In de ISAE 3402 standaard is een beperkte verspreidingskring en een geheimhoudingsverplichting opgenomen. Uiteindelijk is de publicatie de verantwoordelijkheid van de service organisatie. Onderstaand is de regelgeving ten aanzien van publicatie weergeven en is ook opgenomen op welke wijze SCG omgaat met uw vertrouwelijke informatie en welke informatie gepubliceerd wordt op isae3402.nl.
In de definities van de ISAE 3402 standaard wordt gesproken over een "type I report" en een "type II report". Daarnaast wordt "the service auditor's assurance report" onderscheiden. Indien in de standaard gesproken wordt over "the report", dan wordt de laatste bedoeld; het service auditor's assurance report.

Artikel ISAE 3402.53

In de ISAE 3402 standaard is in artikel 53 sub e opgenomen dat; 'the report and the description of tests of controls are intended only for user entities and their auditors, who have a sufficient understanding to consider it'. Artikel 53 ziet toe op het gebruik van de service auditor's assurance report en de description of test of controls, ofwel de door de service auditor verrichte werkzaamheden. Deze mogen niet openbaar gemaakt worden. Dit is de reden dat ISAE 3402 assurance rapportages niet publiekelijk beschikbaar zijn.

Artikel ISAE 3402.A48

Daarnaast is in artikel A48 opgenomen dat; 'the service auditor may consider it appropriate to include wording that specifically restricts distribution of the assurance report other than to intended users, its use by others, or its use for other purposes'. Volgens artikel A48 mag een service auditor informatie opnemen over de restrictie van het gebruik, gebruik door derden of gebruik voor andere doeleinden. Een service auditor kan beslissen om een bredere verspreidingskring toe te staan, mits voldaan is aan artikel 53.

Publicatie

ISAE 3402 is geen marketinginstrument, er is geen expliciete bepaling opgenomen dat een organisatie niet kenbaar mag maken dat zij beschikt over een ISAE 3402 rapportage. Voor regelgeving hieromtrent wordt ook verwezen naar het audit allert van NOREA. Er wordt op diverse nieuwssites en op de sites van serviceorganisaties melding gemaakt van de ISAE 3402 rapportage van organisaties. SCG verwerkt gegevens over ISAE 3402 rapportages op verzoek van serviceorganisaties in haar register en is als zodanig uitsluitend een informatieve nieuwssite.

Vertrouwelijkheid

Inschrijving in het ISAE 3402 register is vrijwillig en niet verplicht. Alle rapportages die door SCG worden ontvangen, worden uiterst vertrouwelijk behandeld en in een beveiligde omgeving gearchiveerd en zullen niet worden gedeeld met niet betrokken partijen. Het is raadzaam om uw service auditor expliciet te verzoeken of deze toestaat om de ISAE 3402 rapportage te vermelden op uw eigen site als nieuwsbericht, en op één van de sites van de SCG in overeenstemming met artikel ISAE3402.A48. De SCG vraagt ISAE 3402 rapportages op om de kwaliteit van haar register te waarborgen.

Non-exclusief

SCG registreert alle ISAE 3402 rapportages in haar register na een beperkte toetsing volgens haar eigen criteria. Dat betekent dat alle ISAE 3402 waarvan vastgesteld kan worden dat deze getoetst is door een serviceauditor in het register worden geregistreerd. De stichting geeft geen oordeel over de assurance rapportage of over inhoudelijke aspecten.