¿Qué es un informe SOC 3® y necesitas uno? [+ Ejemplo]
Un estudio de ISACA encontró que más de uno de cada tres consumidores en EE. UU., Reino Unido, Australia y la India han tenido su información personal robada por ciberdelincuentes.
La prevalencia del ciberdelito ha impactado significativamente la confianza de los consumidores en la capacidad de las organizaciones para mantener la seguridad de sus datos. Como resultado, el 69% de los consumidores encuestados dijeron que creen que las empresas deberían ser evaluadas de forma independiente sobre las prácticas de seguridad de datos y las puntuaciones compartidas con el público.
Una forma en que su organización puede cumplir con esta expectativa y generar confianza con los consumidores es obteniendo un SOC 3®. SOC 3 significa Informe de Control Organizacional de Servicio 3.
A continuación, cubriremos qué es este informe y cómo difiere de un informe SOC 2®.
¿Qué es un informe SOC 3®?
Al igual que un informe SOC 2, un informe SOC 3 aborda controles relevantes para los Criterios de Servicios de Confianza (TSC): seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Sin embargo, es una versión más concisa y de alto nivel de un informe SOC 2 Tipo II destinado al consumo público.
Debido a que no proporciona información confidencial ni tanto detalle como un informe SOC 2, un informe SOC 3 se puede publicar públicamente y a menudo se usa como material de marketing.
Veamos más de cerca la diferencia entre los informes SOC 3 y SOC 2 a continuación.
Informe SOC 3 vs Informe SOC 2
Tanto el cumplimiento de SOC 3 como el de SOC 2 implican una auditoría de un CPA y pruebas rigurosas de los controles de seguridad de una organización para evaluar si cumplen con los estándares SSAE 18, según lo descrito por la AICPA.
Si el CPA atesta que los controles implementados están diseñados y operando correctamente, emitirá un informe SOC 2 y/o SOC 3. La organización puede usar el informe como una validación de terceros de que está llevando a cabo todas las mejores prácticas de seguridad para los proveedores de servicios encargados de manejar datos de clientes.
La principal diferencia entre los informes SOC 3 y SOC 2 es cómo pueden usarse exactamente. Mientras que las organizaciones pueden publicar su informe SOC 3 en su sitio web o distribuirlos de otra manera a clientes y prospectos libremente, las organizaciones no pueden hacer lo mismo con los informes SOC 2.
Los informes SOC 2 contienen información confidencial sobre el sistema y controles de la organización e información detallada sobre las pruebas, procedimientos y resultados del auditor y, por lo tanto, no pueden publicarse públicamente. La mayoría de las organizaciones comparten estos informes solo con clientes y prospectos que lo soliciten y acepten firmar un acuerdo de confidencialidad (NDA).
A continuación, se proporciona una descripción general de alto nivel de las diferencias entre los informes SOC 3 y SOC 2.
| SOC 3 | SOC 2 | |
| Reporting type | Type II reports only | Type I and II reports available |
| Report contents | Includes the auditor’s opinion and management assertion only | Include detailed descriptions of the system and auditor’s control tests, test procedures, and/or test results in addition to the auditor’s opinion and management assertion |
| Report use | Can be freely distributed or posted on an organization’s website | Typically shared only with customers and prospects under an NDA |
¿Cuándo debería considerar obtener un informe SOC 3®?
Si eres una organización de servicios que proporciona servicios directamente a los consumidores (B2C) o a empresas y consumidores (B2B2C), entonces deberías considerar obtener un informe SOC 3.
Dado que un informe SOC 3 no contiene una descripción del sistema, es una alternativa similar pero más corta al SOC 2 que es más probable que sea entendida por el público en general.
Por lo tanto, puedes usar este informe con fines de marketing o hacerlo disponible de forma gratuita para clientes y prospectos para asegurarles sobre la efectividad de tus controles relevantes a cualquier TSC aplicable y generar confianza, sin requerirles que tengan un conocimiento suficiente sobre el sistema o firmen un NDA.
¿Puedo obtener un SOC 3® en lugar de un SOC 2®?
En lugar de obtener solo un informe SOC 3, deberías considerar obtener un informe SOC 2 y un informe SOC 3 como complemento.
Si bien un informe SOC 3 puede ser de gran beneficio cuando un prospecto está decidiendo si contratar a una organización de servicios, probablemente no proporcionará suficientes detalles para satisfacer a los clientes o auditores.
Además, el alcance y el nivel de pruebas de los exámenes SOC 2 y SOC 3 son generalmente los mismos.
Por estas razones, puedes solicitar al auditor que emita tanto un informe SOC 2 como un informe SOC 3 al final del examen. El SOC 2 satisfará las necesidades de los clientes existentes, mientras que el SOC 3 satisfará las necesidades de un conjunto más amplio de consumidores interesados en aprender más sobre tu organización.
La Guía Definitiva para SOC 2®
Aprende todo lo que necesitas saber sobre cómo lograr el cumplimiento de SOC 2 rápidamente.
¿Cuáles son los contenidos de un informe SOC 3®?
Un informe SOC 3 contiene solo dos elementos. Estos se describen a continuación.
1. Afirmación de la administración
La afirmación de la administración es una carta de la gerencia de la organización de servicios que afirma que creen que los controles en el informe fueron efectivos durante el período del informe.
En relación con la afirmación, la administración también describirá los límites del sistema y los principales compromisos de servicio y requisitos del sistema de la organización. Generalmente incluidos como anexos o una sección separada en el informe, esta información permite a los usuarios del informe comprender el alcance del examen SOC 3 y cómo la administración evaluó la efectividad de los controles basados en el TSC aplicable.
2. Opinión del auditor
La opinión del auditor es una carta del auditor. En la carta, el auditor resumirá brevemente el examen SOC, incluyendo el alcance de la auditoría y el período de tiempo, y proporcionará su opinión final sobre si la aseveración de la administración fue declarada de manera justa basándose en los TSC aplicables.
Ejemplo de informe SOC 3®
Grammarly hizo uno de sus informes SOC 3 disponible gratuitamente en línea. Este informe, resumido a continuación, certificó los controles de Grammarly relevantes para la seguridad, disponibilidad, confidencialidad y privacidad para el período del 1 de abril de 2021 al 31 de marzo de 2022. Veamos más de cerca a continuación.
Sección I: Aseveración de la administración
En la primera sección, la administración de Grammarly afirma sus responsabilidades y que sus controles de seguridad fueron efectivos durante todo el período de reporte. Esto ocupa una página.
Sección II: Opinión del auditor
Lo siguiente es la carta de opinión del auditor, que indica que los controles de Grammarly relevantes para los TSC aplicables (seguridad, disponibilidad, confidencialidad y privacidad) fueron efectivos durante todo el período de prueba. También describe brevemente el alcance de la auditoría, las responsabilidades de la administración, sus responsabilidades como firma de auditoría, y las limitaciones inherentes de los controles, así como la auditoría.
Esto ocupa dos páginas y está firmado por la firma de auditoría.
Anexo A: Descripción de los límites del sistema y los principales compromisos de servicio y requisitos del sistema
El primer anexo es un resumen de los límites del sistema de Grammarly, incluyendo antecedentes de la empresa, una visión general del producto, la estructura organizativa de la empresa, una lista de software y servicios de apoyo, y más. Es la sección más larga, con un total de 16 páginas.
Anexo B: Descripción de los principales compromisos de servicio y requisitos del sistema de la organización
El siguiente anexo detalla los principales compromisos de servicio y requisitos del sistema de Grammarly. Estos incluyen la seguridad del producto, la disponibilidad del sistema, la seguridad y confidencialidad de los datos, y los compromisos de privacidad con las entidades usuarias.
Cómo obtener un informe SOC 3®
Un informe SOC 3 se genera mediante una auditoría SOC realizada por un CPA o una organización acreditada por la AICPA. Aquí están los pasos que necesitas seguir para obtener uno.
Paso 1: Determinar el informe SOC que necesitas.
Antes de comprometerte con un auditor, tu primer paso es decidir exactamente qué tipo de informe SOC necesitas.
Para un informe SOC 3, las responsabilidades de la administración son sustancialmente las mismas que para un informe SOC 2. La única diferencia es que la administración no necesita preparar una descripción del sistema.
Sin embargo, dado que los procedimientos realizados en un examen SOC 2 son sustancialmente los mismos que los realizados en un examen SOC 3, puedes pedir al auditor que emita ambos informes al final del examen. Esto requerirá que la administración prepare una aseveración de la administración, incluyendo la divulgación de los límites del sistema y los principales compromisos de servicio y requisitos del sistema de la organización, así como una descripción del sistema.
Si decides obtener un informe SOC 2 y SOC 3, entonces puedes usar nuestra lista de verificación de autoevaluación de SOC 2 para evaluar tu preparación para el examen.
Lista de Verificación de Autoevaluación de SOC 2®
Usa esta lista de verificación paso a paso para evaluar tu preparación para la auditoría SOC 2 y SOC 3.
Paso 2: Cumplir con las responsabilidades de la gerencia.
Para prepararse para un examen SOC 3, la gerencia debe cumplir con las siguientes responsabilidades:
- Definir el alcance del examen
- Describir los compromisos de servicio principales hechos a las entidades usuarias
- Describir los requisitos del sistema necesarios para operar el sistema
- Identificar y analizar riesgos que podrían prevenir que la organización cumpla con sus compromisos de servicio o requisitos del sistema
- Diseñar, implementar, monitorear y documentar controles efectivos para lograr los compromisos de servicio y requisitos del sistema de la organización basados en los TSC aplicables
Paso 3: Elegir a tu auditor.
Finalmente, necesitarás elegir a tu auditor. Evaluarlos en base a su acreditación, experiencia, proceso y reputación puede ayudarte a seleccionar uno que cumpla con tus necesidades.
El auditor pasará desde unas pocas semanas a varios meses trabajando con tu equipo antes de producir un informe SOC 3. Si el auditor cree que la afirmación de la gerencia fue declarada con justicia según los TSC aplicables, ¡felicitaciones! Ahora puedes publicar tu informe SOC 3 en tu sitio web o distribuirlo de otra manera.
Cómo Secureframe puede ayudarte a obtener un informe SOC 3®
Secureframe no solo puede ayudarte a decidir si tu negocio necesita un informe SOC 3, sino que también podemos ayudarte a obtenerlo más rápido.
Ahorramos cientos de horas y miles de dólares a los equipos que redactan políticas de seguridad, recogen evidencias, contratan consultores de seguridad y realizan evaluaciones de preparación. Y debido a que Secureframe monitorea continuamente tu infraestructura y te alerta sobre vulnerabilidades, podrás obtener y mantener el cumplimiento SOC 3 más fácil y rápidamente.
Solicita una demostración para aprender más sobre cómo podemos ayudarte a obtener un informe SOC 3.
Preguntas Frecuentes
¿Qué es un informe SOC 3?
Un informe SOC 3 es un informe público de controles internos relevantes para los criterios de servicios de confianza (TSC): seguridad, disponibilidad, integridad del procesamiento, confidencialidad y/o privacidad. Para obtener uno, las organizaciones deben someterse a una auditoría CPA y a pruebas rigurosas de sus controles para evaluar si cumplen con los estándares SSAE 18, según lo estipulado por la AICPA.
¿Cuál es la diferencia entre los informes SOC 2 y SOC 3?
Tanto los informes SOC 2 como los SOC 3 abordan controles relevantes para la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y/o privacidad. La diferencia principal es que los informes SOC 3 no proporcionan información confidencial ni tanto detalle como los informes SOC 2, por lo que pueden publicarse públicamente. Los informes SOC 2 generalmente solo se comparten con clientes y prospectos que los solicitan y acuerdan firmar un acuerdo de confidencialidad (NDA).
¿Es mejor SOC 3 que SOC 2?
SOC 3 no es inherentemente mejor que SOC 2, pero es mejor para fines de marketing. Dado que es una alternativa similar pero más corta a SOC 2, es más probable que sea entendida por el público en general. Tampoco contiene descripciones detalladas del sistema ni de las pruebas de control del auditor, procedimientos de prueba y/o resultados de prueba, por lo que también puede distribuirse o publicarse en el sitio web de una organización. Esto hace que SOC 3 sea ideal para organizaciones de servicios que brindan servicios directamente a los consumidores (B2C) o a negocios y consumidores (B2B2C).