ISAE 3402: onbezorgd uw processen uitbesteden

Stel, u bent een leverancier van een SaaS-dienst: u verkoopt een online softwarepakket voor facturatie. Dat wilt u natuurlijk leveren vanuit de cloud, want dat is schaalbaar en u kunt snel deployments uitvoeren. Die cloud wordt gehost in een datacenter, waar de machines worden voorzien van stroom en een internetverbinding. Het beheer van de cloud besteedt u uit aan een betrouwbare organisatie. Maar u heeft wel vragen over hoe zaken geregeld worden bij uw leverancier.

Hoe zit het bijvoorbeeld met de back-ups in dat datacenter? Is er nagedacht over disaster recovery? En welke securitymaatregelen zijn getroffen? Naast deze vragen heeft u, als financiële dienstverlener, de wettelijke verplichting dat de processen die u uitbesteedt beheerst worden. ISAE 3402 geeft een antwoord op deze vragen.

ISAE3402

ISAE 3402: wettelijke verplichting

Wanneer u als financiële dienstverlener zaken uitbesteedt, moet u kunnen aantonen dat processen beheerst worden. Dat wordt bepaald in artikel 4.16 van de Wet financieel toezicht. Banken zullen ook altijd een rapport eisen van hun leveranciers voordat zij diensten mogen leveren. Zo’n Service Organisation Control (SOC) rapport toont aan dat alle uitbestede processen beheerst worden. Het is een rapportage over de beheersingsmaatregelen bij een serviceorganisatie die relevant zijn voor onder andere de interne beheersing van financiële processen, voor informatiebeveiliging en gegevensbewerking. Internationaal is ISAE3402 de standaard voor SOC-rapporten. Heeft uw cloudleverancier een ISAE-3402 type II-accreditatie, dan weet u dat de door u uitbestede processen beheerst worden.

Groeiende vraag naar ISAE 3402

Samen met de groei van clouddiensten groeit ook de vraag naar ISAE3402 en beheersing van processen. Onder andere data protection, fraud prevention en bescherming van persoonsgegevens hebben de aandacht. Uw organisatie heeft een beperkt inzicht in securitymaatregelen van een serviceorganisatie. Dankzij de ISAE3402 standaard weet u nu wel of de processen op de juiste wijze beheerst worden, zodat u zich daar geen zorgen om hoeft te maken.

En ISO 27001 dan?

U dacht wellicht: ik moet bij een hostingprovider toch kijken of ze ISO27001 gecertificeerd zijn? Welnu, ISO 27001 is een security-standaard en in deze standaard zijn richtlijnen (‘best practices’) opgenomen voor informatiebeveiliging van een organisatie. ISAE3402 is een auditstandaard voor rapportage over de uitbestede processen.

De overheid richt zich bijvoorbeeld op ISO27001, omdat dit aansluit bij de Baseline Informatiebeveiliging Rijksoverheid. De zorg richt zich op de NEN7510 die gebaseerd is op ISO27001. Vanuit de financiële wereld is daarentegen ISAE3402 de norm.

Internedservices is in het bezit van ISAE 3402, ISO 27001 en de NEN 7510 normeringen. Daarnaast hebben we een ISO 9001 en ISO 20000 certificering en zijn we PCI-DSS compliant. Een goed gevoel voor u: de zekerheid dat processen diep geborgd zijn in de organisatie zodat u zich daar geen zorgen over hoeft te maken.

Meer informatie

Al die verschillende certificeringen, normeringen en accreditaties; we kunnen ons voorstellen dat bovenstaande informatie een en ander verduidelijkt, maar dat u nog vragen heeft over uw specifieke branche, online omgeving of applicatie. Wij helpen u graag om helderheid te verschaffen in uw situatie. Als u onderstaand formulier invult, nemen wij op een geschikt moment contact met u op.