SAS70的相关问题

对于数据中心，与采用SAS70和SSAE16相关的挑战是，这两个标准都侧重于企业财务报告(ICFR)的内部控制。企业财务报告内部控制是企业必须遵守的萨班斯法案的核心内容。然而，在大多数情况下，财务报告的内部控制仅限于为数据中心的客户提供服务。有限的报告选项给一些数据中心带来了困境。

服务组织控制系统的认证

美国注册会计师协会意识到了这个问题，为服务提供商创建了一套报表选项，名为:ServiceOrganizationControls系统认证(SOC)报表，刚刚过渡到SSAE16。SOC报告的目的是为服务提供商提供选择，以便他们可以向客户提供更相关的报告。

SOC1基于SSAE16，与其前身SAS70相似，侧重于公司财务报告的内部控制。SOC1与服务于需要对财务报告进行内部控制的客户的数据中心最为相关。

SOC2和SOC3报告基于AICPA的信任原则:安全性:防止未授权访问的物理和逻辑措施。可用性:指定系统的使用和操作。处理系统的完整性:系统处理的授权性、准确性、完整性和及时性。保密性:保护机密信息。隐私:根据AICPA普遍接受的隐私原则收集、处理和处置信息。SOC3是通用报告，只包含一个审计师的意见，即是否达到了服务机构控制体系验证的标准。SOC3不包括支持细节，对有目的的营销最有用。

然而，SOC2对于必须满足客户审计要求的数据中心应该非常有用。大多数数据中心服务提供商意识到，安全性、可用性、处理完整性、机密性和隐私的概念比他们提供的公司财务报告的内部控制更重要。SOC2报告包括描述数据中心的系统，以及审计员对公平性描述和设计适用性的意见。该报告还包括由业务审计员进行的测试和测试结果的描述。

SOC2的范围可以包括信任服务原则的任意组合。例如，托管设施的客户可能觉得安全性是与他们提供的服务一致的唯一原则。然而，托管服务的提供商可能认为安全性与可用性和保密性原则有关。