background

Criterios Comunes

Los Criterios de Servicios de Confianza de la AICPA definen cinco criterios para evaluar los controles de seguridad de una organización para el cumplimiento de SOC 2: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.

Aunque las organizaciones pueden elegir qué Criterios de Servicios de Confianza de SOC 2 quieren incluir en el alcance de su auditoría, cada informe SOC 2 debe incluir los Criterios de Seguridad, y los criterios utilizados para probarlos se conocen como los Criterios Comunes.

¿Qué es la Lista de Criterios Comunes de SOC 2?

El Criterio de Seguridad está relacionado con la protección de la información y los sistemas.

¿Está segura la información durante su recopilación o creación? ¿Está segura durante su uso, procesamiento, transmisión y/o almacenamiento? ¿Cómo previene y monitorea una empresa cualquier vulnerabilidad en sus sistemas?

La lista de Criterios Comunes de SOC 2, también conocida como la serie CC, incluye nueve subcategorías:

  • CC1 — Entorno de control
    ¿Valora la organización la integridad y la seguridad?
  • CC2 — Comunicación e Información
    ¿Existen políticas y procedimientos para garantizar la seguridad? ¿Están bien comunicados tanto a socios internos como externos?
  • CC3 — Evaluación de Riesgos
    ¿Analiza la organización el riesgo y monitorea cómo los cambios impactan en ese riesgo?
  • CC4 — Monitoreo de Controles
    ¿Monitorea, evalúa y comunica la organización la efectividad de sus controles?
  • CC5 — Actividades de Control
    ¿Están en su lugar los controles, procesos y tecnologías adecuados para reducir el riesgo?
  • CC6 – Controles de Acceso Lógico y Físico
    ¿Encripta la organización los datos? ¿Controla quién puede acceder a los datos y restringe el acceso físico a los servidores?
  • CC7 – Operaciones del Sistema
    ¿Se monitorean los sistemas para asegurar que funcionen correctamente? ¿Están en su lugar planes de respuesta a incidentes y recuperación ante desastres?
  • CC8 – Gestión de Cambios
    ¿Se prueban y aprueban adecuadamente los cambios materiales en los sistemas antes de implementarlos?
  • CC9 – Mitigación de Riesgos
    ¿Mitiga la organización el riesgo a través de procesos adecuados de negocio y gestión de proveedores?

Mapeo de Criterios Comunes de SOC 2

Muchas organizaciones optan por cumplir con múltiples estándares de seguridad. La AICPA ayuda a mapear los Criterios Comunes con los requisitos de otros marcos, incluyendo ISO 27001, GDPR y más.

Mapeo de los Criterios Comunes de SOC 2 a ISO 27001

ISO 27001 especifica requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI). Incluye 114 controles en 14 grupos, la mayoría de los cuales se mapean con los Criterios de Servicios de Confianza de SOC 2.

La hoja de cálculo de mapeo de AICPA ISO 27001 desglosa la superposición con los Criterios de Servicios de Confianza.

Mapeo de los Criterios Comunes de SOC 2 a GDPR

El Reglamento General de Protección de Datos de la Unión Europea está diseñado para proteger los derechos de los datos personales de los ciudadanos de la UE. Se aplica a cualquier empresa que entre en contacto con los datos de estos individuos protegidos. Incluye 99 artículos en 11 capítulos.

Casi todos los Capítulos 2 y 3 y la mayoría del Capítulo 4 del RGPD se corresponden con los Criterios de Servicios de Confianza de SOC 2.

El AICPA también proporciona una hoja de cálculo de mapeo del RGPD de la UE para ayudar a referenciar criterios y controles.

angle-rightCriterios de Servicios de ConfianzaControles SOC 2angle-right

SOC 2 Overview

Report Structures

Audit Process, Timeline, & Costs

How to Prepare for an Audit

Automatización del Cumplimiento SOC 2

Recursos y Herramientas SOC 2