Memo di scoping TSC
Decisione di scoping scritta rispetto ai Trust Services Criteria AICPA 2017: quali categorie (Security obbligatoria; A1, C1, PI1, P1–P8 opzionali), quali sistemi sono in scope, quali organizzazioni di subservizio sono escluse e cosa dirà la descrizione del sistema nel report.
Implementazione dei controlli
Vero lavoro ingegneristico: SSO+MFA su ogni sistema, provisioning SCIM, cifratura e backup imposti via IaC, GitOps change management, logging centralizzato con retention, rotazione on-call e template di incident postmortem, inventario dei vendor e tracciamento dei DPA.
Policy pack
15+ policy con riferimenti incrociati ai controlli CC specifici e alle categorie scelte: sicurezza delle informazioni, controllo degli accessi, change management, incident response, business continuity, gestione dei vendor, uso accettabile, sviluppo sicuro, cifratura, classificazione dei dati, valutazione del rischio e sicurezza HR.
Integrazione della piattaforma di automazione
Vanta, Drata, Secureframe, Tugboat Logic o la piattaforma già in uso — integrazioni ottimizzate per un basso tasso di falsi positivi, qualità delle prove verificata prima che l'auditor le visualizzi e playbook operativi per i check falliti inevitabili.
Supporto all'auditor
Gestiamo il rapporto con la vostra CPA firm: kickoff, evidence room, domande durante il field work, gestione delle eccezioni, redazione delle risposte del management e negoziazione del wording della descrizione del sistema e dei Complementary User Entity Controls (CUEC).
Operatività durante la finestra di osservazione Type II
Per la finestra di osservazione di 6–12 mesi: sync mensile con i control owner, revisioni trimestrali degli accessi e dei vendor, monitoraggio della qualità delle prove, incident response in retainer e la disciplina che impedisce a un singolo gap di controllo di compromettere il vostro parere.