Procurar el cumplimiento de SOC 2 puede sentirse como cocinar sin una receta.

Tus ingredientes son los controles que tu empresa implementa. El plato final es una postura de seguridad robusta y clientes confiados.

Pero sin una lista de verificación de cumplimiento establecida, ¿cómo se supone que debes saber qué priorizar?

Este artículo te dirá todo lo que necesitas saber sobre los requisitos de SOC 2.

¿Qué es un Informe SOC 2?

Un informe SOC 2 es una forma de generar confianza con tus clientes. Como una organización de servicios externa, trabajas directamente con muchos de los datos más sensibles de tus clientes. Un informe SOC 2 es evidencia de que manejarás esos datos de clientes de manera responsable.

Para obtener un informe SOC 2, debes someterte a una auditoría por un auditor externo. Un auditor SOC 2 será ya sea un CPA o una firma certificada por el Instituto Americano de Contadores Públicos Certificados (AICPA). Ellos evaluarán tu postura de seguridad para determinar si tus políticas, procesos y controles cumplen con los requisitos de SOC 2.

SOC 2 es solo un tipo de informe SOC. Hay tres en total: SOC 1, SOC 2 y SOC 3.

SOC 1 está diseñado específicamente para organizaciones de servicios que proporcionan servicios de informes financieros.

SOC 2 es un estándar para la seguridad de la información basado en los Criterios de Servicios de Confianza. Está abierto a cualquier proveedor de servicios y es el más comúnmente solicitado por los clientes potenciales.

SOC 3 también está basado en los TSC pero es menos exhaustivo, con resultados que pueden compartirse públicamente.

SOC 1 y SOC 2 vienen en dos subcategorías: Tipo I y Tipo II. Un informe SOC de Tipo I se enfoca en los sistemas de control de seguridad de datos de la organización de servicios en un momento específico.

Un informe SOC de Tipo II toma más tiempo y evalúa los controles durante un período de tiempo, típicamente entre 3-12 meses. El auditor realiza experimentos como pruebas de penetración para ver cómo la organización de servicios maneja riesgos reales de seguridad de datos.

¿Cuáles son los Puntos de Enfoque del AICPA?

A diferencia de un proceso de certificación rígido como ISO 27001, no existe una lista específica de requisitos de SOC 2.

En su lugar, los Criterios de Servicios de Confianza del AICPA brindan pautas para estructurar cada auditoría. También ofrecen "puntos de enfoque" para ayudar a las empresas a implementar controles.

Estos puntos de enfoque comparten ejemplos de cómo una organización puede cumplir con los requisitos de cada Criterio de Servicios de Confianza. Aquí hay un ejemplo de la guía del AICPA para los Criterios de Servicios de Confianza:

El segundo punto de enfoque menciona estándares de conducta que están claramente definidos y comunicados en todos los niveles del negocio. Implementar una política de Código de Conducta es un ejemplo de cómo las organizaciones pueden cumplir con los requisitos de CC1.1.

Aun así, cada empresa deberá decidir qué controles necesitarán para que sus sistemas cumplan con los estándares de SOC 2.

¿Cuáles son los Requisitos para el Cumplimiento de SOC 2?

Antes de comenzar una auditoría formal de SOC 2, necesitarás entender los detalles de los Criterios de Servicios de Confianza (TSC) ya que son la base de todos los requisitos de SOC 2.

  • Seguridad de la información: ¿Cómo proteges tus datos de accesos y usos no autorizados?
  • Controles de acceso lógicos y físicos: ¿Cómo gestiona y restringe su empresa el acceso lógico y físico para prevenir el uso no autorizado?
  • Operaciones del sistema: ¿Cómo gestionas las operaciones de tu sistema para detectar y mitigar desviaciones del proceso?
  • Gestión de cambios: ¿Cómo implementas un proceso de gestión de cambios controlado y previenes cambios no autorizados?
  • Mitigación de riesgos: ¿Cómo identificas y mitigas el riesgo de interrupciones comerciales y servicios de proveedores?

Para cumplir con los criterios de Controles de Acceso Lógicos y Físicos, una empresa podría establecer nuevos procesos de incorporación de empleados, implementar autenticación multifactor y instalar sistemas para prevenir la descarga de datos de clientes.

Otra empresa podría restringir el acceso físico a los centros de datos, realizar revisiones trimestrales de acceso y permisos de usuarios, y monitorear los sistemas de producción.

Nuevamente, no se requiere una combinación específica de políticas o procesos. Lo único que importa es que los controles implementados cumplan con el criterio particular de los TSC.

¿Cuáles son los Criterios de Servicios de Confianza?

Esta sección presenta los cinco Criterios de Servicios de Confianza, junto con algunos ejemplos de controles que un auditor podría derivar de cada uno.

Seguridad

Todos los requisitos de SOC 2 son opcionales, excepto aquellos que caen bajo la categoría de Seguridad.

Esta categoría cubre las defensas contra todas las formas de ataques. Esto cubre desde ataques de intermediarios hasta individuos maliciosos accediendo a tus servidores.

Un auditor podría verificar sistemas de autenticación de dos factores y firewalls de aplicaciones web. Pero también observarán cosas que influyen indirectamente en la seguridad, como las políticas que determinan quién es contratado para roles de seguridad.

Privacidad

La privacidad se aplica a cualquier información que se considere sensible por su naturaleza personal.

Para cumplir con los requisitos de SOC 2 para la privacidad, una organización debe comunicar sus políticas a cualquier persona cuya información almacenen.

Si tu organización recopila información sensible, debe:

  • Obtener el consentimiento del sujeto
  • Limitar la cantidad de información privada que recopila tanto como sea posible
  • Recopilarla por medios legales
  • Usarla solo para los fines para los que fue recopilada
  • Desecharla al final de un período definido de retención de datos
SOC 2 requirements include:
-Communicate policies to affected parties: Do you have a process for obtaining consent to collect sensitive information? How do you communicate your policies to those whose personal data you store?
-Use clear language: Is the language used in your company’s privacy policy free of jargon and misleading language?
-Collect information from reliable sources: How do you ensure that your data collection processes are legal and your data sources are reliable?

Confidencialidad

La información confidencial es diferente de la información privada en que, para ser útil, debe compartirse con otras partes.

El ejemplo más común es la información de salud. Es altamente sensible, pero no tiene valor si no se puede compartir entre hospitales y especialistas.

En lugar de mantener la información totalmente segura, la categoría de confidencialidad se enfoca en intercambiarla de manera segura.

SOC 2 requirements include:
-Identify confidential information: Are processes in place to identify confidential information once it’s created or received? Are there policies to determine how long it should be retained?
-Destroy confidential information: How will confidential information be deleted at the end of the retention period?

Integridad del Procesamiento

¿Funcionan los sistemas utilizados para almacenar, procesar y recuperar información de la manera en que se supone que deben hacerlo?

La integridad del procesamiento se aleja de la seguridad de la información para preguntar si se puede confiar en una organización de servicios en otras áreas de su trabajo.

Algunos controles en la serie PI se refieren a la capacidad de la organización para definir qué datos necesita para alcanzar sus objetivos. Otros definen la integridad del procesamiento en términos de entradas y salidas.

Por ejemplo, si un cliente ingresa un pedido en un sitio web de comercio electrónico, la salida es la entrega rápida del producto.

SOC 2 requirements include:
-Create and maintain records of system inputs and outputs: Do you have accurate records of system input activities? Are outputs only being distributed to their intended recipients?
-Detect and address errors: Is there a process to detect and correct errors as fast as possible?
-Define processing activities: Have you defined processing activities to ensure products or services meet their specifications?

Disponibilidad

Los controles de Disponibilidad en SOC 2 se enfocan en minimizar el tiempo de inactividad. La evaluación de riesgos es de vital importancia para esta categoría.

Con los controles de la serie A1, las empresas deben:

  • Predecir la capacidad del sistema
  • Identificar y mitigar amenazas ambientales
  • Identificar datos que necesitan ser respaldados
SOC 2 requirements include:
-Minimizing downtime: Are the systems of the service organization backed up securely? Is there a recovery plan in case of a disaster? Is there a business continuity plan that can be applied to unforeseen events?
-Measuring current usage: Is there a baseline for capacity management? How can you mitigate impaired availability due to capacity constraints?
-Identifying environmental threats: What environmental hazards could impact system availability? E.g., Hurricanes, tornadoes, earthquakes, wildfires, power loss, etc.

¿Qué es una Evaluación de Preparación de SOC 2?

La mayoría de las empresas realizan una evaluación de preparación antes de buscar una auditoría SOC 2.

Una evaluación de preparación SOC 2 es como tomar un examen de práctica. Has revisado el TSC, determinado qué criterios se aplican y documentado controles internos. La evaluación de preparación sirve como una práctica, estimando cómo iría la auditoría si la completaras hoy.

Una evaluación de preparación es realizada por un auditor experimentado, casi siempre alguien que también está certificado para realizar la auditoría SOC 2. Al final, recibirás una carta que explica dónde podrías no cumplir con SOC 2. Utiliza esta carta para determinar qué necesitas hacer todavía para cumplir con los requisitos de SOC 2 y llenar cualquier vacío.

Si sigues el consejo que recibes de tu evaluación de preparación, es mucho más probable que obtengas un informe favorable de SOC 2.

Entender los Requisitos de SOC 2

Aunque el AICPA proporciona orientación útil en forma de puntos de enfoque TSC, no hay una lista de verificación de requisitos de SOC 2 clara.

A primera vista, eso puede parecer frustrante. Pero cuanto más avances en el proceso de cumplimiento, más comenzarás a ver esta ausencia como una característica, no como un error.

Si los requisitos de SOC 2 fueran demasiado rígidos, podrían no tener sentido para tu negocio. Los Criterios de Servicios de Confianza hacen de SOC 2 un estándar versátil y adaptable.