Você deve esperar que um serviço tenha uma auditoria de SSAE 16 anualmente . Embora este não seja um requisito estrito do padrão, os requisitos regulatórios mudam, novas tecnologias são adicionadas ao ambiente, etc. Um relatório desatualizado pode não ser útil.
While we will stop short of calling it an annual "requirement", customers and other intended users of SSAE 16 Type II reports will come to expect - and demand - such reporting on an annual basis. The "one and done" approach unfortunately does not work in today's world of growing regulatory compliance mandates.