Controlli di sistema e dell'organizzazione
I report SOC Smartsheet sono report condotti da terze parti indipendenti che dimostrano come Smartsheet raggiunge gli obiettivi e i controlli della conformità principali.
Questi report servono a fornire ai clienti Smartsheet informazioni dettagliate e garanzie sui controlli adottati da Smartsheet rilevanti per la sicurezza e la disponibilità dei sistemi che Smartsheet usa per elaborare i dati degli utenti e garantire la riservatezza delle informazioni elaborate da tali sistemi. Attualmente Smartsheet può fornire ai clienti i report seguenti:
- Smartsheet SOC 2 Type 2, disponibile per i clienti attuali o potenziali mediante il modulo di richiesta Sicurezza e Governance
- Smartsheet SOC 3, disponibile pubblicamente dal valutatore Smartsheet
Domande sui controlli di sistema e dell'organizzazione
Le aziende esternalizzano sempre di più funzioni di base come l'archiviazione dei dati e l'accesso alle applicazioni a fornitori di servizi cloud (CSP) e ad altre organizzazioni di servizi. Alla luce di ciò, l'American Institute of Certified Public Accountants (AICPA) ha sviluppato il framework Controlli di sistema e dell'organizzazione (SOC), uno standard per i controlli che salvaguardano la riservatezza e la privacy delle informazioni archiviate ed elaborate nel cloud. Lo standard si allinea con l'ISAE (Standard internazionale sugli incarichi di assurance), lo standard di reporting per le organizzazioni di servizi internazionali.
Un audit SOC 2 valuta l'efficacia del sistema di un CSP sulla base degli AICPA Trust Service Principles and Criteria. I report SOC 2 e SOC 3 si basano su un attest engagement ai sensi degli Standard di attestazione (AT) Sezione 101.
Una volta concluso un audit SOC 2, l'auditor del servizio fornisce la sua opinione all'interno di un report SOC 2 Type 2, in cui descrive il sistema del CSP e valuta la correttezza della descrizione fornita dal CSP sui suoi controlli. Inoltre, valuta se i controlli del CSP sono progettati in maniera appropriata, erano attivi in una data specifica ed erano efficaci durante una finestra temporale specificata.
Gli auditor possono creare anche un report SOC 3, una versione abbreviata del report di audit SOC 2 Type 2, per gli utenti che desiderano garanzie sui controlli del CSP ma non hanno bisogno di un report SOC 2 completo. Un report SOC 3 può essere assegnato solo se il CSP ha un audit non qualificato per SOC 2.
Se hai altre domande o desideri richiedere una copia del nostro ultimo report SOC2, completa questo modulo e uno Smartsheet Security Engineer ti contatterà.