我们的客户需要对我们的网站进行安全性SSAE-16审计。我对SSAE-16了解不多。所以,我的问题是,这次审计涵盖了哪些领域?我在哪里读到一些,它主要与数据中心有关。他们也需要审核网站吗?如果是,那么审核网站的流程和要求是什么?
SSAE 16旨在报告与客户财务报表审计相关的控制措施。SSAE 16没有像ISO 27001或PCI-DSS那样的预定义控制标准。接受测试的控件由服务组织确定和定义。SSAE 16并不主要用于数据中心,但是,由于SAS70的历史,许多数据中心仍然获得SSAE 16报告。根据您的网站提供的服务类型,还有其他更合适的证明报告。我建议访问AICPA网站http://www.AICPA.org/soc,更好地了解您的需求,然后与声誉良好的注册会计师事务所联系以获得更多指导。