¿Qué es SOC 2 Cumplimiento?

SOC 2 es un estándar voluntario de cumplimiento para organizaciones de servicio, desarrollado por el Instituto Americano de CPAs (AICPA), que especifica cómo deben gestionar las organizaciones los datos de los clientes. La norma se basa en los siguientes Criterios de Servicios de Fideicomiso: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Un reporte SOC 2 se adapta a las necesidades únicas de cada organización. Dependiendo de sus prácticas empresariales específicas, cada organización puede diseñar controles que sigan uno o más principios de confianza. Estos reportes internos proporcionan a las organizaciones y a sus reguladores, socios comerciales y proveedores información importante sobre cómo la organización gestiona sus datos. Existen dos tipos de reportes SOC 2:

  • El Tipo I describe los sistemas de la organización y si el diseño del sistema cumple con los principios de confianza relevantes.
  • El Tipo II detalla la eficiencia operativa de estos sistemas.

Prueba gratis de CSPM Descargue la hoja de datos

SOC 2 Cumplimiento: lo básico y una lista de verificación de cumplimiento en 4 pasos

¿Por qué es importante SOC 2 Cumplimiento?

El cumplimiento de los requisitos SOC 2 indica que una organización mantiene un alto nivel de seguridad de la información. Requisitos estrictos de cumplimiento (probados mediante auditorías in situ) pueden ayudar a garantizar que la información sensible se maneje de forma responsable.

 

Cumplir con SOC 2 proporciona:

  • Mejoras en las prácticas de seguridad de la información : mediante las directrices SOC 2, la organización puede defender mejor contra ciberataques y prevenir brechas.
  • Un beneficio competitivo : porque los clientes prefieren trabajar con proveedores de servicios que pueden demostrar que tienen buenas prácticas de seguridad de la información, especialmente en servicios de TI y en la nube.

¿Quién puede realizar una auditoría SOC?

Las auditorías SOC solo pueden ser realizadas por CPAs (Contables Públicos Certificados) independientes o firmas de contabilidad.

 

AICPA estableció estándares profesionales destinados a regular el trabajo de los contralor del SOC. Además, deben seguir ciertas directrices relacionadas con la planeación, ejecución y supervisión de la auditoría. Todas las auditorías de la AICPA deben pasar por una revisión por pares.

 

Las organizaciones CPA pueden contratar profesionales no CPA con habilidades relevantes en tecnología de la información (TI) y seguridad para preparar para auditorías SOC, pero los reportes finales deben ser proporcionados y divulgados por el CPA.

 

Si la auditoría SOC realizada por el CPA tiene éxito, la organización de servicio puede agregar el logotipo de AICPA a su sitio web.

Criterio de seguridad SOC 2: una lista de verificación de 4 pasos

La seguridad es la base del SOC 2 Cumplimiento y es un estándar amplio común a los cinco Criterios de Servicio de Fideicomiso.

 

Los principios de seguridad SOC 2 se centran en prevenir el uso no autorizado de activos y datos gestionados por la organización. Este principio exige que las organizaciones implementen controles de acceso para prevenir ataques maliciosos, eliminación no autorizada de datos, uso indebido, alteración no autorizada o divulgación de información de la compañía.

 

Aquí tienes una lista básica de cumplimiento SOC 2, que incluye controles que cubren los estándares de seguridad:

  1. Controles de acceso: restricciones lógicas y físicas sobre los activos para evitar el acceso de personal no autorizado.
  2. Gestión del cambio: un proceso controlado para gestionar cambios en los sistemas informáticos y métodos para prevenir cambios no autorizados.
  3. Operaciones del sistema: controles que pueden monitorizar operaciones en curso, detectar y resolver cualquier desviación de los procedimientos organizacionales.
  4. Mitigación del riesgo: métodos y actividades que permiten a la organización identificar riesgos, así como responder y mitigarlos, mientras aborda cualquier negocio posterior.

 

Ten en cuenta que los criterios SOC 2 no prescriben exactamente lo que debe hacer una organización; están abiertos a interpretación. Las compañías son responsables de seleccionar e implementar medidas de control que cubran cada principio.

Requisitos de cumplimiento SOC 2: Otros criterios

La seguridad cubre lo básico. Sin embargo, si tu organización opera en el sector financiero o bancario, o en un sector donde la privacidad y la confidencialidad son primordiales, puede que necesites cumplir con estándares de cumplimiento más altos.

 

Los clientes prefieren proveedores de servicios que cumplan plenamente con los cinco principios SOC 2. Esto demuestra que su organización está firmemente comprometida con las prácticas de seguridad de la información.

 

Además de los principios básicos de seguridad, aquí tienes cómo cumplir con otros principios de SOC 2:

  • Disponibilidad: ¿puede el cliente acceder al sistema según los términos de uso y los niveles de servicio acordados?
  • Integridad del procesamiento: si la compañía ofrece transacciones financieras o de comercio electrónico, el reporte de auditoría debe incluir detalles administrativos diseñados para proteger la transacción. Por ejemplo, ¿la transmisión está cifrada? Si la compañía ofrece servicios de TI, como alojamiento y almacenamiento de datos, ¿cómo se mantiene la integridad de los datos dentro de esos servicios?
  • Confidencialidad: ¿existen restricciones sobre cómo se comparten los datos? Por ejemplo, si tu compañía tiene instrucciones específicas para procesar información personal identificable (PII) o información sanitaria protegida (PHI), esta debería incluir en el documento de auditoría. El documento debe especificar métodos y procedimientos de almacenamiento, transferencia y acceso de datos para cumplir con las políticas de privacidad, como los procedimientos para empleados.
  • Privacidad: ¿cómo recopila y emplea la organización la información de los clientes? La política de privacidad de la compañía debe ser coherente con los procedimientos operativos reales. Por ejemplo, si una compañía afirma advertir a los clientes cada vez que recopila datos, el documento de auditoría debe describir con precisión cómo se proporcionan las advertencias en el sitio web de la compañía u otro canal. La gestión de datos personales debe, como mínimo, seguir el Marco de Gestión de Privacidad (PMF) del AICPA .

SOC 1 vs SOC 2

SOC 1 y SOC 2 son dos estándares de cumplimiento diferentes, con objetivos distintos, ambos regulados por la AICPA. SOC 2 no es un "actualizar" de SOC 1. La siguiente tabla explica las diferencias entre SOC 1 y SOC 2.

SOC 1 SOC 2
Propósito Ayuda a una organización de servicios a informar sobre los controles internos relacionados con los estados financieros de sus clientes. Ayuda a una organización de servicios a informar sobre los controles internos que protegen los datos de los clientes, relevantes para los cinco Criterios de Servicios de Confianza.
Objetivos de control Una auditoría SOC 1 abarca el procesamiento y la protección de la información del cliente en los procesos empresariales y de TI. Una auditoría SOC 2 abarca todas las combinaciones de los cinco principios. Ciertas organizaciones de servicio, por ejemplo, se ocupan de la seguridad y la disponibilidad, mientras que otras pueden implementar los cinco principios debido a la naturaleza de sus operaciones y los requisitos regulatorios.
Auditoría destinada a El CPA de los gestores de la organización auditada, contralor externos, entidades usuarias (clientes de la organización de servicios auditadas) y CPA que auditan sus estados financieros. Ejecutivos, socios comerciales, prospectos, supervisores de cumplimiento y contralor externos de la organización auditada.
Auditoría empleada para Ayuda a las entidades usuarias a comprender el impacto de los controles de la organización de servicios en sus estados financieros. Monitorear las organizaciones de servicio, los planes de gestión de proveedores, la gobernanza corporativa interna y los procesos de gestión de riesgos, así como la supervisión regulatoria.

SOC 2 Cumplimiento con Check Point

Muchos productos de Check Pointcumplían con los criterios de servicios de confianza aplicables SOC 2 Cumplimiento, tales como: Check Point Gestión de Postura, Check Point Conectar, Workspace Security Productos, Check Point Portal y más. Consulta la lista completa aquí .