SAS-70（包括 Type II）不是认证标准。这是对您声称要做的事情的声明，并附有审计师证明您按照您所说的去做的证明。您可以非常灵活地定义您所做的事情，因此没有两个 SAS-70 完全相同。我不知道您指的是哪个 SEC 规则，但 SAS-70 无论如何都不是一个精确定义的认证，所以它们很难与其他任何东西进行比较。

SAS-70 报告旨在表明审计师已经看到接受审查的公司执行了被审查公司列举的某些行动。我们在这里用来展示 SAS-70 特性的一个示例是，我们可以查看“我们所有的垃圾桶都是圆形的”这一要求。

当您外包对您的业务至关重要的功能时，您通常仍对该功能负责。SAS-70 表明您的服务提供商已经实施了某些控制措施。希望从他们的服务提供商那里收到报告的人已经审查了报告，以确保这些控制是明智的。

请记住，对于 SAS-70，客户会列举他们的控制，以及它们是否真的有意义或是否满足特定的业务需求并不是审查的一部分。您希望看到的是 Type-II（整个测试期间的控制措施），并且您希望确保您觉得这些控制措施是有效的。

虽然我们正在使用它，但我们所知道的 SAS-70 已于今年死亡。将来，您会查找 SOC-1、SOC-2 或 SOC-3 报告。见http://www.ssae16.org/ssae-16-reporting/aicpa-soc-reporting-framework.html