La norme internationale sur les missions d'assurance (ISAE) 3000 est une norme qui est appliquée pour les audits des contrôles internes, de la durabilité et de la conformité aux lois et règlements. Le rapport ISAE 3000 de type 2 est une auto-évaluation qui est ensuite vérifiée par une tierce partie indépendante, et fournit une assurance sur la pertinence de la conception et de l'existence des contrôles sur une période donnée.
Ce rapport vérifie l'efficacité des contrôles internes du centre de données utilisé par l'indagia pour soutenir le respect de certaines exigences de la FINMA (l'autorité suisse de surveillance des marchés financiers) applicables aux clients de services financiers réglementés."
Le rapport couvre les exigences des circulaires suivantes de la FINMA :
Circulaire FINMA 2018/03 «Externalisation - banques et assureurs» (21.09.2017).
2008/21 Circulaire FINMA «Risques opérationnels - Banques» (20.11.2008) - Principale 4 Infrastructure technologique.
2008/21 Circulaire FINMA «Risques opérationnels - Banques» (20.11.2008) - Annexe 3 Traitement des données électroniques d'identification des clients.
2013/03 Circulaire FINMA «Audit» (06.12.2012) - Technologies de l'information.
L'Organisation internationale de normalisation (ISO) est une organisation internationale indépendante et non gouvernementale qui regroupe 163 organismes nationaux de normalisation. La famille de normes ISO/IEC 27000 aide les organisations à sécuriser leurs actifs informationnels.
La norme ISO/IEC 27001 présente et fournit les exigences pour un système de gestion de la sécurité des informations, spécifie un ensemble de bonnes pratiques et détaille une liste de contrôles de sécurité permettant de gérer les risques liés à l'information.
L'infrastructure utilisée par l'indagie est certifiée conforme à la norme ISO/IEC 27001. La norme 27001 n'impose pas de contrôles spécifiques de la sécurité des informations, mais le cadre et la liste de contrôle qu'elle établit permettent à nos fournisseurs de garantir un modèle de gestion de la sécurité complet et en constante amélioration.
Le rapport SOC 1 décrit les contrôles d'une organisation de service pouvant être pertinents pour des rapports financiers. Google Cloud Platform est régulièrement soumis à des audits tiers afin de certifier certains produits au regard de cette norme.
SSAE 16/ISAE 3402 Type II
Le conseil des normes d'audit de l'AICPA (American Institute of Certified Public Accountants) a établi la certification SSAE 16 (Standards for Attestation Engagements No. 16) pour rester en phase avec les normes comptables internationalement reconnues.
La certification SSAE 16 coïncide avec la norme ISAE 3402 (International Standard on Assurance Engagements 3402).
Elles permettent toutes deux à une tierce partie objective de générer un rapport attestant des déclarations qu'une organisation fait valoir quant à ses contrôles. Le cadre SOC (Service Organization Controls) est la méthode qui sert à mesurer le contrôle des informations financières.
L'infrastructure de nos fournisseurs est périodiquement auditée par une tierce partie afin de certifier les produits individuels par rapport à cette norme.