Trust Services (SOC 2-3)
Trust Services - это набор профессиональных аудиторских услуг на базе общепринятых принципов и критериев, целью создания которого является необходимость адресовать риски, связанные с использованием информационных технологий. SysTrust и WebTrust - две аудиторские услуги, совместно разработанные Американским институтом дипломированных общественных бухгалтеров (AICPA) и Канадским институтом дипломированных бухгалтеров (CICA), были объединены в единый набор принципов и критерий Trust Services:
| Безопасность (Security) | - система защищена от неавторизованного доступа (физического и логического). |
| Доступность (Availability) | - система доступна для эксплуатации и использования, как это необходимо и согласовано. |
| Целостность (Integrity) | - система обрабатывает информацию полностью, точно, своевременно и авторизованно. |
| Приватность (Privacy) | - персональная информация, полученная в процессе электронной коммерции, используется, раскрывается и хранится, как это необходимо и согласовано. |
| Конфиденциальность (Confidentiality) | - секретная информация защищена, как это необходимо и согласовано. |
Ранее WebTrust и SysTrust использовали принципы и критерии схожие по характеру и объему. Принципы и критерии Тrust Services по существу являются слиянием и гармонизацией оных для WebTrust и SysTrust. Независимые аудиторы (CPA) могут по-прежнему проводить проверку WebTrust или SysTrust, используя принципы и критерии Trust Services.
Компании или профессионалы-практики, обладающие лицензией на проведение WebTrust от AICPA или CICA, могут предоставлять аудиторские услуги по оценке и проверке того, насколько конкретная организация, предоставляющая услуги электронной коммерции, соответствует выбранным принципам и критериям Trust Services. Аудиторская печать WebTrust, размещенная на вебсайте организации в результате успешной проверки, отражает безоговорочное мнение независимого аудитора.
Проверка SysTrust позволяет получить уверенность в надежности системы, используя какой либо из принципов и критерий Trust Services, за исключением Online Privacy, который можно использовать только для проверок WebTrust.
Конкретные критерии оценки и наглядные примеры контролей для каждого принципа можно найти на сайте AICPA.