Saltar al contenido

La CSA respalda el marco de información de la AICPA para evaluar los controles sobre los proveedores de nubes

El marco del Instituto Americano de CPA (AICPA) para evaluar los controles relacionados con la tecnología y otras salvaguardias utilizadas por los proveedores de servicios en la nube ha sido aprobado por la Alianza de Seguridad en la Nube (CSA), una organización sin fines de lucro que promueve el uso de las mejores prácticas de garantía de seguridad dentro de la computación en la nube.

El marco de presentación de informes de la AICPA, conocido como Informes de Control de la Organización de Servicios (SOC), fue desarrollado en 2011 y consta de tres tipos principales de documentos:

La CSA respalda el marco de información de la AICPA para evaluar los controles sobre los proveedores de nubes
La CSA respalda el marco de información de la AICPA para evaluar los controles sobre los proveedores de nubes
  1. El informe SOC 1 trata de los controles sobre la presentación de informes financieros y sustituye al ampliamente utilizado informe SAS 70.
  2. El informe SOC 2 se centra en los controles que influyen en la seguridad, la integridad del procesamiento y la disponibilidad operativa de un proveedor de servicios, así como en la confidencialidad y la privacidad de los datos que circulan por sus sistemas.
  3. El SOC 3 es una versión comprimida del SOC 2 y está diseñado para su distribución pública.

En un documento de posición publicado el 25 de febrero, CSA dijo que para la mayoría de los proveedores de la Nube, un informe SOC 2 «es probable que satisfaga las necesidades de garantía e información de la mayoría de los usuarios de los servicios de la Nube, cuando los criterios para el compromiso se complementan con los criterios de la Matriz de Controles de la Nube». CSA dijo que tomó su determinación después de una «cuidadosa consideración de las alternativas».

«Las auditorías de cumplimiento e integridad operativa relacionadas con la tecnología son cada vez más importantes a medida que la adopción de servicios basados en la nube se convierte en la norma para las empresas», dijo Jim Reavis, director ejecutivo de la CSA. «El Registro de Seguridad, Confianza y Garantía (STAR) de la CSA, sirve como estándar para demostrar la alineación transparente con las mejores prácticas de seguridad de la CSA, y este documento es un gran paso adelante en el aprovechamiento del popular marco de informes de la AICPA para consolidar los requisitos de certificación y la confianza de terceros en la parte superior del STAR de la CSA».

El documento de posición de la CSA ofrece orientación a los miembros sobre cuándo es necesario un informe SOC 1, cuándo es necesario un informe SOC 2 y cuándo pueden ser necesarios ambos tipos de compromiso. El documento es el resultado de una estrecha colaboración entre la AICPA y la CSA, impulsada por su objetivo mutuo de mejorar la transparencia y la seguridad en el campo de la computación en nube.

«La Nube puede crear grandes eficiencias para las empresas, pero también introduce desafíos y complejidades para aquellas empresas y sus partes interesadas que dependen de la integridad, seguridad y privacidad de la información», dijo Susan Coffey, contadora pública, CGMA, vicepresidenta senior de práctica pública y alianzas globales. «Estamos encantados de que la Cloud Security Alliance haya dado su sello de aprobación a los Informes de Control de Organización de Servicios como un mecanismo para hacer frente a este reto de información, así como para complementar los principios de seguridad en su Matriz de Controles en la Nube».

Fuente: 25 de febrero de 2013, Comunicado de prensa de AICPA