Réponse GRC
Que sont les critères de services fiduciaires SOC 2 ?
Réponse directe
Les critères de services fiduciaires (Trust Services Criteria, TSC) sont les référentiels publiés par l’AICPA sur lesquels un cabinet d’experts-comptables indépendant évalue les contrôles d’une organisation de services. Il existe cinq catégories. La Sécurité (critères communs, CC) est obligatoire et figure dans tout rapport SOC 2. Les quatre autres — Disponibilité (A), Intégrité du traitement (PI), Confidentialité (C) et Vie privée (P) — sont optionnelles : les organisations les incluent lorsqu’elles sont pertinentes pour les services fournis et pour ce que les acheteurs attendent. La plupart des éditeurs SaaS retiennent la Sécurité comme socle et ajoutent la Disponibilité lorsque les engagements de disponibilité comptent pour les acheteurs, la Confidentialité lorsque le traitement des données d’entreprise est un argument commercial, la Vie privée lorsque le service traite des données personnelles en volume, et l’Intégrité du traitement pour les flux transactionnels ou financiers. Les critères communs sont subdivisés en CC1 à CC9. CC6 couvre les contrôles d’accès logiques et physiques — provisionnement, authentification, accès par rôles et revue périodique des droits. CC7 couvre les opérations et la surveillance des systèmes. CC9 couvre la gestion des risques et le risque fournisseur, dont CC9.2, qui exige le suivi des prestataires tiers et des contrôles qu’ils opèrent pour votre compte. CC6 recoupe étroitement ISO 27001 A.5.15–A.5.18 ; CC9.2, A.5.19–A.5.23 — les organisations qui courent les deux référentiels réutilisent ces preuves plutôt que de maintenir des jeux de contrôles distincts.