Consultoría AICPA SOC 2

SOC 2 es un nuevo estándar creado recientemente en el campo de la seguridad, pero está creciendo constantemente y ya ha sido adoptado por una multitud de proveedores de servicios cloud. Podemos ayudarle a obtener su acreditación SOC2

Solicitar información

¿Qué es SOC 2?

SOC significa Service Organization Control. Existen varios tipos diferentes de informes SOC: en pocas palabras, el SOC 1 trata con información financiera y el SOC 2 trata con información no financiera. Específicamente, SOC 2 ofrece a los proveedores de servicios de información (como las empresas de software) una forma de verificar sus controles para proteger y asegurar los datos, así como asegurarse de que sean accesibles.

Los informes SOC están diseñados para ayudar a las organizaciones de servicios que trabajan con sistemas de información y proporcionan servicios de sistemas de información a otras entidades, a fomentar la confianza en sus procesos y controles de prestación de servicios a través de un informe de un contable público certificado independiente.

El Comité Ejecutivo de Servicios de Garantía de AICPA (ASEC) ha desarrollado un conjunto de principios y criterios (principios y criterios de los servicios de confianza) que se utilizarán para evaluar los controles pertinentes para verificar la seguridad, disponibilidad o integridad de procesamiento de un sistema, o la confidencialidad o privacidad de la información procesada por un sistema.

El SOC 2 es un informe de la AICPA que permite al auditor de servicio emitir una opinión sobre los siguientes principios:

  • Seguridad: El sistema está protegido contra el acceso no autorizado, uso o modificación para cumplir con los compromisos de la entidad y los requisitos del sistema.
  • Disponibilidad: El sistema está disponible para operación y uso para cumplir con los compromisos de la entidad y los requisitos del sistema.
  • Integridad de procesamiento: El procesamiento del sistema es completo, válido, preciso, oportuno y autorizado para cumplir con los compromisos de la entidad y los requisitos del sistema.
  • Confidencialidad: La información designada como confidencial está protegida para cumplir con los compromisos de la entidad y los requisitos del sistema.
  • Privacidad: La información personal es recopilada, utilizada, retenida, divulgada y dispuesta para cumplir con los compromisos de la entidad y los requisitos del sistema.

Un informe SOC2 puede incluir uno o varios de los Principios de Servicios de Confianza arriba descritos, pero debe abordarlo por complete, a no se ser que se estime no aplicable.

Para cada uno de los principios hay criterios detallados que sirven como puntos de referencia utilizados para medir y presentar la materia y contra los cuales el profesional evalúa. Los atributos de los criterios son: Objetividad, Medición, Completitud y Relevancia.

Los informes de SOC cubren situaciones en las que una empresa subcontrata parte de su negocio o tecnología a otra empresa. Ejemplos de proveedores de servicios en los que un informe SOC 2 podría ser relevante incluyen cloud computing, centros de llamadas de clientes, servicios de TI subcontratados, etcétera

Criterios para los Servicios de Confianza

Muchos de los criterios utilizados para evaluar un sistema se comparten entre todos los principios; por ejemplo, los criterios relacionados con la gestión de riesgos se aplican a los principios de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Como resultado, los criterios de los servicios de confianza consisten en criterios comunes a los cinco principios (criterios comunes) y criterios adicionales específicos para los principios de disponibilidad, integridad del procesamiento, confidencialidad y privacidad.

Para el principio de seguridad, los criterios comunes constituyen el conjunto completo de criterios. Para los principios de disponibilidad, integridad del procesamiento, confidencialidad y privacidad, un conjunto completo de criterios consiste en los criterios comunes y los criterios aplicables a los principios abordados.

Se considera que los criterios para un principio abordado por el compromiso sólo están completos si todos los criterios asociados con ese principio son abordados por el compromiso. Los criterios comunes están organizados en siete categorías:

  • Organización y gestión.
  • Comunicaciones.
  • Gestión de riesgos y diseño e implementación de controles.
  • Monitoreo de controles.
  • Controles de acceso físico y lógico.
  • Operaciones del sistema.
  • Gestión de cambios.

Los informes más comunes basados en los principios de confianza se denominan WebTrust y SysTrust..

Ha habido una actualización importante del SOC 2 desde su implementación inicial. Póngase en contacto con nosotros para obtener más información sobre las diferencias de SOC2+ y cómo se puede aprovechar para reducir los costes y esfuerzos generales de cumplimiento normativo.

¿Cómo podemos ayudarte?

  1. Consultoría

    Si ya estás inmerso en el proceso de acreditación te proporcionamos consultoría independiente al auditor para superar con éxito y sin demasiado esfuerzo la auditoría

  2. Acreditación

    Si deseas acreditarte, nosotros contamos con los medios necesarios para realizar la auditoría de tus sistemas

  3. Informe Tipo I

    Te ayudamos en la elaboración de un informe de tipo 1 describiendo la organización del sistema

  4. Informe Tipo II

    Verificamos la efectividad operativa de los controles implementados y descritos

  5. Análisis de deficiencias

    Comprobamos el estado actual de tus sistemas y te proporcionamos un informe de los cambios que necesitas para acceder a la acreditación AICPA SOC 2

  6. ISO 27001

    Aprovechamos la documentación que ya poseas de otra certificación como ISO 27001 y te ayudamos a reducir el esfuerzo en base a la misma. Si lo deseas te acompañamos de forma paralela en ambas certificaciones.