseurs avec la même rigueur que celle dont elles font preuve pour gérer les risques liés aux fournisseurs.
Évalue les risques liés aux fournisseurs et aux partenaires commerciaux— L'entité évalue périodiquement les risques que les fournisseurs et les partenaires commerciaux (ainsi que les fournisseurs et partenaires commerciaux de ces entités) représentent pour la réalisation des objectifs de l'entité.
La plateforme Prevalent permet aux organisations d'automatiser les tâches critiques nécessaires pour évaluer, gérer, surveiller en permanence et corriger les risques liés à la sécurité, à la confidentialité, à la conformité, à la chaîne d'approvisionnement et aux achats des tiers à chaque étape du cycle de vie des fournisseurs, deleur intégrationàleur départ.
Attribue la responsabilité et l'obligation de rendre compte pour la gestion des fournisseurs et des partenaires commerciaux— L'entité attribue la responsabilité et l'obligation de rendre compte pour la gestion des risques associés aux fournisseurs et aux partenaires commerciaux.
Avec la plateforme Prevalent, les équipes chargées de la sécurité et de la gestion des risques peuvent attribuer manuellement des tâches liées à la gestion des risques liés aux évaluations, ou exploiter une bibliothèque préconfigurée d'ActiveRules pour automatiser toute une série de tâches normalement effectuées dans le cadre des processus d'évaluation et d'examen, telles que la mise à jour des profils des fournisseurs et des attributs de risque, l'envoi de notifications ou l'activation du flux de travail, en utilisant la logique « si ceci, alors cela ».
Évalue les performances des fournisseurs et des partenaires commerciaux— L'entité évalue périodiquement les performances des fournisseurs et des partenaires commerciaux.
La plateforme Prevalent permet aux équipes chargées de la gestion des fournisseurs de définir des exigences afin de suivre et de centraliserles rapports sur les accords de niveau de service (SLA) et les performancespar rapport à ces exigences, via un tableau de bord unique dédié aux rapports et aux analyses.
Mise en œuvre de procédures pour traiter les problèmes identifiés lors des évaluations des fournisseurs et des partenaires commerciaux— L'entité met en œuvre des procédures pour traiter les problèmes identifiés dans le cadre des relations avec les fournisseurs et les partenaires commerciaux.
La plateforme Prevalent propose des rapports qui révèlent les tendances en matière de risques, l'état actuel et les exceptions aux comportements courants pour les fournisseurs individuels ou les groupes, grâce à des informations issues de l'apprentissage automatique intégré. Grâce à cette fonctionnalité, les équipes peuvent rapidement identifier les anomalies dans les évaluations, les tâches, les risques, etc. qui pourraient justifier une enquête plus approfondie.
Mise en œuvre de procédures visant à mettre fin aux relations avec les fournisseurs et les partenaires commerciaux— L'entité met en œuvre des procédures visant à mettre fin aux relations avec les fournisseurs et les partenaires commerciaux.
La plateforme Prevalent utilise des enquêtes et des flux de travail personnalisables pour générer des rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois applicables, les paiements finaux et bien plus encore lors du départ d'un employé.
Évalue la conformité aux engagements de confidentialité des fournisseurs et des partenaires commerciaux— De manière périodique et selon les besoins, l'entité évalue la conformité des fournisseurs et des partenaires commerciaux aux engagements et exigences de confidentialité de l'entité.
Évalue la conformité des fournisseurs et des partenaires commerciaux aux engagements en matière de confidentialité— De manière périodique et selon les besoins, l'entité évalue la conformité des fournisseurs et des partenaires commerciaux à ses engagements et exigences en matière de confidentialité et prend les mesures correctives nécessaires.
Évalue la conformité des fournisseurs et des partenaires commerciaux aux engagements en matière de confidentialité— De manière périodique et selon les besoins, l'entité évalue la conformité des fournisseurs et des partenaires commerciaux à ses engagements et exigences en matière de confidentialité et prend les mesures correctives nécessaires.
La plateforme Prevalent permet aux équipes chargées de la gestion des risques et de la conformité de mapper automatiquement les informations recueillies à partir d'évaluations des fournisseurs basées sur des contrôles à des cadres réglementaires tels queISO 27001,NIST,CMMC,GDPR, CoBiT 5, SSAE 18,SIG, SIG Lite, SOX,NYDFS, etc. afin de visualiser et de traiter rapidementles exigences de conformité importantes.
P6.4 : L'entité obtient des engagements en matière de confidentialité de la part des fournisseurs et autres tiers qui ont accès à des informations personnelles afin de répondre aux objectifs de l'entité en matière de confidentialité. L'entité évalue la conformité de ces parties de manière périodique et selon les besoins, et prend des mesures correctives si nécessaire.
Divulgation des informations personnelles uniquement à des tiers appropriés— Les informations personnelles ne sont divulguées qu'à des tiers ayant conclu des accords avec l'entité afin de protéger les informations personnelles conformément aux aspects pertinents de la déclaration de confidentialité de l'entité ou à d'autres instructions ou exigences spécifiques. L'entité a mis en place des procédures pour évaluer si les tiers disposent de contrôles efficaces pour respecter les termes de l'accord, les instructions ou les exigences.
Prevalent comprend des évaluations intégrées pour les réglementations en matière de protection des données telles quele RGPD,le CCPA,l'HIPAAetle NYDFS. Les résultats de ces évaluations sont consignés dans un registre central des risques où les équipes chargées de la sécurité et de la gestion des risques peuvent visualiser les risques potentiels pour les données et prendre des mesures, mais aussi comparer les actions d'un fournisseur à ses obligations contractuelles.
Remédie à l'utilisation abusive des informations personnelles par un tiers— L'entité prend des mesures correctives en réponse à l'utilisation abusive des informations personnelles par un tiers auquel elle a transféré ces informations.
La plateforme Prevalent comprend des conseils et des recommandations de remédiation intégrés. Les équipes de sécurité et de gestion des risques peuvent communiquer efficacement avec les fournisseurs et coordonner les efforts de remédiation via la plateforme, capturer et auditer les conversations, et enregistrer les dates d'achèvement estimées.
P6.5 : L'entité obtient des engagements de la part des fournisseurs et autres tiers ayant accès à des informations personnelles afin qu'ils l'informent en cas de divulgation non autorisée, réelle ou présumée, d'informations personnelles. Ces notifications sont transmises au personnel compétent et traitées conformément aux procédures établies en matière de réponse aux incidents afin de répondre aux objectifs de l'entité en matière de confidentialité.
Remédie à l'utilisation abusive des informations personnelles par un tiers— L'entité prend des mesures correctives en réponse à l'utilisation abusive des informations personnelles par un tiers auquel elle a transféré ces informations.
Signaler les divulgations non autorisées réelles ou présumées— Il existe un processus permettant d'obtenir des fournisseurs et autres tiers l'engagement de signaler à l'entité les divulgations non autorisées réelles ou présumées d'informations personnelles.
Le service de réponse aux incidents tiersprévalent permet aux équipes chargées de la sécurité et de la gestion des risques d'identifier et d'atténuer rapidement l'impact des incidents liés à la confidentialité des données en gérant de manière centralisée les fournisseurs, en évaluant les événements, en notant les risques identifiés et en accédant à des conseils de remédiation.
