El marco SOC 2® incluye 5 Criterios de Servicios de Confianza compuestos por 64 requisitos individuales. Los controles son las medidas de seguridad que implementas para satisfacer estos requisitos. Durante tu auditoría, el CPA evaluará tus controles para crear tu informe de atestación/auditoría.

Los controles internos pueden ser políticas, procedimientos, reglas y mecanismos para garantizar el cumplimiento.

Un ejemplo sería requerir que una persona apruebe una factura antes de que otra persona la pague.

¿Cuántos controles hay en SOC 2? Tantos como tu organización necesite para cumplir con tu Criterio de Servicios de Confianza (TSC) seleccionado.

Puntos de Enfoque del AICPA SOC 2

A diferencia de otros marcos de seguridad de la información como ISO 27001, no existe una lista de verificación universal de requisitos SOC 2.

En su guía oficial de SOC 2, el Instituto Americano de Contadores Públicos Certificados (AICPA) proporciona "puntos de enfoque" para cada Criterio de Servicios de Confianza (anteriormente Principios de Servicios de Confianza). Estos puntos de enfoque son ejemplos de cómo una organización puede cumplir con los requisitos de cada criterio. Están destinados a ayudar a las organizaciones y proveedores de servicios a diseñar e implementar su entorno de control.

Es importante notar que los puntos de enfoque no son requisitos. Son guías para ayudarte a comprender mejor lo que puedes hacer para cumplir con cada requisito. También son un buen recurso para entender cómo un auditor considerará cada TSC al evaluar y probar los controles de tu organización.

Aquí hay un ejemplo de la guía SOC 2 del AICPA que muestra puntos de enfoque para CC1.1: Demostrando un compromiso con la integridad y los valores éticos.

El segundo punto de enfoque mencionado habla de estándares de conducta que están claramente definidos y comunicados en todos los niveles del negocio. Implementar una política de Código de Conducta es un ejemplo de cómo las organizaciones pueden cumplir con los requisitos de CC1.1.

Entonces, aunque hay criterios específicos requeridos para el cumplimiento, cómo tu organización los satisface depende de ti y de tu auditor CPA. En última instancia, no hay dos auditorías SOC 2 idénticas.

Exploremos lo que significa cada Criterio de Servicios de Confianza y qué controles de organización de servicios podría buscar un auditor basado en cada uno.

Lista de Controles SOC 2

Controles de Seguridad

La seguridad es el núcleo fundamental de los requisitos de cumplimiento de SOC 2. La categoría incluye procesos operativos robustos en torno a la seguridad y el cumplimiento. También incluye defensas contra todo tipo de ataques, desde ataques de intermediario hasta individuos malintencionados accediendo físicamente a tus servidores.

Un auditor podría verificar sistemas de autenticación de dos factores y cortafuegos web. También examinarán cosas que afectan indirectamente la ciberseguridad y la seguridad de datos, como políticas que determinan quién es contratado para roles de seguridad.

Controles de Privacidad

La privacidad se aplica a cualquier información que se considere sensible. Para cumplir con los requisitos de SOC 2 para la privacidad, una organización debe comunicar sus políticas a cualquier persona cuyos datos de cliente almacenen.

Si la organización recopila alguna información sensible, debe:

  • Obtener el consentimiento del sujeto
  • Limitar la cantidad de información privada que recopila
  • Reunirla por medios legales
  • Utilizarla solo para los fines para los que fue recopilada

Finalmente, cuando la información personal haya cumplido su propósito, se requiere que la organización de servicios la elimine.

Controles de Confidencialidad

La información confidencial es diferente de la información privada en que, para ser útil, debe compartirse con otras partes. El ejemplo más común es la información de salud. Es muy sensible, pero no tiene valor si no puedes compartirla entre hospitales, farmacias y especialistas.

En lugar de mantener la información totalmente segura, la categoría de confidencialidad se centra en asegurarse de que se comparta de manera segura.

Cumplir con los criterios de confidencialidad de SOC 2 requiere un proceso claro para identificar la información confidencial. Los datos confidenciales deben ser protegidos contra el acceso no autorizado hasta el final de un periodo de retención preestablecido, y luego destruidos.

Controles de Integridad del Procesamiento

¿Los sistemas utilizados para almacenar, procesar y recuperar información funcionan de la manera que se supone que deben hacerlo?

Algunos controles en la serie PI se refieren a la capacidad de la organización para definir qué datos necesita para alcanzar sus objetivos. Otros definen la integridad del procesamiento en términos de entradas y salidas. Por ejemplo, si un cliente ingresa un pedido en un sitio web de comercio electrónico, la salida es la entrega rápida del producto.

Las salidas solo deben distribuirse a sus destinatarios previstos. Cualquier error debe ser detectado y corregido lo más rápido posible.

Controles de Disponibilidad

Los controles de Disponibilidad en SOC 2 se centran en minimizar el tiempo de inactividad. Son especialmente importantes para los proveedores de SaaS y computación en la nube.

¿Están los sistemas de la organización de servicios respaldados de manera segura? ¿Existe un plan de recuperación en caso de un desastre? ¿Existe un plan de continuidad del negocio que pueda aplicarse a cualquier evento imprevisto o incidente de seguridad? Un proceso formal de evaluación de riesgos, gestión de riesgos y mitigación de riesgos es importante para identificar amenazas a los centros de datos y mantener la disponibilidad.

Los controles de la serie A1 piden a las organizaciones:

  • Predecir la capacidad del sistema
  • Identificar y mitigar amenazas ambientales
  • Identificar qué datos respaldar

Preguntas Frecuentes

¿Cuántos controles SOC 2 existen?

El marco de trabajo de SOC 2 incluye 5 Criterios de Servicios de Confianza compuestos por 64 requisitos individuales. Los controles son las medidas de seguridad que implementas para cumplir con los requisitos de SOC 2. La cantidad de controles que implementas depende de la cantidad de Criterios de Servicios de Confianza que incluyes en tu auditoría y la complejidad de tu infraestructura y organización. Típicamente, una auditoría de SOC 2 Tipo 2 que cubre seguridad (el único Criterio de Servicios de Confianza requerido) abordará la idoneidad del diseño y la efectividad operativa de un promedio de 80 controles. Para organizaciones de servicios que están completamente en la nube, el promedio baja a 60. Para organizaciones con infraestructura y estructuras organizativas más complejas, el promedio sube a 100.

¿Cuál es la diferencia entre los controles de SOC 1 y SOC 2?

Los controles de SOC 2 son controles implementados en una organización de servicios que son relevantes para la seguridad, disponibilidad, integridad del procesamiento, confidencialidad o privacidad. Los controles de SOC 1 son controles implementados en una organización de servicios que son relevantes para el control interno sobre la información financiera de las entidades usuarias (por ejemplo, entidades que utilizan organizaciones de servicios).

¿Cuál es un ejemplo de un control SOC 2?

Un ejemplo de un control SOC 2 es tener una política de seguridad de la información revisada por el Director de Tecnología para asegurarse de que incluya consideraciones del plan estratégico, las leyes aplicables para los territorios correspondientes, y los roles y responsabilidades para el liderazgo y oficiales.