SOC 2.

SOC 2 es el informe de atestación de la AICPA sobre los controles de una organización de servicios, que abarca cinco criterios de confianza (seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad). Es el estándar canónico norteamericano para proveedores SaaS; ISO 27001 es su equivalente europeo. Tipo I = momento puntual; Tipo II = eficacia operativa durante 6 a 12 meses. Frecuentemente exigido en procesos de compra empresarial.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyAudit & complianceAll entries

La perspectiva de Cyber Academy

SOC 2 es el informe de atestación de la AICPA sobre los controles de una organización de servicios, que abarca cinco criterios de confianza (seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad). Es el estándar canónico norteamericano para proveedores SaaS; ISO 27001 es su equivalente europeo. Tipo I = momento puntual; Tipo II = eficacia operativa durante 6 a 12 meses. Frecuentemente exigido en procesos de compra empresarial.

Qué acredita realmente SOC 2

SOC 2 no es una certificación que se apruebe o se suspenda. Es un informe de atestación elaborado por una firma de CPA con licencia conforme a las normas de atestación de la AICPA, en el que un auditor independiente expresa una opinión sobre si los controles de una organización de servicios están diseñados de forma adecuada y, para el Tipo II, funcionan eficazmente durante un periodo. El alcance se construye en torno a los Trust Services Criteria: seguridad (la única categoría obligatoria, también llamada common criteria), disponibilidad, integridad de procesamiento, confidencialidad y privacidad. Usted elige cuáles de los cinco se aplican al servicio que ofrece, y el informe se dimensiona según esa elección.

Dado que es una opinión sobre una descripción que redacta la dirección, dos informes SOC 2 rara vez son idénticos. Un proveedor puede limitar el alcance solo a la seguridad; otro puede añadir disponibilidad y confidencialidad. Leer el informe significa leer la descripción del sistema, los criterios incluidos en el alcance, las pruebas realizadas y, sobre todo, cualquier excepción que el auditor haya señalado. Un informe sin salvedades con un alcance ajustado puede ser una evidencia más débil que un informe con excepciones menores en un alcance amplio.

Tipo I frente al Tipo II

La distinción que más importa a los profesionales es la del Tipo I frente al Tipo II. El Tipo I es una instantánea: el auditor opina que los controles están diseñados de forma adecuada en una única fecha. Demuestra que los controles existen sobre el papel y estaban implantados ese día. El Tipo II es el que realmente quieren los compradores corporativos, porque el auditor comprueba si esos controles funcionaron eficazmente durante un periodo de revisión que suele abarcar de seis a doce meses, muestreando evidencia a lo largo del mismo. Un Tipo II responde a la verdadera pregunta de compras: ¿hizo el proveedor esto de forma constante, y no solo el día de la auditoría?

SOC 2 Tipo I vs Tipo II
DimensiónTipo ITipo II
Qué se pruebaDiseño de los controlesDiseño y eficacia operativa
Marco temporalUn único momento en el tiempoUn periodo de revisión (habitualmente de 6 a 12 meses)
EvidenciaControles implantados en la fechaEvidencia muestreada a lo largo del periodo
Uso típicoPrimer informe, proveedores en fase inicialLo que esperan las compras corporativas

SOC 2 junto a ISO 27001

SOC 2 e ISO 27001 responden a la misma preocupación del comprador desde dos tradiciones. SOC 2 es la señal canónica norteamericana, una atestación de auditor vinculada a los Trust Services Criteria y renovada según un periodo recurrente. ISO 27001 es la norma internacional y certificable construida en torno a un sistema de gestión (el SGSI), con la certificación emitida por un organismo acreditado y mantenida mediante auditorías de seguimiento. SOC 2 informa sobre los controles frente a criterios; ISO 27001 certifica que usted opera un sistema en funcionamiento con una Declaración de Aplicabilidad y mejora continua. Muchos proveedores que venden a ambos lados del Atlántico acaban teniendo ambos, y la evidencia de control se solapa en gran medida aunque los entregables difieran.

En la práctica, los equipos de GRC tratan ambos como complementarios en lugar de competidores. Los mismos controles de acceso, la gestión de cambios, el tratamiento de vulnerabilidades y la respuesta a incidentes alimentan tanto el conjunto de controles del Anexo A de ISO 27001 como los common criteria de SOC 2. El trabajo consiste en mapear una vez y presentar dos veces.

Frequently asked questions

01¿Es SOC 2 una certificación?

No. SOC 2 es un informe de atestación con la opinión de un auditor, no un certificado de aprobado/suspenso. No hay ningún certificado que exhibir; lo que existe es un informe que emite una firma de CPA, que usted comparte bajo NDA con clientes y prospectos.

02¿Deberíamos obtener el Tipo I o el Tipo II?

El Tipo I es un primer paso razonable para demostrar que sus controles están diseñados correctamente, y puede emitirse con mayor rapidez. La mayoría de los compradores corporativos esperan en última instancia el Tipo II, porque demuestra que los controles funcionaron eficazmente durante un periodo sostenido.

03¿Necesitamos los cinco Trust Services Criteria?

No. La seguridad (los common criteria) es la única categoría obligatoria. Usted añade disponibilidad, integridad de procesamiento, confidencialidad o privacidad en función de los compromisos que adquiere con sus clientes y de la naturaleza de su servicio.

04¿Cómo se relaciona SOC 2 con ISO 27001?

Cumplen el mismo propósito de confianza mediante mecanismos diferentes. SOC 2 es una atestación centrada en EE. UU. frente a los Trust Services Criteria; ISO 27001 es una certificación internacional de un sistema de gestión de la seguridad de la información. Los controles subyacentes se solapan sustancialmente, por lo que la evidencia recopilada para uno respalda en gran parte al otro.

05¿Con qué frecuencia se renueva un informe SOC 2?

Los informes SOC 2 Tipo II cubren un periodo de revisión definido y suelen actualizarse en un ciclo recurrente para que los clientes siempre dispongan de una cobertura vigente. Los proveedores planifican el periodo de auditoría de modo que no haya brecha entre informes consecutivos.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.