שני נחימוביץ'
IT Assurance Leader CPA, Director
שירותי ענן נהפכו בעשור האחרון לסטנדרט בסביבת המחשוב הארגוני. המעבר לענן העלה שאלות בנוגע לאמינות, אבטחה, זמינות, פרטיות, סודיות ונאותות המערכות. לשם כך נקבע סטנדרט עולמי בשם ,(SOC) Service Organization Report המאגד את פירוט סביבת הבקרה והאמצעים הקיימים אצל נותן השירות, כדי להבטיח את איכות וזמינות השירות אותו הוא מספק. כמו כן דו"חות SOC מכילים גם חוות דעת של רו"ח על אותן הבקרות והאמצעים. כל חברה, גדולה או קטנה, שמספקת שירותים לשוק האמריקאי בפרט או נותנת שירותים בעולמות הענן לחברות בינוניות וגדולות נדרשת להציג דו"חSOC .
איך יודעים איזה דו"ח נדרש עבור השירות?
SOC 2
SOC 2 - דו"ח ביקורת שנתי שמבוקר ונכתב על ידי רו"ח בעלי ניסיון בתחום מערכות מידע. הדו"ח בודק בקרות במישורים הטכנולוגיים, ויכול להכיל כמה קריטריונים לבדיקה: Security, Availability, Confidentiality, Privacy, Process Integrity. הקריטריונים מותאמים בהתאם לשירות אותו מספקת החברה ללקוחותיה. צוות המומחים ב-BDO יסייע לכם לקבוע את הקריטריונים הנדרשים עבורכם.
SOC 2 הוא דו"ח סטנדרטי שנדרש עבור התקשרות עם לקוח אמריקאי או כל לקוח בסדר גודל בינוני או גדול. כדי לחדור לשווקים אלה, החברה תידרש להציג דו"ח חדש בכל שנה מרגע ההתקשרות עם הלקוח.
תקופת הדו"ח המבוקרת יכולה להיות ליום מסוים בשנה (SOC 2 TYPE 1) למטרות בקרה, או לתקופה של שלושה חודשים עד שנה (SOC 2 TYPE 2). המומחים שלנו יסייעו לכם לבחור בתקופה הרלוונטית והמיטבית עבור השירות והצרכים שלכם.
SOC 2כולל ארבעה חלקים עיקריים: חוות דעת של רו"ח על הבקרות בארגון, הצהרת הנהלה, תיאור החברה והשירות המסופק, וכן תיאור בדיק ות והתוצאות שנעשו על ידי רו"ח. את הדו"ח מעבירים במלואו ללקוחות החברה.
הדוח זה אשר נקרא לעיתים SOC 2 Compliance או SOC 2 Certification הוא דוח ביקורת (Audit Report), אשר נחתם על ידי רואה חשבון המומחה לכך.
SOC 1
אם לשירות שאתם מספקים יש נגיעה לכסף או לדיווח הכספי של הלקוחות שלכם, כנראה שתידרשו להגיש דו"ח SOC 1. הדו"ח מכיל ביקורת על תהליכים עסקיים וטכנולוגיים שיש להם נגיעה ישירה בדיווח הכספי. הלקוחות שלכם רוצים להיות בטוחים שהמערכת או השירות המסופק להם אמינים ונאותים.
SOC 3
דו"חות המהווים חותמת איכות לשירותי ענן הפונים לקהל הרחב ורוצים להפיג את חשש הלקוחות מפני אובדן המידע שלהם או פגיעה בפרטיותם. זהו דו"ח מקוצר שמכיל בעיקר את חוות הדעת של רו"ח על הבקרות בארגון, ללא פירוט הבדיקות שנעשו ותוצאותיהן - ועל כן מפורסם באתר החברה לעיני כל.
הצוות המקצועי של BDO Technology Advisory יסייע לכם בזיהוי והגדרת סוג הדו"ח, תכולתו ותקופתו בהתאם לצרכים הנדרשים לכם וללקוחותיכם, ולהגישו בדרך האפקטיבית ביותר. הניסיון הרב שיש לנו בגופים בכל הגדלים מאפשר לנו ללוות אתכם בתהליך ולהפיק עבורכם את דו"ח מקצועי בזמן הקצר ביותר.
