SOC 2, también conocido como Control de Organización de Servicios 2, es un criterio y procedimiento de auditoría Dirigido a empresas y proveedores de tecnología que almacenan datos confidenciales de clientes en la nube.
SOC 2 es un conjunto de pautas para los requisitos de cumplimiento para empresas que utilizan el almacenamiento de datos de clientes basado en la nube. SOC 2 es un componente esencial de la supervisión regulatoria, los programas de gestión de proveedores y la gobernanza de su organización.
SOC 2 es una auditoría técnica y requiere políticas integrales de seguridad de la información y procedimientos a ser escritos y seguidos.
Creado por el Junta de Normas de Auditoría del Instituto Americano de Contadores Públicos Certificados (AICPA), SOC 2 está diseñado expresamente para proveedores de servicios que almacenan datos de clientes en la nube. Esto significa que SOC 2 se aplica a casi todas las empresas SaaS, así como a cualquier empresa que utilice el nube para almacenar datos de clientes y la información de sus clientes.
El propósito de un informe SOC 2 es evaluar una sistemas de información de la organización en relación con su seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.
Antes de 2014, solo las empresas que prestaban servicios en la nube debían cumplir con los requisitos de cumplimiento SOC 1. Actualmente, cualquier empresa que almacene datos de clientes en la nube debe cumplir con los requisitos SOC 2 para minimizar el riesgo y la exposición a esos datos.
Estamos muy contentos de haber encontrado esta solución, hizo que todo encajara más fácilmente.
Eligiendo a proteger contra violaciones de datos No es sólo una estrategia defensiva. También puede ayudar a que su empresa crezca, lo que puede lograr pasando una auditoría SOC 2 para garantizar a los clientes actuales y potenciales que sus datos están a salvo de amenazas maliciosas como infracciones dañinas.
El cumplimiento de SOC 2 puede fortalecer la reputación de una empresa al documentar, evaluar y mejorar sus controles internos.
La certificación tipo 2 no es el único informe SOC que las empresas pueden obtener, pero es uno de los más sólidos.
La certificación SOC 2 Tipo 2 puede beneficiar a las organizaciones de las siguientes maneras:
Un informe SOC 1 se centra en el desempeño de los servicios de subcontratación por parte de organizaciones que son relevantes para los informes financieros de una empresa.
Un informe SOC 2 aborda los riesgos de subcontratación a proveedores externos en áreas que no son información financiera. Estos informes se basan en Criterios de servicios de confianza, que cubre cinco categorías: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.
Los informes SOC 3 son similares a los informes SOC 2. Son informes de uso general que la organización de servicios puede utilizar como herramienta de marketing y proporcionar a clientes potenciales.
Los informes SOC 2 dan fe de la eficacia de los controles internos de una organización de servicios relevantes para cinco Categorías de servicios fiduciarios (anteriormente conocidos como principios de servicios fiduciarios) establecidos por AICPA.
Las organizaciones evaluarán periódicamente la eficacia de sus políticas y procedimientos que rigen el acceso no autorizado a la información y tomar las medidas adecuadas cuando se produzca un incumplimiento.
La información y los sistemas en un necesidad de la organización estar disponibles para su uso y operativos para cumplir los objetivos de la entidad.
El sistema procesa la transacción con precisión, a tiempo y con autorización.
Si los datos se consideran confidenciales, el acceso y la divulgación deben restringirse a un conjunto específico de personas. Los ejemplos incluyen personal de la empresa, planes de negocios, la propiedad intelectual y otra información financiera sensible.
Información de identificación personal (PII) debe recolectarse, usarse, divulgarse y eliminarse de manera segura. Proteger la información de los clientes contra el acceso no autorizado es una prioridad absoluta para las organizaciones de servicios que procesan, almacenan o transmiten datos pertenecientes a clientes externos.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
SOC 2 es un procedimiento de auditoría que garantiza que sus proveedores de servicios gestionen de forma segura sus datos para proteger sus intereses y los de su organización. El cumplimiento de SOC 2 es un requisito mínimo para las empresas preocupadas por la seguridad al considerar un proveedor de SaaS.
SOC 2 no es una lista prescriptiva de controles, herramientas o procesos. Más bien, proporciona los criterios que deben existir para mantener una seguridad de la información sólida. Esto permite que cada empresa adopte prácticas y procedimientos relevantes para sus objetivos y operaciones.
ISMS.online puede proporcionarle una plataforma que le ayudará a lograr el cumplimiento de SOC 2. Cada sección de SOC 2 se detalla en la plataforma segura, lo que facilita su seguimiento. Esto reduce tu carga de trabajo, costos y el estrés de no saber si has hecho todo bien.
Numerosos beneficios del cumplimiento de SOC 2 incluyen:
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Una auditoría SOC 2 solo puede ser realizada por un auditor con una licencia del Contador Público Certificado (CPA) Empresa especializada en seguridad de la información.
Los auditores que realizan auditorías SOC están regulados y deben cumplir con las reglas establecidas por la AICPA.
Además, una auditoría debe seguir directrices específicas relacionadas con la planificación y la ejecución de procedimientos. Los miembros de AICPA también deben someterse a una revisión por pares para garantizar que las auditorías que realizan se realicen de acuerdo con estándares de auditoría aceptables.
Un informe SOC 2 garantiza a los clientes, la administración y las entidades usuarias de las organizaciones de servicios la idoneidad y eficacia de los controles relevantes para la seguridad.
La auditoría SOC 2 generalmente incluye lo siguiente:
Mientras que SOC 2 se refiere a un conjunto de informes de auditoría, ISO 27001 es una norma que establece requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI).
La pregunta tampoco debería ser ISO 27001 o SOC 2, porque SOC 2 es un informe de auditoría e ISO 27001 es un estándar para establecer sistemas de gestión de seguridad de la información. Puede verse como uno de los resultados que puede generar una implementación de SGSI.
Certificación ISO 27001 No es obligatorio crear un informe SOC 2, pero un SGSI ISO 27001 puede proporcionar una base sólida para preparar este documento sin grandes costos ni esfuerzos adicionales. Esto aumentará la confianza de los clientes en que la organización puede proteger su información.
– | ISO / IEC 27001 | SOC 2 |
---|---|---|
Estructura | Estándar internacional | Estándar de certificación |
Destino | TODO EL MUNDO | Con sede en EE. UU. |
¿Qué se audita? | El diseño y la eficacia operativa de su Sistema de Gestión de Seguridad de la Información (SGSI) en un momento dado | Tipo 1: El diseño de controles en un momento determinado. Tipo 2: El diseño y la eficacia operativa de los controles durante un período de tiempo. |
Resultado | Se proporciona un informe de auditoría a dicha organización y un certificado ISO, si se otorga la certificación. | Informe de certificación SOC 2: SOC 2 no es una certificación |
Vencimiento | 3 Años | 1 Año |
Criterios de servicio confiable | Control y requisitos ISO/IEC 27001 |
---|---|
TSC – SEGURIDAD | A.6.1.5 (Seguridad de la información en la gestión de proyectos – 1 control) |
A.6 (Dispositivos móviles y teletrabajo – 2 controles) | |
A.8.1.3 (Uso aceptable de activos – 1 control) | |
A.11.2 (Equipo – 9 controles) | |
A.13 (Seguridad de las comunicaciones – 7 controles) | |
TSC – CONFIDENCIALIDAD | A.8.2 (Clasificación de la información – 3 controles) |
A.13.2 (Transferencia de información – 3 controles) | |
A.9.1 (Requisitos comerciales de control de acceso – 2 controles) | |
A.9.2 (Gestión de acceso de usuarios – 6 controles) | |
A.9.4 (Control de acceso al sistema y a las aplicaciones – 5 controles) | |
TSC – INTEGRIDAD DEL PROCESAMIENTO | A.14 (Adquisición, desarrollo y mantenimiento del sistema – 13 controles) |
TSC – DISPONIBILIDAD | A.17 (Aspectos de seguridad de la información de la gestión de la continuidad del negocio – 4 controles) |
TSC – PRIVACIDAD | A.18.11 (Identificación de la legislación aplicable y requisitos contractuales – 1 control) |
A.18.1.4 (Privacidad y protección de la información de identificación personal – 1 control) |
Ciertamente recomendaría ISMS.online, hace que configurar y administrar su ISMS sea lo más fácil posible.
Descargue nuestra guía gratuita para una certificación rápida y sostenible
Tanto el informe SOC 2 de Tipo I como el II proporcionan una evaluación independiente de la organización de servicios, incluida la descripción de los controles y opiniones de expertos sobre la representación de la dirección. Estos dos tipos de informes también tienen procedimientos iguales para evaluar la idoneidad entre los diseños de sistemas.
La principal diferencia entre SOC 1 y SOC 2 es que SOC 1 se centra en los controles internos de una organización que pueden afectar los estados financieros de los clientes. Por el contrario, SOC 2 se centra en los controles operativos descritos por los Criterios de servicios de confianza de la AICPA.
El trabajo realizado por el auditor del servicio para los informes SOC 2 y SOC 3 es muy similar. Ambos informan según los estándares AICPA, por lo que los controles identificados y probados suelen ser los mismos para ambos informes. La diferencia clave entre estas dos declaraciones está en sus informes. Un SOC 3 es siempre de Tipo II y no tiene la opción de Tipo I. Además, los informes SOC 2 son de uso restringido y están diseñados para ser utilizados por la administración, los clientes y los auditores de sus clientes.
Los informes SOC 3 son menos detallados que los informes SOC 1 y 2 porque contienen poca o ninguna información confidencial. La organización de servicios puede distribuirlos libremente y son más apropiados para documentos de uso general con poco detalle.
Este informe no entra en muchos detalles sobre el sistema y cómo funciona, qué controles se probaron y los resultados de esas pruebas. SOC 3 es una excelente manera de promocionarse ante clientes potenciales, pero, por sí solo, SOC 3 normalmente no satisfaría las necesidades actuales de los clientes ni de sus auditores.