Wat zijn de criteria voor vertrouwensdiensten?

Criteria voor vertrouwensdiensten (TSC) zijn een reeks normen die worden gebruikt om de effectiviteit van de controles van een organisatie met betrekking tot beveiliging, verwerking en gegevensbescherming te evalueren. integriteit, vertrouwelijkheid en beschikbaarheid.

Wat zijn criteria voor trustdiensten?

De term 'trust services criteria' verwijst naar een uitgebreid raamwerk dat is ontwikkeld om de toereikendheid en effectiviteit van de controles van een organisatie op verschillende aspecten van gegevensbescherming en systeemprestaties te evalueren. TSC richt zich specifiek op de principes van beveiliging, beschikbaarheid en verwerking. integriteit, vertrouwelijkheid en privacy. Het wordt voornamelijk gebruikt in de context van audits, zoals SOC 2 (systeem- en organisatiecontroles)om ervoor te zorgen dat dienstverlenende organisaties voldoen aan strenge eisen met betrekking tot de beveiliging van gevoelige informatie en de betrouwbaarheid van hun operationele systemen.

Door deze criteria te beoordelen, tonen organisaties hun toewijding aan het handhaven van hoge normen voor gegevensbescherming, operationele veerkracht en privacy, die essentieel zijn voor het opbouwen van vertrouwen bij klanten en stakeholders. TSC biedt een gestructureerde aanpak voor het evalueren van de interne controles van een organisatie, waardoor niet alleen wordt voldaan aan de industrienormen, maar ook de risico's die hiermee gepaard gaan, worden geminimaliseerd. datalekken, systeem uitvaltijd, En andere kwetsbaarheden.

Wat zijn de vijf criteria voor trustdiensten?

De vijf criteria voor vertrouwensdiensten zijn:

Beveiliging. Dit criterium richt zich op de bescherming van systemen en gegevens tegen ongeautoriseerde toegang, aanvallen en inbreuken. Het waarborgt dat passende beveiligingsmaatregelen zijn getroffen om schade aan de activa van de organisatie te voorkomen en de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te waarborgen.
Beschikbaarheid. Dit criterium beoordeelt of de door de organisatie geleverde systemen en diensten beschikbaar zijn voor gebruik zoals overeengekomen. Het omvat het evalueren van het vermogen van de organisatie om uptime en ontmoet Service Level Agreements (SLA's).
Integriteit van verwerkingDit criterium garandeert dat de processen van het systeem volledig, nauwkeurig en tijdig zijn. Het beoordeelt of het systeem gegevens consistent kan verwerken in overeenstemming met de bedrijfsdoelstellingen en de verwachtingen van de gebruikers.
Vertrouwelijkheid. Dit criterium is erop gericht ervoor te zorgen dat informatie die als vertrouwelijk is geclassificeerd, wordt beschermd op basis van de gevoeligheid ervan. Het gaat hierbij om het beschermen van gevoelige gegevens tegen ongeautoriseerde toegang en openbaarmaking.
PrivacyDit criterium waarborgt dat persoonsgegevens worden verzameld, gebruikt, bewaard, openbaar gemaakt en verwijderd in overeenstemming met de relevante privacywetten en -regelgeving. Het beoordeelt het vermogen van de organisatie om de privacy van persoonsgegevens te waarborgen op een manier die voldoet aan zowel wettelijke als contractuele verplichtingen.

Criteria voor vertrouwensdiensten en COSO-integratie

De criteria voor trustdiensten en het raamwerk van de Committee of Sponsoring Organizations of the Treadway Commission (COSO) zijn beide essentieel bij de evaluatie van de interne beheersing van een organisatie, maar ze richten zich op verschillende aspecten van governance en risicomanagement. De integratie van TSC met COSO kan organisaties helpen een alomvattende aanpak van risicomanagement, compliance en de effectiviteit van interne beheersing te garanderen.

De criteria voor vertrouwensdiensten, Zoals vermeld, omvatten ze vijf belangrijke gebieden: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Deze criteria worden voornamelijk gebruikt bij audits zoals SOC 2 om te beoordelen of de controlemechanismen van een organisatie zijn ontworpen en effectief werken om gegevens te beschermen en een betrouwbare systeemwerking te garanderen. De criteria helpen organisaties om hun toewijding aan het beschermen van gevoelige gegevens, het garanderen van een hoge beschikbaarheid van systemen en het beschermen van privacyrechten, onder andere, aan te tonen.

De COSO-raamwerk, daarentegen, biedt een bredere, overkoepelende set principes en praktijken voor effectieve interne beheersing. Het omvat vijf componenten: controleomgeving, risicobeoordeling, controleactiviteiten, informatie en communicatie, en monitoring. Het COSO-raamwerk wordt vaak gebruikt om interne beheersing te evalueren op gebieden zoals financiële verslaggeving en naleving van wet- en regelgeving, en het is een breed geaccepteerde standaard voor governance en risicomanagement.

Integratie van Trust Services Criteria en het COSO-raamwerk

De integratie van TSC en COSO creëert een robuustere interne controleomgeving voor een organisatie door ervoor te zorgen dat zowel de technische als de organisatorische aspecten van risicomanagement adequaat worden aangepakt. Dit omvat:

Controle omgevingDe COSO-controleomgeving houdt in dat de toon wordt gezet aan de top en dat de directie zich inzet voor beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Dit is in lijn met de TSC, die toezicht op het hoogste niveau vereist voor controles die zijn ontworpen om systemen en data te beschermen.
RisicobeoordelingZowel TSC als COSO benadrukken het belang van risicobeoordelingen. De beveiligings- en privacycriteria van TSC vereisen dat organisaties risico's voor gevoelige informatie identificeren en beperken, terwijl de risicobeoordelingscomponent van COSO ervoor zorgt dat risico's – financieel, operationeel en compliance – correct worden geïdentificeerd, beoordeeld en beheerd.
Controleactiviteiten. De controleactiviteiten van COSO zorgen ervoor dat er beleid en procedures zijn om geïdentificeerde risico's aan te pakken. Dit ondersteunt de TSC direct, met name op gebieden zoals verwerkingsintegriteit en vertrouwelijkheid, waar gedetailleerde processen moeten worden ontworpen om de accurate verwerking van gegevens en de bescherming van vertrouwelijke informatie te garanderen.
Informatie en communicatie. Beide raamwerken benadrukken het belang van effectieve communicatie van relevante informatie binnen de organisatie. De privacy- en beveiligingscriteria van TSC vereisen dat informatie over gegevensverwerkingspraktijken duidelijk en transparant wordt gecommuniceerd, terwijl het onderdeel van COSO de rol van communicatie benadrukt bij het beheren van interne controles en het waarborgen van verantwoording.
MonitorenDe monitoringcomponent van COSO zorgt ervoor dat interne controles continu worden geëvalueerd en verbeterd. Dit sluit aan bij de eisen van de TSC voor continue monitoring van controles, met name op het gebied van beveiliging en beschikbaarheid, om ervoor te zorgen dat systemen veilig, toegankelijk en vrij van kwetsbaarheden blijven.

Criteria voor vertrouwensdiensten in SOC 2

In de context van SOC 2 zijn TSC de normen die worden gebruikt om de controles te beoordelen en evalueren die serviceorganisaties implementeren om gevoelige gegevens te beschermen, de betrouwbaarheid van systemen te waarborgen en de privacy te waarborgen.

SOC 2 is een raamwerk dat voornamelijk wordt gebruikt voor het evalueren van de beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy van de systemen en gegevens van een organisatie. Deze criteria helpen bepalen of de controlemechanismen van de organisatie voldoen aan specifieke vereisten om gevoelige informatie te beschermen en te voldoen aan de verwachtingen van haar klanten en stakeholders.

SOC 2-rapporten worden doorgaans gebruikt door technologiebedrijven, met name die welke cloud-gebaseerd of SaaS (Software as a Service) oplossingen, om aan te tonen dat zij zich inzetten voor het handhaven van de hoogste normen op het gebied van gegevensbescherming, privacy en beveiliging.

De vijf criteria voor vertrouwensdiensten in SOC 2 zijn:

Beveiliging. Het veiligheidscriterium richt zich op de bescherming van systemen tegen ongeautoriseerde toegang, cyberaanvallenen andere vormen van inbraak. Het beoordeelt of de systemen en gegevens van een organisatie beschermd zijn tegen zowel interne als externe bedreigingen. Belangrijke beveiligingsmaatregelen kunnen zijn: firewalls, encryptie, inbraakdetectiesystemenen andere technische maatregelen die ongeoorloofde toegang of wijziging van gegevens voorkomen.
BeschikbaarheidDit criterium beoordeelt of de systemen en services van de organisatie beschikbaar zijn voor gebruik zoals bedoeld. Het beoordeelt het vermogen van de organisatie om de uptime te handhaven en service level agreements na te komen. Dit is cruciaal voor klanten die afhankelijk zijn van de beschikbaarheid van services voor hun eigen bedrijfsvoering, zoals in cloud hosting- of SaaS-oplossingen.
Integriteit van verwerkingVerwerkingsintegriteit zorgt ervoor dat systemen gegevens nauwkeurig, volledig en tijdig verwerken. Dit criterium beoordeelt of de processen van het systeem correct functioneren en de beoogde resultaten opleveren, wat essentieel is voor klanten die afhankelijk zijn van de betrouwbaarheid van verwerkte informatie. Dit kan onder meer het valideren van transactienauwkeurigheid, tijdige verwerking en correcte afhandeling van fouten omvatten.
VertrouwelijkheidHet vertrouwelijkheidscriterium richt zich op de bescherming van gevoelige informatie tegen ongeautoriseerde toegang of openbaarmaking. Het beoordeelt het vermogen van de organisatie om vertrouwelijke gegevens zoals intellectuele eigendom, bedrijfsgeheimen en persoonsgegevens te beschermen in overeenstemming met de wetgeving inzake gegevensbescherming en contractuele verplichtingen. Dit kan encryptie, beveiligde opslag en protocollen voor beperkte toegang omvatten.
PrivacyHet privacycriterium zorgt ervoor dat persoonlijke informatie wordt verzameld, gebruikt, bewaard, bekendgemaakt en verwijderd in overeenstemming met de relevante privacywetten, zoals de AVG of CCPAHet zorgt ervoor dat organisaties praktijken implementeren die persoonlijke gegevens beschermen en de privacyrechten van individuen beschermen, terwijl ze voldoen aan wettelijke en regelgevende vereisten.

Criteria voor vertrouwensdiensten en andere nalevingskaders

Hier is een vergelijking van de TSC die in SOC 2 wordt gebruikt met andere populaire compliance-frameworks:

Nalevingskader	Belangrijkste gebieden/criteria	Focus	Typisch use cases
SOC 2 (Criteria voor trustdiensten)	Beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid, privacy	Evalueert de effectiviteit van interne controles met betrekking tot beveiliging, privacy, beschikbaarheid en gegevensintegriteit voor serviceorganisaties	Cloud dienstverleners, SaaS-bedrijven, IT-dienstverleners
SOC 1	Controledoelstellingen voor financiële verslaggeving (geen vertrouwenscriteria)	Richt zich op controles met betrekking tot financiële verslaglegging, met name voor gebruikersorganisaties die afhankelijk zijn van uitbestede diensten	Uitbestede financiële diensten, salarisadministratie en accountantskantoren
ISO / IEC 27001	Informatiebeveiliging Managementsysteem (ISMS)	Richt zich op het opzetten, implementeren en onderhouden van een informatiebeveiligingsmanagementsysteem (ISMS)	Bedrijven die een uitgebreid informatiebeveiligingssysteem nodig hebben
HIPAA (wet overdraagbaarheid en verantwoording van zorgverzekeringen)	Beveiliging, privacy, melding van inbreuken, handhaving	Richt zich op het beschermen van de privacy en veiligheid van gezondheidsinformatie in de Amerikaanse gezondheidszorgsector	Zorginstellingen, zorgaanbieders, zorgverzekeraars
GDPR (Algemene verordening gegevensbescherming)	Gegevensbescherming, Privacy	Beschermt de persoonlijke gegevens en privacy van personen binnen de Europese Unie	Bedrijven die persoonsgegevens van EU-ingezetenen en multinationals verwerken
PCI DSS (Payment Card Industry Data Security Standaard)	Gegevensbescherming, netwerkbeveiliging, monitoring en toegangscontrole	Richt zich op het beveiligen van betaalkaartgegevens en het garanderen van veilige transacties voor kaarthouders	E-commerceplatforms, handelaren, betalingsverwerkers, financiële instellingen
NIST-kader voor cyberbeveiliging	Identificeren, beschermen, detecteren, reageren, herstellen	Biedt een op risico's gebaseerde aanpak voor het verbeteren van de cyberbeveiligingsinfrastructuur en -veerkracht	Overheidsinstanties, kritieke infrastructuur en ondernemingen die op zoek zijn naar uitgebreide richtlijnen voor cyberbeveiliging
FISMA (Federale wet op de modernisering van de informatiebeveiliging)	Beveiliging en privacy	Richt zich op het waarborgen van de bescherming van federale informatiesystemen en gegevens	Amerikaanse federale agentschappen, contractanten en entiteiten die met federale gegevens werken
CSA STER (Cloud Security Alliance (Register voor beveiliging, vertrouwen en zekerheid)	Beveiliging, privacy, governance, risico en naleving	Cloud veiligheidsnormen gericht op de beveiligingshouding van cloud aanbieders en het vertrouwen dat zij opbouwen met klanten	Cloud aanbieders, bedrijven die gebruikmaken van cloud diensten

Voorbeelden van criteria voor trustdiensten

Hier volgen enkele voorbeelden van hoe de TSC in verschillende scenario's wordt toegepast:

Beveiliging. Een online betalingsverwerker implementeert multi-factor authenticatie voor zowel gebruikers als beheerders. Dit zorgt ervoor dat alleen geautoriseerde personen toegang hebben tot gevoelige betalingsinformatie en verwerkingssystemen, waardoor het risico op ongeautoriseerde toegang of cyberaanvallen wordt verkleind.
Beschikbaarheid. A cloud hostingprovider implementeert een geautomatiseerde backup en rampenherstel Oplossing met een uptime SLA van 99.9%. Dit garandeert dat de websites en data van klanten altijd beschikbaar zijn, zelfs tijdens onverwachte systeemuitval of calamiteiten, waardoor downtime en serviceverstoring tot een minimum beperkt blijven.
Verwerkingsintegriteit. Een leverancier van klantondersteuningssoftware zorgt ervoor dat alle klantvragen automatisch worden geregistreerd en binnen enkele minuten naar het juiste ondersteuningsteam worden doorgestuurd. Het systeem biedt real-time updates en bevestigingen, waardoor de nauwkeurigheid van de gegevens en de tijdige verwerking van klantverzoeken wordt gewaarborgd.
Vertrouwelijkheid. Een advocatenkantoor gebruikt encryptie om vertrouwelijke cliëntgegevens in de database te beveiligen. Bovendien is de toegang tot gevoelige documenten beperkt tot geautoriseerde medewerkers, zodat juridische documenten en cliëntcommunicatie niet aan onbevoegden worden blootgesteld.
Privacy. Een zorgverlener verzamelt persoonlijke gezondheidsinformatie (PHI) van patiënten, maar hanteert strikte procedures voor gegevensverwerking. Deze omvatten onder meer de encryptie van PHI, zowel tijdens de overdracht als in opslag, en het toestaan dat patiënten hun gegevens inzien en verwijderen, in overeenstemming met privacyregels zoals HIPAA.

Waarom zijn criteria voor vertrouwensdiensten belangrijk?

Criteria voor trustdiensten zijn belangrijk omdat ze organisaties een gestructureerde en gestandaardiseerde manier bieden om hun toewijding aan het beveiligen en beheren van data, het garanderen van betrouwbare diensten en het beschermen van de privacy van klanten aan te tonen. Hier zijn enkele belangrijke redenen waarom TSC cruciaal is:

Bouwt vertrouwen op bij klanten en belanghebbenden. Organisaties die voldoen aan de criteria voor vertrouwensdiensten tonen hun toewijding aan het beschermen van gevoelige informatie en het handhaven van operationele betrouwbaarheid. Dit bevordert het vertrouwen bij klanten, partners en stakeholders, wat essentieel is voor bedrijfsgroei en -behoud.
Verbetert de bescherming en beveiliging van gegevens. De criteria helpen organisaties bij het implementeren van robuuste beveiligingsmaatregelen om gegevens te beschermen tegen ongeautoriseerde toegang, cyberaanvallen en datalekken. Door te focussen op de beveiligings- en vertrouwelijkheidsaspecten, zorgt TSC ervoor dat gevoelige informatie adequaat wordt beschermd.
Ondersteunt naleving van regelgeving. Veel regelgevende kaders, zoals AVG, HIPAA en PCI DSS, overlappen met de criteria die zijn vastgelegd in TSC. Door zich aan deze normen te houden, kunnen organisaties voldoen aan wettelijke en regelgevende vereisten, waardoor het risico op niet-naleving en mogelijke sancties wordt verminderd.
Beperkt operationele risico's. Door te focussen op beschikbaarheid en verwerkingsintegriteit, zorgt TSC ervoor dat systemen veerkrachtig, nauwkeurig en beschikbaar zijn wanneer nodig. Dit minimaliseert de risico's op systeemstoringen, datafouten of serviceonderbrekingen die de bedrijfsvoering en klanttevredenheid kunnen beïnvloeden.
Verbetert de operationele efficiëntie. De implementatie van TSC helpt organisaties hun processen te stroomlijnen, zwakke punten te identificeren en hun controleomgeving te verbeteren. Het leidt tot efficiënter risicomanagement en vermindert ontslagenen zorgt ervoor dat bronnen op de juiste manier worden toegewezen om de integriteit van het systeem te behouden.
Biedt een concurrentievoordeel. Het voldoen aan de criteria voor trustdiensten toont aan dat een organisatie de beste praktijken in de branche volgt. Dit onderscheidt een bedrijf in concurrerende markten, omdat klanten eerder geneigd zijn te kiezen voor dienstverleners die prioriteit geven aan data security, privacy en operationele betrouwbaarheid.
Vermindert het risico op datalekken en juridische aansprakelijkheden. Omdat privacy en vertrouwelijkheid kerncomponenten van TSC zijn, zijn organisaties beter toegerust om klantgegevens te beschermen tegen datalekken. Door deze criteria te volgen, minimaliseren organisaties de kans op kostbare datalekken, rechtszaken of reputatieschade.
Maakt transparante rapportage mogelijk. Naleving van TSC wordt vaak geverifieerd door middel van externe audits, zoals SOC 2-rapporten. Deze externe evaluaties bieden transparantie en onafhankelijke validatie van de toewijding van een organisatie aan gegevensbescherming, wat klanten en investeerders zekerheid biedt.

Wie handhaaft de criteria voor trustdiensten?

De criteria voor trustdiensten worden beheerd door het American Institute of Certified Public Accountants (AICPA). AICPA is een professionele organisatie die normen vaststelt voor auditing, accounting en rapportage in de Verenigde Staten.

AICPA heeft de criteria voor vertrouwensdiensten ontwikkeld als onderdeel van het SOC-kader, dat SOC 1-, SOC 2- en SOC 3-rapporten omvat. Deze criteria worden regelmatig door AICPA herzien en bijgewerkt om ze af te stemmen op evoluerende industrienormen, technologische ontwikkelingen en wettelijke vereisten. De TSC vormt de basis voor de evaluatie van de controlemechanismen van serviceorganisaties op het gebied van beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy, met name in de context van SOC 2- en SOC 3-audits.

AICPA zorgt ervoor dat de criteria relevant blijven door overleg te plegen met experts uit de sector en belanghebbenden. Zo kunnen organisaties aantonen dat ze voldoen aan de best practices en de bescherming van gevoelige gegevens en de integriteit van systemen waarborgen.

Hoe vaak moeten de criteria voor trustdiensten worden bijgewerkt?

De controles voor de criteria voor vertrouwensdiensten moeten regelmatig worden bijgewerkt om ervoor te zorgen dat ze effectief blijven en aansluiten bij de veranderende beveiligings-, privacy- en regelgevingsnormen. De frequentie van updates is echter afhankelijk van verschillende factoren, zoals veranderingen in de systemen van de organisatie, opkomende bedreigingen en verschuivingen in de regelgeving. Hier volgen enkele richtlijnen voor wanneer controles moeten worden herzien en bijgewerkt:

Doorlopende monitoring en updates. Controles moeten continu worden gemonitord en eventuele hiaten of inefficiënties moeten aanleiding geven tot een evaluatie. Regelmatige interne audits, geautomatiseerde monitoring en het verzamelen van informatie over bedreigingen helpen bij het identificeren van gebieden waar de controles mogelijk vaker moeten worden bijgewerkt.
Jaarlijks overzicht. Het wordt organisaties aanbevolen hun TSC-controlemaatregelen ten minste jaarlijks te evalueren om ervoor te zorgen dat ze voldoen aan de huidige industrienormen en evoluerende bedreigingen. Een jaarlijkse evaluatie helpt organisaties proactief te blijven in het aanpassen aan nieuwe risico's, technologieën en compliance-eisen. Het zorgt er ook voor dat eventuele veranderingen in de bedrijfs- of operationele omgeving worden weerspiegeld in de controlemaatregelen.
Na grote veranderingen. Als een organisatie een grote systeemupgrade ondergaat, kan er een verandering in de architectuur plaatsvinden (bijvoorbeeld verhuizen naar de cloud) of een update van kritieke infrastructuur, is het belangrijk om de controles te evalueren en mogelijk bij te werken. Ook als de organisatie fuseert met een ander bedrijf of een ander bedrijf overneemt, moeten de bestaande controles worden geëvalueerd om integratie met de nieuwe bedrijfsprocessen te garanderen.
Na wettelijke of regelgevende wijzigingen. Wijzigingen in de wetgeving inzake gegevensbescherming (bijv. GDPR, CCPA) of branchevoorschriften (bijvoorbeeld HIPAA, PCI DSS) kunnen aanpassingen aan de controlemechanismen van de organisatie noodzakelijk maken om te zorgen voor voortdurende naleving van de nieuwe wettelijke kaders.
Als reactie op geïdentificeerde kwetsbaarheden of beveiligingsincidenten. Als er een kwetsbaarheid wordt ontdekt of een datalek optreedt, moeten de beheersmaatregelen onmiddellijk worden herzien om ervoor te zorgen dat er passende maatregelen zijn genomen om soortgelijke incidenten in de toekomst te voorkomen. Deze herziening kan leiden tot aanscherping van het beveiligingsbeleid, de toevoeging van nieuwe monitoringtools of wijzigingen in de procedures voor gegevensverwerking.
Als onderdeel van SOC 2-audits. Als een organisatie een SOC 2 Type II-audit ondergaat, waarbij de operationele effectiviteit van controles over een bepaalde periode (meestal 6–12 maanden) wordt beoordeeld, is het verstandig om de controles te evalueren en eventueel bij te werken ter voorbereiding op de audit. Bij de SOC 2-audit wordt beoordeeld of de controles van de organisatie effectief zijn ontworpen en werken. Het is daarom essentieel om ervoor te zorgen dat de controles actueel en volledig zijn voordat de audit wordt uitgevoerd.