SOC 2 se ha convertido en el estándar de oro para que las empresas demuestren su compromiso con sus clientes, incluyendo cómo protegen los datos de sus clientes y hacen que sus servicios sean confiables, resilientes y consistentes.

El Instituto Americano de Contadores Públicos Certificados (AICPA) desarrolló un conjunto de directrices para el contenido de un informe SOC 2, que se basa en varios documentos importantes, incluyendo el TSP 100 y el DC 200. Los CPA o las firmas contables certificadas utilizan estos documentos de directrices SOC 2 para atestiguar las prácticas de cumplimiento y seguridad de una empresa.

En octubre de 2022, el AICPA publicó versiones revisadas de ambos documentos. A continuación, proporcionaremos una visión general de estas diferencias y lo que significan para los auditores y para las organizaciones de servicios.

¿Qué está cambiando con el TSP 100?

El marco SOC 2 se basa en cinco Criterios de Servicios Confiables: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Los criterios en cada categoría son definidos por el AICPA en el TSP 100.

El TSP 100 incluye puntos de enfoque, que sirven como guía de implementación para cada criterio. Tome el siguiente criterio como ejemplo: “La entidad demuestra un compromiso con la integridad y los valores éticos.” Tanto para las organizaciones que tienen que demostrarlo como para los auditores que tienen que auditarlo, el documento TSP 100 esencialmente proporciona sugerencias sobre lo que una organización puede hacer para cumplir con ese requisito. Estas incluyen establecer estándares de conducta y considerar a los contratistas y empleados de los proveedores al establecer y evaluar la adherencia a esos estándares.

En la actualización más reciente, el AICPA ha emitido puntos de enfoque revisados para varios de los criterios dentro del TSP 100, con la mayoría de las actualizaciones enfocándose en las categorías de privacidad y confidencialidad. Se añadieron varias otras actualizaciones para ayudar a aclarar la aplicación de criterios existentes a nuevas tecnologías y riesgos en evolución.

Por ejemplo, el CC7.4 trata sobre la respuesta a incidentes de seguridad identificados. La revisión incluye puntos de enfoque adicionales para organizaciones que utilizan tanto seguridad como privacidad como Criterios de Servicios Confiables, incluyendo la aplicación de procedimientos de respuesta ante violaciones cuando se confirma un incidente de privacidad.

Es importante notar que no se añadieron ni cambiaron nuevos Criterios de Servicios Confiables. Las revisiones simplemente están dando a las organizaciones y auditores nuevas formas de pensar sobre los criterios a la luz del panorama actual.

¿Qué está cambiando con el DC 200?

Cada informe SOC 2 contiene cuatro secciones, con una quinta opcional. La sección más grande del informe SOC 2 es la descripción del sistema de la organización de servicios. Esto incluye todo, desde una visión general de la empresa — quiénes son, qué hacen y qué tecnología usan — hasta una descripción de todos los controles que han implementado con respecto a las categorías de los Criterios de Servicios de Confianza incluidas en el informe. Las directrices para lo que se incluye en esa sección, conocidas como criterios de descripción, se detallan en el DC 200.

El AICPA emitió aclaraciones para la guía de implementación de estos criterios de descripción. Las aclaraciones fueron menores y se centraron principalmente en proporcionar más ejemplos.

Por ejemplo, el DC4 trata sobre la necesidad de una entidad de divulgar la naturaleza, el momento, la extensión y la disposición de cualquier incidente significativo del sistema identificado durante el período cubierto por el informe SOC 2. La guía de implementación revisada de 2022 incluye más ejemplos que pueden ayudar a un auditor u organización a determinar si se debe divulgar un incidente, como si resultó en el robo, alteración o uso no autorizado de información sensible.

Es importante señalar que no se cambiaron ni añadieron criterios de descripción.

¿Qué significan estos cambios para los auditores?

Tanto el TSP 100 como el DC 200 están diseñados para proporcionar orientación a los auditores sobre cómo evaluar el sistema de controles de una empresa mientras realizan una auditoría SOC 2, y cómo evaluar si la descripción del sistema en el informe SOC 2 se presenta de manera suficientemente clara para satisfacer las necesidades de los usuarios del informe.

Los auditores deben leer detenidamente ambos documentos revisados para asegurarse de que están evaluando adecuadamente la postura de seguridad de una organización y redactando un informe SOC 2.

¿Qué significan estos cambios para las organizaciones de servicios?

Eso depende de si estás utilizando la plataforma de automatización de cumplimiento de Secureframe.

Si tu organización se está preparando para una auditoría SOC 2 sin una plataforma de automatización, debes familiarizarte con los Puntos de Atención Revisados del TSP 100 para asegurarte de que tus controles cumplen con los requisitos de cada Criterio de Servicios de Confianza, especialmente en torno a la privacidad y la confidencialidad.

Sin embargo, si estás utilizando la plataforma de automatización de cumplimiento de Secureframe, nuestros expertos en cumplimiento consideran continuamente actualizaciones como estas al crear pruebas en nuestra plataforma y, cuando es necesario, destacan los cambios sugeridos. Eso significa que no tienes que revisar por ti mismo montones de actualizaciones para determinar qué significan para ti y tu organización.

Cómo Secureframe simplifica el cumplimiento de SOC 2

Aunque mantener un sistema de controles actualizado es, en última instancia, responsabilidad de tu propia organización, asociarse con Secureframe simplifica y agiliza el proceso.

Ahorramos a los equipos cientos de horas y miles de dólares en la redacción de políticas de seguridad, recopilación de evidencias, contratación de consultores de seguridad y realización de evaluaciones de preparación. Y debido a que Secureframe monitorea continuamente tu infraestructura y te alerta sobre vulnerabilidades, obtendrás tu informe SOC 2 más rápido y ahorrarás dinero mientras fortaleces tu postura de seguridad.

Solicita una demostración para aprender más sobre cómo podemos ayudarte a cumplir con SOC 2 en semanas, no en meses.