Overovanie tretích strán (TPA)

Overovanie tretích strán (TPA)

Spoločnosti dnes čoraz častejšie využívajú externých poskytovateľov služieb – od cloudových platforiem až po outsourcing procesov. S tým však rastie aj potreba preukázať klientom, partnerom a regulátorom, že tieto služby sú riadené bezpečne, transparentne a s primeranými kontrolnými mechanizmami.

Overovanie tretích strán poskytuje nezávislé uistenie o tom, že organizácia má nastavené a fungujúce kontrolné procesy v oblastiach, ktoré sú kritické pre jej klientov – najmä v oblasti bezpečnosti informácií, IT prostredia alebo finančného výkazníctva.

BDO pomáha organizáciám posudzovať a overovať ich kontrolné prostredie alebo kontrolné mechanizmy ich dodávateľov. Výsledkom je odborná správa, ktorá poskytuje jasný pohľad na nastavenie kontrol, identifikované riziká a odporúčania na ich zlepšenie.

Pri realizácii overovania vychádzame z dôkladného porozumenia prostredia organizácie, jej služieb a rizík. Vďaka tomu dokážeme pripraviť výstupy, ktoré sú prakticky využiteľné pre manažment, klientov aj regulačné orgány.



Služby

ISO 27001

Norma ISO 27001 sa zameriava na zavedenie a udržiavanie ISMS (systému riadenia bezpečnosti informácií), ktorý predstavuje systematický prístup k riadeniu ochrany údajov.

Na získanie tejto certifikácie je potrebné vykonať posúdenie rizík, definovať a implementovať bezpečnostné kontroly a pravidelne preverovať ich účinnosť.

ISAE 3402

ISAE 3402 je mechanizmus nezávislého uistenia tretej strany (najmä poskytovateľov služieb) vo forme SOC reportov (Service Organization Controls).

SOC reporting

  • SOC 1 – kontroly, ktoré môžu mať vplyv na finančné výkazníctvo.
  • SOC 2 – kontroly v oblasti IT založené na piatich princípoch dôveryhodnosti.
  • SOC 2+ – rozšírené uistenie IT kontrol doplnené o ďalšie kritériá.
  • SOC 3 – všeobecnejšia verejná verzia správy o IT kontrolách.
ISAE 3402

ISAE 3402 (International Standards for Assurance Engagements) je globálny štandard pre vykazovanie kontrol v organizáciách poskytujúcich služby.

Do platnosti vstúpil 15. júna 2011, najmä ako reakcia na prijatie legislatívy Sarbanes-Oxley (SOX) po finančných škandáloch spoločností Enron a WorldCom. Cieľom tejto legislatívy bolo posilniť transparentnosť finančného výkazníctva a chrániť akcionárov aj verejnosť pred účtovnými chybami a podvodnými praktikami.

ISAE 3402 nadväzuje na starší štandard SAS 70 (Statement on Auditing Standards No. 70), ktorý definoval metodiku posudzovania interných kontrol organizácií. SAS 70 vypracoval Americký inštitút certifikovaných účtovníkov (AICPA).

ISAE 3402 umožňuje nezávislému audítorovi posúdiť, či má servisná organizácia nastavené primerané kontrolné mechanizmy a či tieto kontroly skutočne fungujú.

Podľa ISAE 3402 sa audítorské správy klasifikujú do dvoch typov:

Typ I

Audítor posudzuje nastavenie a existenciu kontrolných mechanizmov k určitému dátumu a hodnotí ich schopnosť zabrániť nesrovnalostiam alebo chybám vo finančných procesoch.

Typ II

Správa typu II obsahuje rovnaké informácie ako typ I, no zároveň hodnotí aj reálnu účinnosť kontrol počas určitého obdobia, ktoré zvyčajne zahŕňa minimálne šesť mesiacov.

SOC reporting

Rámec SOC (Service Organization Controls) poskytuje nezávislé uistenie o kontrolnom prostredí organizácií, ktoré poskytujú služby svojim klientom.

SOC reporty vznikli v reakcii na rastúce regulačné požiadavky a potrebu transparentnosti v oblasti riadenia rizík, bezpečnosti informácií a finančného výkazníctva.

Metodiku SOC vypracovala organizácia AICPA a zahŕňa tri hlavné typy reportov: SOC 1, SOC 2 a SOC 3.

SOC reporty pripravujú nezávislé audítorské spoločnosti a poskytujú klientom dôveryhodné informácie o kontrolách servisnej organizácie.

Preassessment

V úvodnej fáze preassessment auditor analyzuje aktuálny stav riadenia rizík kybernetickej bezpečnosti organizácie. Cieľom je identifikovať nedostatky v dokumentácii alebo procesoch a pripraviť organizáciu na následný SOC audit.

Táto fáza môže trvať niekoľko mesiacov až viac než rok v závislosti od vyspelosti existujúceho programu riadenia rizík.

SOC 1

SOC 1 sa zameriava na kontrolné mechanizmy, ktoré môžu ovplyvniť finančné výkazníctvo klienta. Hodnotí účinnosť interných kontrol servisnej organizácie relevantných pre audit účtovnej závierky.

SOC 2

SOC 2 hodnotí kontrolné mechanizmy v oblasti IT a bezpečnosti podľa piatich princípov dôveryhodnosti:

  • Bezpečnosť
  • Dostupnosť
  • Integrita spracovania
  • Dôvernosť
  • Ochrana súkromia

SOC 2+

SOC 2+ rozširuje rámec SOC 2 o ďalšie bezpečnostné štandardy a regulačné požiadavky. V praxi často kombinuje viacero rámcov, napríklad:

  • ISO 27001
  • HITRUST
  • NIST
  • Cloud Controls Matrix

SOC 3

SOC 3 obsahuje podobné informácie ako SOC 2, avšak v skrátenej forme určenej pre širšiu verejnosť. Na rozdiel od SOC 2 neobsahuje detailné testovanie kontrol a môže byť verejne publikovaný napríklad na webovej stránke organizácie.


Prečo spolupracovať s BDO?

BDO poskytuje služby v súlade so špecifickými požiadavkami európskych regulátorov (napr. ECB, EBA, ESMA) a štandardmi ako DORA, NIS2 či ISO/IEC 27001. Naša metodika kombinuje statické a dynamické testovanie aplikácií, znalosť regulácií a hlboké technické know-how – vrátane prístupu, ktorý reflektuje špecifické aplikačné riziká a sektorové hrozby v európskom finančnom prostredí.

  • Znalosť regulačného rámca
    Rozumieme požiadavkám DORA, NIS 2 a vieme prispôsobiť testy tak, aby sa výstupy dali využiť pri dohľade a audite. Pomáhame nastaviť testovaciu stratégiu a zabezpečujeme jej súlad s inými typmi testovania (TLPT, penetračné testy).
  • Nezávislosť a dôveryhodnosť
    Ako nezávislá konzultačná firma ponúkame objektívne a dôveryhodné výsledky. Naša práca je signálom kvality pre regulátorov a interné vedenie klienta.


Technická odbornosť a skúsenosti
Náš tím má hlboké skúsenosti s reverzným inžinierstvom, analýzou binárneho kódu a testovaním klientskych aplikácií v prostredí Windows. Používame špičkové nástroje ako IDA, Ghidra, Burp Suite, WinDbg alebo fuzzery (napr. AFL++, libFuzzer). Naši špecialisti sú certifikovaní organizáciami OSCP, CRTP, ECPPT, BSCP, CEH, CRT, CPSA, CISSP, CCISO a ďalšími. Má skúsenosti s testovaním veľkých bánk, poisťovní a poskytovateľov IKT a má skúsenosti s testovaním aplikácií pre banky, poisťovne a poskytovateľov služieb e-governmentu.

CISO CISSP OSCP eCPPT PenTest RedTeam CEH CREST BURPSuite

Hlavná kontaktná osoba

Martin Hořický
Martin Hořický
Manager • CISO
i View bio