Cloud diensten en ISAE 3402 | SOC 1
Binnen de IT outsourcing en Cloud services is de de vraag naar ISAE 3402 sterk toegenomen. n het ISAE 3402-register is een indrukwekkende lijst met SaaS en hosting-providers opgenomen die ISAE 3402 gecertificeerd zijn. Wat is de reden voor deze toegenomen vraag in de IT sector en specifieker in de Cloud Services Industry; SaaS, IaaS, PaaS en datacenter services? ISO 27001 is een belangrijke internationale certificeringsstandaard voor informatiebeveiliging. Waarom is dan toch de vraag naar ISAE 3402-certificering toegenomen in de IT sector? Een belangrijke reden is dat steeds meer cruciale systemen van organisaties vanuit de Cloud worden aangeboden. Waarom is ISAE 3402 dan vervolgens zo belangrijk en waarom is ISO 27001 dan niet toereikend? Het antwoord hierop begint in de financiële sector.
Financial instellingen
Financiële instellingen zijn vanuit wet- en regelgeving, zoals de PensioenWet of de Wft verplicht om risico’s ten aanzien van outsourcing aantoonbaar te beheersen. Een ISO 27001 certificering wordt door zowel de Nederlandse Bank als de AFM niet als afdoende waarborg beschouwd. De Nederlandse Bank ziet ISAE 3402 wel als voldoende waarborg en eist een dergelijke rapportage zelfs in wet- en regelgeving.
Auditors en corporates
Naast financiële instellingen spelen accountants een belangrijke rol. Organisaties die controleplichtig zijn maken steeds meer gebruik van Cloud diensten. Hierdoor moeten accountants de processen op systemen in Cloud meenemen in de jaarrekeningcontrole. Accountants ‘steunen’ voor deze controles vaak op ISAE 3402 assurance rapportages van een gespecialiseerde service auditors. Daarnaast is het normenkader van belang.
Normenkader ISAE 3402 en ISO 27001
In tegenstelling tot ISO 27001 kent ISAE 3402 een normenkader; de jaarrekening of specifieker; alle processen die van belang zijn voor de interne organisatie van de user organisatie en dan specifiek gericht op de jaarrekening. Dus, alle processen die leiden tot een financiële verwerking in de jaarrekening. Bij veel organisatie wordt data van operationele processen opgeslagen in de Cloud of operationele processen worden geoutsourced naar een SaaS-provider of ondergebracht bij een hosting partij. Ook deze operationele processen hebben vrijwel altijd direct- of indirect invloed op de jaarrekening. Zoals boven aangegeven zullen deze processen voor accountants van belang zijn bij de uitvoering van de jaarrekeningcontrole.
Een accountant kan geen waarde ontlenen van een ISO 27001 certificering. Een ISAE 3402 certificering is in een dergelijke geval wel herkenbaar voor een externe accountant en is tevens (vaktechnisch) bruikbaar voor de jaarrekening controle van de user organisatie ISAE 3402 kent in tegenstelling tot ISO 27001 geen gedetailleerde normen voor informatiebeveiliging. In de praktijk wordt hier meestal het CobiT 5 framework gebruikt omdat dit normenkader toereikend is voor om de informatiebeveiliging voor jaarrekening te waarborgen. en ISAE 3402 rapportage heeft om deze redenen vaak meer toegevoegde waarde voor zowel gebruikersorganisaties als hun accountants; immers naast security onderdelen van ISO 27001 zijn tevens alle processen die effect hebben op de jaarrekening opgenomen.
Cloud Security
Een belangrijke vraag voor de toekomst is, hoe er omgegaan gaat worden met Cloud Security. In veel gevallen is niet duidelijk waar in de Cloud informatie is opgeslagen en of de landen waar deze data is opgeslagen ook voldoen aan bijvoorbeeld de General Data Protection Regulation (GDPR). In hoeverre heeft een Cloud Service Provider processen voldoende op orde, welke security richtlijnen worden gebruikt en hoe worden operationele IT risico’s beheerst?
In de VS wordt vanuit de overheid als eis gesteld dat alle partijen die Cloud diensten verlenen aan de overheid dienen te voldoen aan de FedRAMP-richtlijnen. Dergelijke eisen zijn nog niet geformuleerd voor private partijen, ook niet vanuit de Amerikaanse Sarbanes Oxley (SOx404-vereisten). Primair geldt dat in het geval van uitbesteding door beursgenoteerde organisaties, dat voldaan moet worden aan de SSAE18-eisen. Deze zijn grotendeels overeenkomstig met de ISAE 3402-vereisten. ok in dit geval biedt de ISAE 3402-certificering een mogelijkheid. Indien namelijk voldaan wordt aan SSAE18, dan kan met een vrij beperkte inspanning tevens conform de SSAE18-eisen gecertificeerd worden.
Op basis van bovenstaand kan geconcludeerd worden dat ISAE 3402 voor meerdere doelen inzetbaar is, zowel om aan te tonen aan een opdrachtgever dat de uitbestede processen ‘ goed’ beheerst worden, daarnaast is een ISAE 3402 ook bruikbaar voor de externe accountant.