Definición y propósito

El propósito de un informe SOC 3 es proporcionar una versión más concisa y de alto nivel de un informe SOC 2 Tipo II. SOC 3 está destinado al consumo público y puede ser publicado en el sitio web de la organización o distribuido libremente de otra manera a clientes y prospectos para demostrar su compromiso con la seguridad de los datos.

Aunque un informe SOC 3 contiene una opinión sobre la efectividad operativa de los controles, no incluye una descripción detallada de las pruebas de controles realizadas por el auditor de servicios ni los resultados de esas pruebas. Esto es lo que lo hace apropiado para una audiencia general que no tiene la necesidad o el conocimiento necesario para usar efectivamente un informe SOC 2.

Órgano rector

SOC 3 es parte de una suite de servicios creados y mantenidos por el Instituto Americano de Contadores Públicos Certificados (AICPA). AICPA proporciona orientación sobre cómo deben llevarse a cabo los informes SOC 3, lo que debe incluirse y los criterios contra los cuales se evalúan los controles.

Última actualización

SOC 3 fue publicado en 2010 bajo la Declaración sobre Normas para Compromisos de Atestiguamiento (SSAE 16). La última actualización importante de SOC 3 ocurrió en 2016, con la introducción de SSAE 18, que reemplazó a SSAE 16.

Los documentos relacionados con SOC 3 también se han actualizado en los últimos años. Más notablemente, el AICPA publicó Criterios de Servicios de Confianza revisados en 2017 (que son el marco contra el cual se realiza una evaluación SOC 2 y 3) y puntos de enfoque revisados para esos criterios en 2022, lo que afectó la opinión del auditor de servicios en los informes SOC 2 y 3.

Se aplica a

Los informes SOC 3 pueden aplicarse a organizaciones de servicios en diversas industrias que procesan y almacenan datos de clientes. Pueden ser particularmente útiles para organizaciones de servicios que proporcionan servicios directamente a los consumidores (B2C) o a empresas y consumidores (B2B2C) que necesitan proporcionar a prospectos y clientes la garantía de sus controles relacionados con la seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad.

Controles y requisitos

Un informe SOC 3 evalúa el diseño y la efectividad operativa de los controles necesarios para cumplir con los criterios de servicios de confianza aplicables (TSC). Los cinco TSC son seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad. La seguridad es el único TSC requerido.

Los criterios de servicios de confianza no prescriben controles específicos para ninguna organización. Los controles que una organización de servicios implementa dependen de los riesgos que pueden impedirles cumplir con sus compromisos de servicio y requisitos del sistema, la cantidad de TSC incluidos en su auditoría y la complejidad de su infraestructura y organización. Por lo general, cubren las siguientes áreas:

• Seguridad de la información
• Controles de acceso lógico y físico
• Operaciones del sistema
• Gestión del cambio
• Mitigación de riesgos

Por favor, consulte el sitio web de AICPA para obtener recursos oficiales relacionados con los controles y requisitos de SOC 3.

Tipo de auditoría, frecuencia y duración

• Tipo de auditoría: Para obtener un informe SOC 3, las organizaciones deben someterse a una auditoría por un CPA, que implica pruebas rigurosas de los controles de la organización relevantes para la seguridad, disponibilidad, integridad del proceso, confidencialidad o privacidad.
• Frecuencia de auditoría: Los exámenes SOC 3 a menudo se realizan anualmente para proporcionar una garantía continua a las partes interesadas.
• Duración de la auditoría: La duración de una auditoría SOC 3 puede variar según el alcance de la auditoría y la complejidad de la infraestructura y operaciones de la organización de servicios. Generalmente varía de unas pocas semanas a unos pocos meses.