El marco SOC 2 se basa en cinco Criterios de Servicios de Confianza (anteriormente llamados los Principios de Servicios de Confianza), definidos por el Instituto Americano de Contadores Públicos Certificados (AICPA).
Estos Criterios de Servicios de Confianza son los elementos básicos de su postura de ciberseguridad. Incluyen controles de organización, evaluación de riesgos, mitigación de riesgos, gestión de riesgos y gestión de cambios.
Los cinco Criterios de Servicios de Confianza son:
- Seguridad: Protección de la información contra vulnerabilidades y acceso no autorizado
- Disponibilidad: Garantizar que los empleados y clientes puedan confiar en sus sistemas para realizar su trabajo
- Integridad del procesamiento: Verificar que los sistemas de la empresa operen según lo previsto
- Confidencialidad: Proteger la información confidencial limitando su acceso, almacenamiento y uso
- Privacidad: Salvaguardar la información personal sensible contra usuarios no autorizados
La seguridad es el único CSC requerido para cada auditoría SOC 2. Los criterios adicionales son opcionales según los servicios que proporcione a sus clientes.
Muchas organizaciones no tienen los recursos para llevar sus sistemas de seguridad de la información y controles internos al cumplimiento de todos los CSC.
Es mejor perseguir el CSC que esté más cerca de lograr o aquellos que tendrán el mayor impacto en su organización. Siempre puede optar por los otros más adelante.
¿Cuáles son los cinco Criterios de Servicios de Confianza del AICPA?
1. Seguridad
El Criterio de Seguridad se trata de proteger la información contra divulgaciones no autorizadas.
Los Criterios de Seguridad también se conocen como los Criterios Comunes. Demuestran que los sistemas y el entorno de control de una organización de servicios están protegidos contra el acceso no autorizado y otros riesgos.
La seguridad es el único Criterio de Servicios de Confianza requerido para cada auditoría SOC 2. Los otros criterios pueden añadirse a su alcance de informe si su organización lo elige, pero no son necesarios para lograr el cumplimiento de SOC 2.
2. Disponibilidad
Los Criterios de Disponibilidad determinan si sus empleados y clientes pueden confiar en sus sistemas para realizar su trabajo.
Algunos ejemplos son las copias de seguridad de datos, la recuperación ante desastres y la planificación de la continuidad del negocio. Cada uno de estos minimiza el tiempo de inactividad en caso de una interrupción. Por ejemplo, si su centro de datos se inunda, tiene múltiples redundancias de energía y computación. Esto asegura que los datos estén disponibles incluso en caso de falla del hardware.
Considere agregar a su SOC 2 si:
- Ofrece una plataforma de entrega o implementación continua.
- Una interrupción impediría que sus clientes construyeran o implementaran cambios en sus servicios. (Por ejemplo, proveedores de computación en la nube o almacenamiento de datos en la nube)
3. Integridad del Procesamiento
Los Criterios de Integridad del Procesamiento determinan si un sistema funciona correctamente. ¿Realiza sus funciones previstas sin retrasos, errores, omisiones o manipulaciones accidentales?
Esto no es lo mismo que la integridad de los datos: un sistema puede funcionar correctamente con datos incorrectos. Por ejemplo, supongamos que eres una empresa de comercio electrónico. Si un cliente puede completar el proceso de realizar un pedido, tu empresa cumple con los Criterios de Integridad del Procesamiento.
Ahora supongamos que el cliente introduce accidentalmente una dirección incorrecta. Este es un ejemplo de una mala integridad de datos. Es posible que aún cumplas con el requisito de integridad del procesamiento. Tu sistema funciona como se supone que debe hacerlo, entregando ese artículo a la dirección especificada. Simplemente no llegará a la puerta del cliente correcto.
Considera agregar a tu SOC 2 si:
- Proporcionas servicios de informes financieros o eres una empresa de comercio electrónico.
- Necesitas asegurarte de que el procesamiento de tus transacciones sea preciso para combatir el fraude.
4. Confidencialidad
Los Criterios de Confidencialidad evalúan cómo las organizaciones protegen la información confidencial. Es decir, limitando su acceso, almacenamiento y uso. Esto puede ayudar a las organizaciones a definir qué individuos pueden acceder a qué datos y cómo esos datos pueden ser compartidos. Esto asegura que solo las personas autorizadas puedan ver información sensible, como documentos legales o propiedad intelectual.
Considera agregar a tu SOC 2 si:
- Tu organización maneja información confidencial. Ejemplos incluyen informes financieros, contraseñas, estrategias comerciales y propiedad intelectual.
5. Privacidad
Este TSC examina cómo las actividades de control de una organización protegen la información de identificación personal (PII) de los clientes. También garantiza que un sistema que utiliza datos personales cumpla con los Principios de Privacidad Generalmente Aceptados de la AICPA.
Nombre, dirección física, dirección de correo electrónico y número de Seguro Social son algunos ejemplos de información que se encuentran bajo esta categoría de privacidad. Datos como salud, raza y sexualidad también pueden ser relevantes para la privacidad de algunas empresas y proveedores de servicios.
Considera agregar a tu SOC 2 si:
- Tu organización recopila, almacena, utiliza, conserva, revela o desecha información personal.