Quels sont les critères des services de confiance ?

15 mai 2025

Les critères de services de confiance (TSC) sont un ensemble de normes utilisées pour évaluer l'efficacité des contrôles d'une organisation liés à la sécurité, au traitement intégrité, confidentialité et disponibilité.

quels sont les critères des services de confiance

Quels sont les critères des services de confiance ?

Les critères de services de confiance désignent un cadre complet conçu pour évaluer l'adéquation et l'efficacité des contrôles d'une organisation sur divers aspects de la protection des données et de la performance des systèmes. Plus précisément, les critères de services de confiance se concentrent sur les principes de sécurité, de disponibilité et de traitement. intégrité, confidentialité et respect de la vie privée. Ce terme est principalement utilisé dans le cadre d'audits, tels que SOC 2 (Contrôles du système et de l'organisation), pour garantir que les organismes de services respectent des exigences strictes en matière de protection des informations sensibles et de fiabilité de leurs systèmes opérationnels.

En évaluant ces critères, les organisations démontrent leur engagement à maintenir des normes élevées en matière de protection des données, de résilience opérationnelle et de confidentialité, essentielles pour instaurer la confiance avec les clients et les parties prenantes. Le TSC propose une approche structurée pour évaluer les contrôles internes d'une organisation, garantissant non seulement leur conformité aux normes du secteur, mais aussi la réduction des risques associés. les violations de données, système les temps d'arrêt, Et d'autres vulnérabilités.

Quels sont les cinq critères des services de confiance ?

Les cinq critères des services de confiance sont :

  • Sécurité. Ce critère porte sur la protection des systèmes et des données contre les accès non autorisés, les attaques et les violations. Il garantit la mise en place de mesures de sécurité appropriées pour prévenir les dommages aux actifs de l'organisation et préserver la confidentialité, l'intégrité et la disponibilité des informations.
  • Disponibilité. Ce critère évalue si les systèmes et services fournis par l'organisation sont disponibles pour l'exploitation et l'utilisation comme convenu. Il implique l'évaluation de la capacité de l'organisation à maintenir Stabilité et répondre accords de niveau de service (SLA).
  • Intégrité du traitementCe critère garantit que les processus du système sont complets, précis et opportuns. Il évalue si le système peut traiter les données de manière cohérente, conformément aux objectifs métier et aux attentes des utilisateurs.
  • Confidentialité. Ce critère vise à garantir que les informations classées confidentielles sont protégées en fonction de leur sensibilité. Il implique de protéger les données sensibles contre tout accès et divulgation non autorisés.
  • Politique de confidentialitéCe critère garantit que les données personnelles sont collectées, utilisées, conservées, divulguées et éliminées conformément aux lois et réglementations en vigueur en matière de confidentialité. Il évalue la capacité de l'organisation à préserver la confidentialité des informations personnelles d'une manière qui respecte les obligations légales et contractuelles.

Critères des services de confiance et intégration COSO

Les critères des services de confiance et le cadre du Committee of Sponsoring Organizations of the Treadway Commission (COSO) sont tous deux essentiels à l'évaluation des contrôles internes d'une organisation, mais ils se concentrent sur des aspects différents de la gouvernance et de la gestion des risques. L'intégration du TSC au COSO peut aider les organisations à adopter une approche globale de la gestion des risques, de la conformité et de l'efficacité du contrôle interne.

Vue d'ensemble critères des services de confiance, Comme mentionné précédemment, ces critères comprennent cinq domaines clés : sécurité, disponibilité, intégrité du traitement, confidentialité et respect de la vie privée. Ces critères sont principalement utilisés dans les audits tels que SOC 2 pour évaluer si les contrôles d'une organisation sont conçus et fonctionnent efficacement pour protéger les données et garantir la fiabilité du fonctionnement des systèmes. Ils aident les organisations à démontrer leur engagement à protéger les données sensibles, à garantir la haute disponibilité des systèmes et à protéger le droit à la vie privée, entre autres.

Vue d'ensemble Cadre COSO, d'autre part, fournit un ensemble plus large et global de principes et de pratiques pour un contrôle interne efficace. Il comprend cinq composantes : l'environnement de contrôle, l'évaluation des risques, les activités de contrôle, l'information et la communication, et la surveillance. Le cadre COSO est couramment utilisé pour évaluer les contrôles internes dans des domaines tels que l'information financière et la conformité aux lois et réglementations, et constitue une norme largement adoptée en matière de gouvernance et de gestion des risques.

Intégration des critères des services de confiance et du cadre COSO

L'intégration du TSC et du COSO crée un environnement de contrôle interne plus robuste pour une organisation, en garantissant une prise en compte adéquate des aspects techniques et organisationnels de la gestion des risques. Cela comprend :

  • Environnement de contrôleL'environnement de contrôle COSO implique de donner le ton au plus haut niveau, en garantissant l'engagement de la direction en matière de sécurité, de disponibilité, d'intégrité des traitements, de confidentialité et de respect de la vie privée. Cela est conforme au TSC, qui exige une supervision de haut niveau des contrôles conçus pour protéger les systèmes et les données.
  • L'évaluation des risquesTSC et COSO soulignent tous deux l'importance de l'évaluation des risques. Les critères de sécurité et de confidentialité de TSC exigent des organisations qu'elles identifient et atténuent les risques pesant sur les informations sensibles, tandis que le volet d'évaluation des risques de COSO garantit que les risques (financiers, opérationnels et de conformité) sont correctement identifiés, évalués et gérés.
  • Activités de contrôle. Les activités de contrôle du COSO garantissent la mise en place de politiques et de procédures pour faire face aux risques identifiés. Cela soutient directement le TSC, notamment dans des domaines tels que l'intégrité et la confidentialité des traitements, où des processus détaillés doivent être conçus pour garantir le traitement précis des données et la protection des informations confidentielles.
  • Information et communication. Les deux référentiels soulignent l'importance de garantir une communication efficace des informations pertinentes au sein de l'organisation. Les critères de confidentialité et de sécurité du TSC exigent que les informations relatives aux pratiques de traitement des données soient communiquées de manière claire et transparente, tandis que le volet du COSO met l'accent sur le rôle de la communication dans la gestion des contrôles internes et la responsabilisation.
  • Le MonitoringLe volet surveillance du COSO garantit l'évaluation et l'amélioration continues des contrôles internes. Cela est conforme aux exigences du TSC en matière de surveillance continue des contrôles, notamment dans des domaines tels que la sécurité et la disponibilité, afin de garantir la sécurité, l'accessibilité et l'absence de vulnérabilités des systèmes.

Critères des services de confiance dans SOC 2

tsc soc 2

Dans le contexte de SOC 2, les TSC sont les normes utilisées pour évaluer les contrôles mis en œuvre par les organisations de services pour protéger les données sensibles, garantir la fiabilité du système et préserver la confidentialité.

SOC 2 est un cadre principalement utilisé pour évaluer la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la protection des données des systèmes et des données d'une organisation. Ces critères permettent de déterminer si les contrôles de l'organisation répondent à des exigences spécifiques pour protéger les informations sensibles et répondre aux attentes de ses clients et parties prenantes.

Les rapports SOC 2 sont généralement utilisés par les entreprises technologiques, en particulier celles qui proposent cloudà base ou SaaS (logiciel en tant que service) solutions, pour démontrer leur engagement à maintenir les normes les plus élevées en matière de protection des données, de confidentialité et de sécurité.

Les cinq critères des services de confiance dans SOC 2 sont :

  • Sécurité. Le critère de sécurité se concentre sur la protection des systèmes contre les accès non autorisés, cyber-attaqueset autres formes d'intrusion. Il évalue si les systèmes et les données d'une organisation sont protégés contre les menaces internes et externes. Les principales mesures de sécurité peuvent inclure : pare-feu, chiffrement, systèmes de détection d'intrusion, et d’autres contrôles techniques qui empêchent l’accès non autorisé ou la modification des données.
  • DisponibilitéCe critère évalue la disponibilité opérationnelle et l'utilisation des systèmes et services de l'organisation. Il évalue la capacité de l'organisation à maintenir la disponibilité et à respecter les accords de niveau de service. Ce critère est essentiel pour les clients qui dépendent de la disponibilité des services pour leurs propres opérations, comme dans le cas des cloud solutions d'hébergement ou SaaS.
  • Intégrité du traitementL'intégrité du traitement garantit que les systèmes traitent les données avec précision, exhaustivité et rapidité. Ce critère évalue si les processus du système fonctionnent correctement et produisent les résultats escomptés, ce qui est essentiel pour les clients qui dépendent de la fiabilité des informations traitées. Cela peut inclure la validation de l'exactitude des transactions, le traitement rapide et la gestion appropriée des erreurs.
  • ConfidentialitéLe critère de confidentialité porte sur la protection des informations sensibles contre tout accès ou divulgation non autorisés. Il évalue la capacité de l'organisation à protéger les données confidentielles telles que la propriété intellectuelle, les secrets commerciaux et les informations personnelles, conformément aux lois sur la confidentialité des données et aux obligations contractuelles. Cela peut inclure le chiffrement, le stockage sécurisé et les protocoles d'accès restreint.
  • Politique de confidentialitéLe critère de confidentialité garantit que les renseignements personnels sont collectés, utilisés, conservés, divulgués et éliminés conformément aux lois pertinentes en matière de confidentialité, telles que la RGPD ou CCPAElle garantit que les organisations mettent en œuvre des pratiques qui protègent les données personnelles, protégeant ainsi les droits à la vie privée des individus tout en respectant les exigences légales et réglementaires.

Critères des services de confiance et autres cadres de conformité

Voici une comparaison du TSC utilisé dans SOC 2 avec d'autres cadres de conformité populaires :

Cadre de conformitéDomaines/critères clésFocusCas d'utilisation typiques
SOC 2 (Critères des services de confiance)Sécurité, disponibilité, intégrité du traitement, confidentialité, vie privéeÉvalue l'efficacité des contrôles internes liés à la sécurité, à la confidentialité, à la disponibilité et à l'intégrité des données pour les organisations de servicesCloud prestataires de services, sociétés SaaS, fournisseurs de services informatiques
SOC 1Objectifs de contrôle pour l'information financière (sans critère de confiance)Se concentre sur les contrôles liés aux rapports financiers, en particulier pour les organisations utilisatrices qui s'appuient sur des services externalisésServices financiers externalisés, services de paie et cabinets comptables
ISO / IEC 27001Sécurité de l'Information Système de gestion (SMSI)Se concentre sur l'établissement, la mise en œuvre et le maintien d'un système de gestion de la sécurité de l'information (SGSI)Entreprises nécessitant un système complet de sécurité de l'information
HIPAA (Loi sur la portabilité et la responsabilité de l'assurance maladie)Sécurité, confidentialité, notification de violation, application de la loiSe concentre sur la protection de la confidentialité et de la sécurité des informations de santé dans le secteur de la santé aux États-UnisOrganismes de santé, prestataires de soins de santé, compagnies d'assurance maladie
GDPR (Règlement général sur la protection des données)Protection des données, confidentialitéProtège les données personnelles et la vie privée des individus au sein de l'Union européenneEntreprises traitant des données personnelles de résidents de l'UE et de sociétés multinationales
PCI DSS (Industrie des cartes de paiement) Data Security La norme)Protection des données, sécurité du réseau, surveillance et contrôle d'accèsSe concentre sur la sécurisation des informations de carte de paiement et garantit des transactions sécurisées pour les titulaires de cartePlateformes de commerce électronique, commerçants, processeurs de paiement, institutions financières
Cadre de cybersécurité du NISTIdentifier, protéger, détecter, réagir, récupérerFournit une approche basée sur les risques pour améliorer l'infrastructure et la résilience de la cybersécuritéEntités gouvernementales, infrastructures critiques, entreprises à la recherche de conseils complets en matière de cybersécurité
FISMA (Loi fédérale sur la modernisation de la sécurité de l'information)Sécurité et ConfidentialitéSe concentre sur la garantie de la protection des systèmes d'information et des données fédéralesAgences fédérales américaines, entrepreneurs et entités travaillant avec des données fédérales
CSA STAR (Cloud Alliance de sécurité (Registre de sécurité, de confiance et d'assurance)Sécurité, confidentialité, gouvernance, risque et conformitéCloud normes de sécurité axées sur la posture de sécurité des cloud les prestataires et la confiance qu'ils établissent avec les clientsCloud fournisseurs, entreprises utilisant cloud services

Exemples de critères de services de confiance

Voici quelques exemples de la manière dont les TSC sont appliqués dans différents scénarios :

  • Sécurité. Un processeur de paiement en ligne met en œuvre authentification multi-facteurs Pour les utilisateurs et les administrateurs. Cela garantit que seules les personnes autorisées peuvent accéder aux informations de paiement sensibles et aux systèmes de traitement, réduisant ainsi le risque d'accès non autorisé ou de cyberattaques.
  • Disponibilité. A cloud le fournisseur d'hébergement déploie un système automatisé backup et reprise après sinistre Solution avec un SLA de disponibilité de 99.9 %. Cela garantit la disponibilité permanente des sites web et des données des clients, même en cas de panne système ou de sinistre imprévu, minimisant ainsi les temps d'arrêt et les interruptions de service.
  • Intégrité du traitement. Un fournisseur de logiciel de support client garantit que toutes les demandes des clients sont automatiquement enregistrées et transmises à l'équipe d'assistance appropriée en quelques minutes. Le système fournit en temps réel mises à jour et confirmations, garantissant l'exactitude des données et le traitement rapide des demandes des clients.
  • Confidentialité. Un cabinet d'avocats utilise le chiffrement pour sécuriser les données confidentielles de ses clients stockées dans sa base de données. De plus, l'accès aux documents sensibles est limité aux seuls employés autorisés, garantissant ainsi que les documents juridiques et les communications clients ne soient pas divulgués à des tiers non autorisés.
  • Intimité. Un prestataire de soins de santé collecte des informations médicales personnelles (IMP) auprès de ses patients, mais applique des procédures strictes de traitement des données. Celles-ci incluent le chiffrement des IMP, en transit comme au repos, ainsi que la possibilité pour les patients d'accéder à leurs données et de les supprimer, conformément aux réglementations en matière de confidentialité comme la loi HIPAA.

Pourquoi les critères des services de confiance sont-ils importants ?

Les critères de services de confiance sont importants car ils offrent aux organisations un moyen structuré et standardisé de démontrer leur engagement à sécuriser et gérer les données, à garantir des services fiables et à protéger la confidentialité des clients. Voici plusieurs raisons clés pour lesquelles les critères de services de confiance sont essentiels :

  • Crée un climat de confiance avec les clients et les parties prenantes. Les organisations qui respectent les critères des services de confiance démontrent leur engagement envers la protection des informations sensibles et le maintien de la fiabilité opérationnelle. Cela renforce la confiance des clients, des partenaires et des parties prenantes, essentielle à la croissance et à la fidélisation de l'entreprise.
  • Améliore la protection et la sécurité des données. Ces critères aident les organisations à mettre en œuvre des mesures de sécurité robustes pour protéger leurs données contre les accès non autorisés, les cyberattaques et les violations. En mettant l'accent sur les aspects de sécurité et de confidentialité, TSC garantit une protection adéquate des informations sensibles.
  • Soutient la conformité réglementaire. De nombreux cadres réglementaires, tels que le RGPD, HIPAA et PCI DSS, recoupent les critères établis par le TSC. Le respect de ces normes aide les organisations à respecter les exigences légales et réglementaires, réduisant ainsi les risques de non-conformité et les sanctions potentielles.
  • Atténue les risques opérationnels. En mettant l'accent sur la disponibilité et l'intégrité des traitements, TSC garantit la résilience, la précision et la disponibilité des systèmes en cas de besoin. Cela minimise les risques de pannes système, d'erreurs de données ou d'interruptions de service susceptibles d'impacter les opérations commerciales et la satisfaction client.
  • Améliore l’efficacité opérationnelle. La mise en œuvre du TSC aide les organisations à rationaliser leurs processus, à identifier les faiblesses et à améliorer leur environnement de contrôle. Elle conduit à une gestion des risques plus efficace et à une réduction des risques. licenciements, et veille à ce que les ressources soient correctement allouées pour maintenir l’intégrité du système.
  • Fournit un avantage concurrentiel. La conformité aux critères des services de confiance démontre qu'une organisation applique les meilleures pratiques du secteur. Cela permet à une entreprise de se démarquer sur des marchés concurrentiels, car les clients sont plus susceptibles de choisir des prestataires de services qui accordent la priorité à la confidentialité. data security, confidentialité et fiabilité opérationnelle.
  • Réduit les risques de violation de données et de responsabilités juridiques. La confidentialité et la protection de la vie privée étant des éléments clés du TSC, les organisations sont mieux armées pour protéger les données clients contre les violations. En respectant ces critères, elles minimisent les risques de violations de données coûteuses, de poursuites judiciaires ou d'atteinte à la réputation.
  • Permet un reporting transparent. La conformité au TSC est souvent vérifiée par des audits externes, tels que les rapports SOC 2. Ces évaluations par des tiers garantissent la transparence et une validation indépendante de l'engagement d'une organisation en matière de protection des données, offrant ainsi une garantie aux clients et aux investisseurs.

Qui maintient les critères des services de confiance ?

Les critères des services fiduciaires sont gérés par l'American Institute of Certified Public Accountants (AICPA). L'AICPA est une organisation professionnelle qui établit des normes d'audit, de comptabilité et de reporting aux États-Unis.

L'AICPA a élaboré les critères des services de confiance dans le cadre du cadre SOC, qui comprend les rapports SOC 1, SOC 2 et SOC 3. Ces critères sont régulièrement révisés et mis à jour par l'AICPA afin de s'adapter à l'évolution des normes du secteur, aux avancées technologiques et aux exigences réglementaires. Le TSC sert de base à l'évaluation des contrôles des organisations de services en matière de sécurité, de disponibilité, d'intégrité des traitements, de confidentialité et de respect de la vie privée, notamment dans le cadre des audits SOC 2 et SOC 3.

L'AICPA s'assure que les critères restent pertinents en consultant des experts et des parties prenantes du secteur, permettant aux organisations de démontrer leur conformité aux meilleures pratiques et d'assurer la protection des données sensibles et l'intégrité du système.

À quelle fréquence les contrôles des critères des services de confiance doivent-ils être mis à jour ?

Les contrôles des critères des services de confiance doivent être mis à jour régulièrement afin de garantir leur efficacité et leur adéquation avec l'évolution des normes de sécurité, de confidentialité et de réglementation. Cependant, la fréquence des mises à jour dépend de divers facteurs, tels que l'évolution des systèmes de l'organisation, l'émergence de nouvelles menaces et l'évolution des exigences réglementaires. Voici quelques lignes directrices concernant le moment opportun pour réviser et mettre à jour les contrôles :

  • Surveillance et mises à jour continues. Les contrôles doivent faire l'objet d'une surveillance continue, et toute lacune ou inefficacité doit donner lieu à une évaluation. Des audits internes réguliers, une surveillance automatisée et la collecte de renseignements sur les menaces permettent d'identifier les domaines dans lesquels les contrôles doivent être mis à jour plus fréquemment.
  • Revue annuelle. Il est recommandé aux organisations de revoir leurs contrôles TSC au moins une fois par an afin de s'assurer qu'ils sont conformes aux normes sectorielles actuelles et à l'évolution des menaces. Une revue annuelle permet aux organisations de rester proactives et de s'adapter aux nouveaux risques, technologies et exigences de conformité. Elle garantit également que toute évolution de l'environnement commercial ou opérationnel se reflète dans les contrôles.
  • Suite à des changements majeurs. Si une organisation subit une mise à niveau majeure du système, un changement d’architecture (par exemple, déménager à la cloud), ou une mise à jour d'infrastructures critiques, il est important de revoir et éventuellement de mettre à jour les contrôles. De même, si l'organisation fusionne avec une autre entreprise ou en acquiert une autre, les contrôles existants doivent être revus afin de garantir leur intégration aux nouveaux processus opérationnels.
  • Après des changements réglementaires ou légaux. Modifications des lois sur la protection des données (par exemple, GDPR, CCPA) ou les réglementations de l'industrie (par exemple, HIPAA, PCI DSS) peuvent nécessiter des mises à jour des contrôles de l'organisation pour garantir une conformité continue avec les nouveaux cadres juridiques.
  • En réponse à des vulnérabilités identifiées ou à des incidents de sécurité. En cas de découverte d'une vulnérabilité ou de violation de données, les contrôles doivent être immédiatement revus afin de garantir la mise en place de mesures appropriées pour prévenir de tels incidents. Cette révision pourrait entraîner un renforcement des politiques de sécurité, l'ajout de nouveaux outils de surveillance ou des modifications des procédures de traitement des données.
  • Dans le cadre des audits SOC 2. Si une organisation subit un audit SOC 2 de type II, qui évalue l'efficacité opérationnelle des contrôles sur une période (généralement de 6 à 12 mois), il est recommandé d'examiner et éventuellement de mettre à jour les contrôles en préparation de l'audit. L'audit SOC 2 évalue si les contrôles de l'organisation sont conçus et fonctionnent efficacement. Il est donc essentiel de s'assurer que les contrôles sont à jour et complets avant l'audit.
Anastasie
Spasojevic
Anastazija est une rédactrice de contenu expérimentée avec des connaissances et une passion pour cloud l'informatique, les technologies de l'information et la sécurité en ligne. À phoenixNAP, elle se concentre sur la réponse à des questions brûlantes concernant la garantie de la robustesse et de la sécurité des données pour tous les acteurs du paysage numérique.