Als onderdeel van de inspanningen om de kwaliteit van onze service te verbeteren, heeft Ctac aanzienlijke stappen gezet om de garantierapportage voor private cloud-infrastructuur uit te breiden. Door een nieuw garantierapport toe te voegen naast het al bestaande ISAE 3402 Type II garantierapport voor SAP- en XV-retailservices, verkrijgen onze klanten zekerheid over onze private cloud-infrastructuurdiensten.
Inspelen op cyber risico’s
Vandaag de dag wordt de wereld geconfronteerd met een toenemende dreiging van cyberaanvallen en geopolitieke verstoringen die van invloed kunnen zijn op digitale infrastructuur. Het toenemende risiconiveau vereist een strakkere controle om de stabiliteit en betrouwbaarheid van (uitbestede) IT-diensten te waarborgen. Toezichthouders anticiperen op het verhoogde risico door nieuwe of bijgewerkte regelgeving op te stellen, zoals NIS2 of DORA.
In 2022 is Ctac een initiatief gestart om het interne risico- en controlekader bij te werken en uit te breiden door infrastructuurcomponenten en beheersprocessen op te nemen. Op basis van wereldwijd geaccepteerde kaders zoals CobIT en de SOC2 Trusted Services Criteria zijn nieuwe risico’s en controles ontworpen en geïmplementeerd om de capaciteit van Ctac om belangrijke procescontroles te beheren, te demonstreren. Gedurende 2023 zijn de geïmplementeerde controles succesvol geauditeerd door een externe auditor (KPMG).
Het effect van deze verandering
Net als voorheen blijft Ctac de cyclus van ISAE 3402 garantierapportage voortzetten voor het interne controlekader en de risicobeheerprocessen voor SAP- en XV-retailservices in de Ctac private cloud. Dit garantierapport omvat alle relevante procescontroles voor accountants van financiële overzichten om de IT-risicobeoordeling en algemene IT-controletests verder uit te werken. Objecten die onder de scope van dit rapport vallen, zijn de SAP- en XV-toepassings- en databaselaag. Het 3402 garantierapport heeft betrekking op de informatiesystemen die informatie verwerken met een directe relatie tot de financiële overzichten: SAP en XV.
Sinds 2023 verstrekt Ctac het nieuwe 3000 infrastructuur garantierapport. Dit rapport behandelt belangrijke infrastructuurprocessen, zoals IT-beveiliging, IT-leveranciersbeheer, IT-levenscyclus- en patchbeheer, firewallbeheer, IT-beschikbaarheidsbeheer, incident-/probleem-/wijzigingsbeheer en meer. Objecten die onder de scope van dit rapport vallen, zijn de besturingssystemen, hypervisor, firewall, netwerkservices en fysieke datacenterinfrastructuur.
Het 3000 infrastructuur garantierapport kan complementair worden gebruikt aan het 3402 garantierapport voor SAP en XV. Op deze manier verkrijgt de klant van Ctac (en diens accountant) zekerheid over het belangrijke IT-risicobeheer voor de gehele IT-stack in de Ctac private cloud.
Trots
Klanten die uitsluitend gebruik maken van de Ctac private cloud-infrastructuur, zal het 3000 garantierapport zekerheid bieden over het belangrijke IT-risicobeheer voor de uitbestede infrastructuurdiensten. Binnen Ctac streven we ernaar om de best mogelijke diensten te leveren en we zijn zeer trots dat onze investeringen in risicobeheer en een volledig herontworpen intern controlekader hebben geleid tot twee garantierapporten die integreren met onze Ctac private cloud-diensten, terwijl we anticiperen op toenemende cyber risico’s en aanstaande regelgevende vereisten.