SOC 2® es un marco diseñado para que firmas y agencias de contabilidad certificadas lo utilicen para auditar, evaluar y atestiguar los procesos y controles que una empresa ha implementado para gestionar y proteger los datos del cliente. El Instituto Americano de Contadores Públicos Certificados (AICPA) desarrolló SOC 2 en torno a cinco principios de confianza: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.

En este artículo, profundizaremos en las particularidades de los cinco principios de servicios de confianza. También discutiremos qué implica cada principio, a quién se aplica y los criterios probados como parte de cada principio. El objetivo es ayudarle a determinar qué principios de confianza se aplican a su organización y cómo puede cumplir con los estándares especificados.

¿Qué son los principios de confianza SOC 2?

Los principios de confianza fueron establecidos por el AICPA en 2016 para evaluar e informar sobre los controles relevantes de una organización para la información y los sistemas con el fin de evaluar su cumplimiento SOC 2.

En el documento de Principios y Criterios de Servicios de Confianza (TSPC) de 2016, el AICPA especificó cinco principios principales:

1. Seguridad
2. Disponibilidad
3. Integridad del procesamiento
4. Confidencialidad
5. Privacidad

Este documento también proporcionaba criterios para cada principio de servicios de confianza que debían ser cumplidos por los controles del sistema que las organizaciones implementaban, conocidos como criterios de servicios de confianza aplicables o criterios de atestación. Durante un examen SOC 2, un auditor evaluaría entonces la idoneidad del diseño y/o la efectividad operativa de los controles del sistema destinados a cumplir con los criterios para los principios de servicios de confianza relevantes.

¿Cómo se relacionan los TSPC 2016 con los Criterios de Servicios de Confianza 2017?

Los TSPC 2016 fueron reemplazados por los Criterios de Servicios de Confianza (TSC) 2017 el 15 de diciembre de 2018. Aunque el nombre cambió, los TSC se refieren a las mismas cinco categorías: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. El propósito también sigue siendo el mismo: ofrecer un marco para evaluar los controles relevantes para la información y los sistemas para el cumplimiento SOC 2.

Aunque continuaremos refiriéndonos a “principios de confianza” a lo largo del blog, la información a continuación refleja la información más actualizada en los TSC 2017.

¿Son todos los principios de confianza necesarios para la auditoría SOC 2?

Su organización no está obligada a auditar y certificar cada principio de servicios de confianza en el informe de auditoría SOC 2.

La seguridad es el único principio requerido para cumplir con SOC 2. Los demás son opcionales, pero se recomiendan dependiendo de la naturaleza de su negocio.

Debe seleccionar principios que sean relevantes para los servicios que proporciona o las demandas de los usuarios a los que sirve.

Por ejemplo, si maneja una gran cantidad de datos sensibles o personales, entonces puede considerar la confidencialidad o la privacidad, respectivamente. Hablaremos más de esto a continuación.

Echemos un vistazo más de cerca a cómo puede seleccionar los principios de confianza SOC 2 que son relevantes para su organización y clientes.

Cómo seleccionar principios de confianza para la auditoría SOC 2

El cumplimiento de SOC 2 es único para cada organización. Debido a esto, no existe una fórmula universal para seleccionar los principios de servicios de confianza para un examen SOC 2. La elección debe basarse en varios factores, incluyendo:

• los servicios que proporciona
• demandas de la entidad usuaria
• obligaciones contractuales
• requisitos legales
• tipo de datos dentro de su sistema

Según el AICPA, los principios de confianza que seleccione deben ser adecuados. Define los atributos de adecuado de la siguiente manera.

• Relevancia. Los criterios deben ser admisibles al tema en cuestión.
• Objetividad. También debería estar libre de sesgos.
• Medibilidad. Debería permitir mediciones consistentes cuantitativas o cualitativas del tema en cuestión.
• Completitud. Los criterios no deberían ignorar factores relevantes que podrían influir en el proceso de toma de decisiones de los usuarios previstos.

Tener un conocimiento profundo de cada principio de servicios de confianza y los criterios aplicables puede ayudarle a seleccionar los que son adecuados para su organización y clientes. Echemos un vistazo más de cerca a ellos a continuación.

Principios de servicios de confianza: Cumpliendo con los requisitos de atestación SOC 2

Como se mencionó anteriormente, los principios de confianza que seleccione informan sus criterios de atestación.

Sus criterios de atestación son tan simples o complejos como los principios de confianza que elija. Lo más simple que puede obtener es probar solo la seguridad, que es obligatoria. Sin embargo, puede que tenga que agregar otros principios en función de los servicios que proporciona u otros factores que hemos mencionado.

En ese caso, un conjunto completo de criterios SOC 2 puede consistir solo en los criterios comunes, utilizados para probar el principio de servicios de confianza de seguridad. O puede consistir en los criterios comunes y criterios específicos adicionales para la integridad del procesamiento, disponibilidad, confidencialidad y privacidad.

Hablemos de cada principio de servicios de confianza y sus criterios aplicables a continuación, comenzando con la seguridad.

Seguridad

La violación de datos de Microsoft en 2019, que expuso más de 250 millones de registros de usuarios, fue una llamada de atención para las organizaciones basadas en tecnología. Sirvió como evidencia de que ninguna organización está a salvo de violaciones de datos.

Como proveedor de SaaS, todo lo que puedes hacer es implementar sistemas útiles de seguridad de datos y controles internos para repeler estas amenazas.

Tus clientes quieren ver evidencia de sistemas de seguridad adecuados antes de que firmen cualquier acuerdo contigo. Aquí es donde resulta útil el TSP de seguridad.

La seguridad se refiere a la protección de los datos durante su creación, recopilación, procesamiento, almacenamiento, uso y transmisión. Proporciona criterios que puedes usar para auditar y evaluar qué tan efectivo es tu sistema de seguridad para proteger los datos del usuario.

Los criterios probados como parte del TSP de seguridad se definen como los criterios comunes (serie CC).

Criterios comunes

Los criterios comunes te guían al desarrollar, implementar y operar controles sobre la seguridad. Proporciona las secciones de criterios específicos adecuadas para auditar y evaluar los controles de seguridad para lograr los objetivos de los sistemas.

Los criterios comunes establecen los 17 principios de control interno del marco del Committee of Sponsoring Organization of the Treadway Commission (COSO).

Proporciona los criterios para abordar:

• CC1 — Ambiente de control: Cubre los primeros cinco principios del marco COSO de 2013. Esto incluye el compromiso de la entidad de servicio con valores éticos e integridad, la independencia de la junta directiva, estructuras y líneas de reporte, y la responsabilidad de las personas encargadas de los controles internos.
• CC2 — Comunicación e información: Trata los principios 13-15 de COSO, incluyendo secciones como la generación de información de calidad, la comunicación interna de la información y la comunicación con partes externas sobre asuntos que afectan cómo funcionan los controles internos.
• CC3 — Evaluación de riesgos: Trata los principios seis a nueve de COSO, incluyendo la identificación y evaluación de riesgos, el análisis de factores de riesgo internos y externos, y la evaluación del tipo de fraude. Más allá de eso, cubre la evaluación de los cambios en el modelo de negocio y el entorno externo que podrían impactar el control de seguridad interno.
• CC4 — Monitoreo de controles: Trata los principios 16-17 del marco COSO de 2013, incluyendo una evaluación para determinar si los controles internos están presentes y funcionando. También verifica si la evaluación y comunicación de las deficiencias de los controles internos se realiza a tiempo.
• CC5 — Actividades de control: La última categoría cubre los principios 10-12. Prueba si los controles internos relevantes responsables de la mitigación de riesgos están presentes. También busca descubrir si estos controles se verifican de manera continua.

Disponibilidad

Como Mark Russinovich, Director de Tecnología en Microsoft Azure, afirma, “Los incidentes de servicio como las interrupciones son una inevitabilidad desafortunada de la industria tecnológica.” En otras palabras, no puedes garantizar un 100% de tiempo de actividad del sistema.

Sin embargo, tus clientes quieren que los datos y los recursos del sistema estén disponibles para su operación. Esto es particularmente cierto para los proveedores de servicios en la nube que ofrecen servicios de computación en la nube o almacenamiento de datos en la nube.

Si ofreces una plataforma de entrega continua y/o implementación continua (CI/CD), una interrupción impide que los clientes construyan o implementen cambios en sus servicios. Tus clientes requerirán que agregues la disponibilidad en un informe SOC 2 como una garantía de mínima interrupción del servicio. Además, si tienes una gran base de clientes que depende de tu servicio o plataforma, entonces puede que también desees incluir la disponibilidad en el alcance de tu auditoría.

El TSP de disponibilidad se refiere a la accesibilidad de los recursos y datos que utilizan tus sistemas, así como a los servicios y productos que proporcionas a los clientes. Proporciona a los clientes la seguridad de que alcanzarás los niveles de rendimiento requeridos para satisfacer sus necesidades.

Este TSP no define los niveles mínimos aceptables de rendimiento. En cambio, deja espacio para que los proveedores de servicios y las entidades usuarias establezcan y acuerden los niveles requeridos. Sin embargo, también exige que tus sistemas tengan los controles adecuados para facilitar la accesibilidad para el monitoreo, las operaciones y el mantenimiento.

Para ayudarte a prepararte para la certificación SOC 2, AICPA establece tres criterios adicionales para la disponibilidad (serie A).

Debes:

• A1.1: Monitorear, evaluar y mantener la capacidad de procesamiento actual y aplicar componentes del sistema para mantener la demanda de capacidad. También debe permitir el despliegue de capacidad adicional donde sea necesario para cumplir con los Acuerdos de Nivel de Servicio (SLA).
• A1.2: Diseñar, desarrollar, aprobar, implementar, adquirir, operar, monitorear y mantener software, infraestructura de recuperación y servicios de respaldo de datos para cumplir con sus objetivos de disponibilidad.
• A1.3: Probar el anclaje del sistema de recuperación del procedimiento de recuperación para cumplir con su objetivo de disponibilidad.

Integridad del procesamiento

Si proporciona servicios de informes financieros o comercio electrónico, debe esforzarse por mantener la garantía de calidad interna.

Por ejemplo, si proporciona una aplicación financiera, debe asegurarse de que el procesamiento del sistema sea correcto, oportuno, completo, válido y autorizado para cumplir con los estándares establecidos. Estas son las características distintivas de la integridad del procesamiento.

La integridad del procesamiento es un principio de confianza indispensable en una era cargada de fraude financiero, como el fraude de pago push autorizado (APP). Sus Clientes querrán ver este TSP en su informe SOC 2 para asegurarse de que su procesamiento de transacciones sea preciso.

La integridad del procesamiento ayuda a evaluar los sistemas para determinar si realizan las funciones previstas de una manera libre de retrasos, errores, omisiones y manipulaciones accidentales.

El AICPA establece cinco criterios adicionales para la integridad del procesamiento, conocidos como la serie PI.

Debe:

• PI1.1: Generar, usar y compartir información de calidad sobre sus objetivos de procesamiento para apoyar el uso de servicios y productos.
• PI1.2: Implementar procedimientos y sistemas sobre las entradas del sistema. Esto incluye controles sobre la exactitud y completitud del procesamiento del sistema.
• PI1.3: Implementar procedimientos y políticas sobre el procesamiento del sistema. Definir especificaciones y actividades de procesamiento, registrar actividades de procesamiento del sistema, identificar y rectificar errores de producción y procesar entradas.
• PI1.4: Implementar procedimientos y políticas para una entrega precisa, completa y oportuna de los resultados.
• PI1.5: Implementar procedimientos y políticas para proteger los recursos almacenados, registrar actividades de almacenamiento del sistema, almacenar datos con precisión y archivar registros del sistema.

Confidencialidad

El TSP de confidencialidad se aplica a organizaciones de servicios que manejan información confidencial.

La información confidencial incluye varios tipos de datos sensibles como informes financieros, contraseñas, listas de posibles clientes, estrategias comerciales, bases de datos de clientes y otra propiedad intelectual.

El principio de confidencialidad se refiere a la capacidad de una organización para salvaguardar la información confidencial en cada fase de su procesamiento. Esto abarca desde la recopilación hasta la eliminación.

Si maneja tales datos de usuario, debe limitar su acceso, almacenamiento y uso. También es una buena idea restringir su divulgación solo a las partes autorizadas.

Existen dos criterios específicos de confidencialidad (serie C):

• C1.1: Establecer procedimientos para identificar información confidencial y protegerla de la destrucción.
• C1.2: Establecer procedimientos para identificar información confidencial para su destrucción y borrarla o destruirla de otro modo.

Privacidad

¿Sabía que por cada dólar gastado en privacidad de datos, su organización acumula $2.70 en mejoras en pérdida de datos, agilidad, mitigación y lealtad de los clientes?

Además, el 82% de sus posibles clientes consideran la certificación SOC 2 y la ISO 27701 como un factor de compra al seleccionar un proveedor.

La privacidad es un componente indispensable para construir confianza con los clientes. En lo que respecta al cumplimiento de SOC 2, el principio de privacidad se refiere a cómo su organización recopila, almacena, usa, preserva, revela y deshecha información personal.

A diferencia de la confidencialidad, que abarca varias formas de información sensible, la privacidad solo se ocupa de la información personal.

Los criterios de privacidad se dividen en las siguientes secciones (serie P):

• P1 — Aviso y comunicación de objetivos: La entidad notifica a los titulares de los datos sobre sus objetivos de privacidad.
• P2 — Opción y consentimiento: La entidad explica las opciones disponibles para la recolección, retención, uso, divulgación y eliminación de información personal.
• P3 — Recolección: La entidad recopila información personal basada en sus objetivos de privacidad.
• P4 — Uso, retención y eliminación: La entidad utiliza, conserva y elimina la información personal según los objetivos de privacidad estipulados.
• P5 — Acceso: La entidad permite a los clientes acceder a la información personal para su revisión y recolección basada en objetivos de privacidad.
• P6 — Divulgación y notificación: Solo se debe revelar información personal a los clientes según los objetivos de privacidad. Además, entregar notificaciones de incidentes y violaciones de datos a los clientes afectados para cumplir con los objetivos relacionados con la privacidad.
• P7 — Calidad: Se debe recopilar y mantener información personal actualizada, precisa, relevante y completa según los objetivos de privacidad.
• P8 — Monitoreo y cumplimiento: Se debe verificar el cumplimiento para garantizar la adhesión a los procedimientos para abordar quejas, consultas y disputas relacionadas con la privacidad.

La siguiente tabla muestra los criterios que se aplican a cada categoría de servicios de confianza.

¿Cuáles son los criterios complementarios de SOC 2?

Como se mencionó anteriormente, los criterios de servicios de confianza de 2017 están alineados con los 17 principios presentados en el marco COSO. El TSC también incluye criterios adicionales que complementan el principio 12 de COSO (bajo las actividades de control en los criterios comunes).

Como se describe en TSP 100.05, estos criterios complementarios abordan los objetivos que se aplican a un compromiso de servicio de confianza y se organizan de la siguiente manera:

• Controles de acceso lógico y físico: Este criterio se relaciona con la forma en que se restringe el acceso (tanto físico como lógico), se otorga o elimina ese acceso y se previene el acceso no autorizado.
• Operaciones del sistema: Aborda cómo se gestionan las operaciones y se descubren y mitigan procesos que se desvían de la norma.
• Gestión del cambio: Cubre cómo se manejan los cambios, se implementan los cambios utilizando un proceso estándar de gestión del cambio y se previenen cambios no autorizados.
• Mitigación de riesgos: Por último, esto se relaciona con cómo se descubren, seleccionan y crean actividades de mitigación de riesgos que surgen de posibles interrupciones del negocio.

Elijamos los criterios de servicios de confianza perfectos para ti

Como se mencionó anteriormente, sus criterios de servicios de confianza deben ser relevantes, objetivos, medibles y completos. Sin embargo, con tantos principios y categorías de confianza a considerar, puede ser difícil elegir criterios que se ajusten al perfil. Aquí es donde entra en juego Secureframe.

Evaluamos las necesidades de su organización de servicios junto con cualquier obligación contractual o legal para seleccionar los criterios de servicios de confianza adecuados para usted. Solicite una demostración de Secureframe para aprender cómo podemos ayudarlo a determinar cuáles se aplican a su negocio y cómo puede cumplir con los criterios.