SOC 2
¿Qué es SOC 2?
SOC 2Estándar de atestación del AICPA en el que un auditor independiente evalúa los controles de una organización de servicios frente a los Trust Services Criteria.
SOC 2 (System and Organization Controls 2) es un encargo de atestación definido por el AICPA bajo la norma SSAE 18. Evalúa los controles de una organización de servicios respecto a los Trust Services Criteria: Seguridad (siempre obligatoria), Disponibilidad, Integridad de Procesamiento, Confidencialidad y Privacidad. Los informes se emiten como Tipo 1 (diseño de los controles en un momento dado) o Tipo 2 (efectividad operativa durante un periodo, normalmente de 3 a 12 meses). SOC 2 es muy utilizado por proveedores SaaS, cloud y de servicios gestionados para demostrar madurez de controles a clientes bajo acuerdo de confidencialidad. No es una certificación; el resultado es la opinión del auditor recogida en el informe SOC 2.
● Ejemplos
- 01
Una startup SaaS que obtiene un informe SOC 2 Tipo 1 sobre Seguridad y Confidencialidad en su primer año.
- 02
Un proveedor empresarial que entrega anualmente un SOC 2 Tipo 2 sobre Seguridad y Disponibilidad a sus clientes.
● Preguntas frecuentes
¿Qué es SOC 2?
Estándar de atestación del AICPA en el que un auditor independiente evalúa los controles de una organización de servicios frente a los Trust Services Criteria. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa SOC 2?
Estándar de atestación del AICPA en el que un auditor independiente evalúa los controles de una organización de servicios frente a los Trust Services Criteria.
¿Cómo defenderse de SOC 2?
Las defensas contra SOC 2 combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para SOC 2?
Nombres alternativos comunes: Service Organization Controls 2.