background

Políticas y Procedimientos SOC 2

  • soc-2angle-right
  • Políticas y Procedimientos SOC 2

La documentación adecuada es esencial para una auditoría SOC 2 exitosa. Y eso incluye políticas claras y concisas.

Pero si aún no tiene una biblioteca de políticas establecida, puede ser un desafío saber por dónde empezar.

Quizás se esté preguntando:

¿Cuáles son las políticas generales en una auditoría con las que necesito cumplir?

Sus políticas describen lo que hace para proteger los datos de los clientes: cosas como capacitar a los empleados y gestionar proveedores. Sus procedimientos explican cómo lo hace: los pasos exactos que toma y cómo responde a ciertos eventos desencadenantes.

Políticas SOC 2

Todos los exámenes SOC 2 implican una revisión del auditor de las políticas de su organización.

Las políticas deben estar documentadas, revisadas formalmente y aceptadas por los empleados.

Cada política apoya un elemento de su seguridad general y enfoque para manejar los datos de los clientes.

En general, estos son los requisitos de políticas SOC 2 que su auditor buscará:

  • Política de Uso Aceptable: Define las formas en que se puede utilizar la red, sitio web o sistema. También puede definir qué dispositivos y tipos de medios extraíbles se pueden usar, los requisitos de contraseñas y cómo se emitirán y devolverán los dispositivos.
  • Política de Control de Acceso: Define quién tendrá acceso a los sistemas de la empresa y con qué frecuencia se revisarán esos permisos de acceso.
  • Política de Continuidad del Negocio: Define cómo los empleados responderán a una interrupción para mantener el negocio en funcionamiento sin problemas.
  • Política de Gestión de Cambios: Define cómo los cambios de sistema serán documentados y comunicados en toda su organización.
  • Política de Confidencialidad: Define cómo su organización manejará la información confidencial sobre clientes, socios o la propia empresa.
  • Política de Código de Conducta: Define las políticas que deben cumplir tanto los empleados como los empleadores. Esto incluye cómo las personas deben interactuar entre sí en el trabajo.
  • Política de Clasificación de Datos: Define cómo clasificará los datos sensibles según el nivel de riesgo que representen para su organización.
  • Política de Recuperación ante Desastres: Define cómo su empresa se recuperará de un evento desastroso. También incluye las funciones mínimas necesarias que su organización necesita para continuar las operaciones.
  • Política de Encriptación: Define el tipo de datos que su organización encriptará y cómo se encriptarán.
  • Política de Respuesta a Incidentes: Define roles y responsabilidades en respuesta a una violación de datos y durante la investigación subsiguiente.
  • Política de Seguridad de la Información: Define su enfoque para la seguridad de la información y por qué está implementando procesos y políticas.
  • Política de Respaldo de Información, Software y Sistemas: Define cómo se almacenará la información de las aplicaciones empresariales para garantizar la recuperabilidad de los datos.
  • Política de Registro y Monitoreo: Define qué registros recopilará y monitoreará. También cubre lo que capturan esos registros y qué sistemas se configurarán para el registro.
  • Política de Seguridad Física: Define cómo monitorizará y asegurará el acceso físico a la ubicación de su empresa. ¿Qué hará para prevenir el acceso físico no autorizado a centros de datos y equipos?
  • Política de Contraseñas: Define los requisitos para usar contraseñas fuertes, gestores de contraseñas y expiración de contraseñas.
  • Política de Acceso Remoto: Define quién está autorizado para trabajar de forma remota. También define qué tipo de conectividad utilizarán y cómo se protegerá y monitoreará esa conexión.
  • Política de Evaluación y Mitigación de Riesgos: Define las amenazas de seguridad que podrían ocurrir y el plan de acción para prevenir esos incidentes.
  • Política del Ciclo de Vida del Desarrollo de Software: Define cómo garantizarás que tu software se construya de manera segura, se pruebe regularmente y cumpla con los requisitos reglamentarios.
  • Política de Gestión de Proveedores: Define los proveedores que pueden introducir riesgos, así como los controles implementados para minimizar esos riesgos.
  • Política de Seguridad de Estaciones de Trabajo: Define cómo protegerás las estaciones de trabajo de tus empleados para reducir el riesgo de pérdida de datos y acceso no autorizado.

¿Cómo pruebas que sigues tus políticas?

Durante tu auditoría SOC 2 Tipo II, necesitarás demostrarle a tu auditor que estás cumpliendo con las políticas y procesos que has implementado.

Esto significa presentar a tu auditor las evidencias que has recopilado durante tu período de auditoría.

Recopilar y organizar estas evidencias puede ser una tarea sumamente tediosa y que consume mucho tiempo. A menudo implica tomar capturas de pantalla y organizarlas en carpetas de Dropbox o Google Drive. Luego crear y actualizar manualmente hojas de cálculo para catalogar evidencias.

Secureframe automatiza el proceso de recopilación de evidencias, ahorrando a tu equipo cientos de horas (y probablemente tantas molestias). Nuestra plataforma ofrece más de 100 integraciones profundas para conectarse con tu infraestructura en la nube y HRIS. Recopilaremos automáticamente evidencias y monitorearemos continuamente tu stack tecnológico para el cumplimiento continuo.

angle-rightEstablecer un Plan de Proyecto SOC 2Documentación de Cumplimiento SOC 2angle-right

SOC 2 Overview

Report Structures

Audit Process, Timeline, & Costs

How to Prepare for an Audit

Automatización del Cumplimiento SOC 2

Recursos y Herramientas SOC 2