Note de cadrage TSC
Décision de cadrage écrite par rapport aux AICPA Trust Services Criteria 2017 : quelles catégories (Sécurité obligatoire ; A1, C1, PI1, P1–P8 facultatifs), quels systèmes sont dans le périmètre, quelles organisations de sous-traitance sont exclues, et ce que la description du système dans le rapport indiquera.
Mise en œuvre des contrôles
Véritable travail d'ingénierie : SSO+MFA sur chaque système, provisionnement SCIM, chiffrement et sauvegarde imposés par IaC, gestion des changements GitOps, journalisation centralisée avec rétention, rotation d'astreinte et modèle de post-mortem d'incident, inventaire des fournisseurs et suivi des DPA.
Pack de politiques
15+ politiques croisées avec des contrôles CC et de la catégorie choisie : sécurité de l'information, contrôle des accès, gestion des changements, réponse aux incidents, continuité d'activité, gestion des fournisseurs, usage acceptable, développement sécurisé, chiffrement, classification des données, évaluation des risques et sécurité RH.
Intégration de la plateforme d'automatisation
Vanta, Drata, Secureframe, Tugboat Logic ou votre outil existant — intégrations réglées pour un faible taux de faux positifs, qualité des preuves vérifiée avant que l'auditeur ne les voie, et guides opérateurs pour les contrôles qui échouent inévitablement.
Liaison avec l'auditeur
Nous gérons la relation avec votre cabinet CPA : lancement, salle de preuves, questions du travail de terrain, gestion des exceptions, rédaction des réponses de la direction et négociation du libellé de la description du rapport et des contrôles de l'entité utilisatrice complémentaire (CUECs).
Opérations de la fenêtre d'observation Type II
Pour la fenêtre d'observation de 6 à 12 mois : synchronisation mensuelle avec les responsables de contrôle, revues trimestrielles des accès et des fournisseurs, surveillance de la qualité des preuves, réponse aux incidents en retainer et la discipline qui empêche un seul écart de contrôle de compromettre votre opinion.