Contrôles des systèmes et des organisations
Les rapports Contrôles des systèmes et des organisations (System and Organization Controls, ou SOC) de Smartsheet sont des rapports d’examen de tiers indépendants, qui décrivent comment Smartsheet met en place des contrôles et atteint des objectifs clés de conformité.
Ces rapports sont conçus pour apporter aux clients de Smartsheet des informations détaillées et une garantie sur les contrôles de Smartsheet ayant trait à la sécurité et la disponibilité des systèmes que Smartsheet utilise pour traiter les données des utilisateurs et sur la confidentialité des informations traitées par ces systèmes. Smartsheet propose actuellement aux clients les rapports suivants :
- Smartsheet SOC 2 Type 2, à la disposition de nos clients actuels ou potentiels au moyen du formulaire de demande sur la sécurité et la gouvernance
- Smartsheet SOC 3, un rapport de l’évaluateur de Smartsheet à la disposition du public
Questions sur les SOC
De plus en plus, les entreprises externalisent des fonctions de base comme le stockage des données et l’accès aux applications auprès de prestataires de services cloud (Cloud Service Providers, ou CSP). En réponse, l’institut américain des comptables publics certifiés (American Institute of Certified Public Accountants, ou AICPA) a développé le cadre SOC, une norme pour les contrôles qui protègent la confidentialité des informations stockées et traitées dans le cloud. Cela correspond à la norme internationale de missions d’assurance (International Standard on Assurance Engagements, ou ISAE), c’est-à-dire à la norme de production de rapports pour les organisations de service internationales.
Un audit SOC 2 mesure l’efficacité du système d’un CSP sur la base des principes et critères des services de confiance de l’AICPA. Les rapports SOC 2 et SOC 3 sont basés sur un engagement d’attestation conforme aux normes d’attestation (Attestation Standards, ou AT), section 101.
À la fin d’un audit SOC 2, l’auditeur des services exprime une opinion dans un rapport SOC 2 de type 2. Il y décrit le système du CSP et évalue si la description que le CSP a faite de ses propres contrôles est adéquate. Il évalue également si les contrôles du CSP sont conçus de façon appropriée, s’ils étaient en fonction à une date précise et s’ils fonctionnaient réellement au cours d’une période précise.
Les auditeurs peuvent également créer un rapport SOC 3 : une version abrégée du rapport d’audit SOC 2 type 2 pour les utilisateurs souhaitant vérifier que les contrôles du CSP sont adéquats, mais qui n'ont pas besoin du rapport SOC 2 complet. Un rapport SOC 3 peut être accordé uniquement si le CSP bénéficie d’une opinion d’audit sans réserve pour le SOC 2.
Si vous avez des questions supplémentaires, auxquelles vous ne trouvez pas de réponse ci-dessus, ou si vous souhaitez demander un exemplaire de notre rapport SOC2 le plus récent, veuillez remplir ce formulaire et un ingénieur sécurité de Smartsheet vous contactera.