SOC, SOC 2
Contenido ocultar
1 Introducción
2 SOC 1, SOC 2 y SOC 3
3 SOC 2
4 Tipos de informes SOC 2
5 Marco COSO
6 Compatibilidad con otros sistemas de gestión ISO
Consúltenos
Los datos que nos facilita se utilizarán exclusivamente para atender su solicitud. Si desea ampliar información, visite https://www.encolaboracion.net/aviso-legal/
En las redes

SOC. System and Organization Controls

Introducción

SOC (System and Organization Controls-Controles de Sistemas y Organización) es una norma de cumplimiento voluntario para organizaciones de servicios, desarrollada por el Instituto Americano de CPA (AICPA), que especifica cómo deben gestionar las organizaciones los datos de los clientes.

La norma se basa en los siguientes Criterios de Servicios de Confianza (Trust Service Criteria): seguridad, disponibilidad, integridad del procesamiento, confidencialidad, privacidad.

ISAE 3000 es la norma internacional para la elaboración de informes sobre información no financiera, emitida por la IFAC (Federación Internacional de Contables).

SOC 1, SOC 2 y SOC 3

En función del tipo de alcance y/o propósito, el enfoque se dividen en tres clases:

  • SOC 1: Se refiere únicamente a los controles de una organización de servicios que afectan a los controles internos de la entidad usuaria sobre la información financiera, a partir del estándar ISAE 3402 o bien el SSAE18.
  • SOC 2: Se dirige al examen de los controles relativos al manejo de la información sensible, a partir del estándar ISAE 3000.
  • SOC 3: Son informes simplificados, poco detallados y de uso general basados en SOC 2, que pueden ser utilizados por las organizaciones de servicios como herramienta de marketing.

Los informes SOC 1 y SOC 2 están destinados a un público limitado, en concreto, usuarios con un conocimiento adecuado del sistema en cuestión.

Los informes SOC 3 contienen información menos específica y pueden distribuirse al público en general.

Además, existen informes SOC especializados en Ciberseguridad y Cadena de Suministro.

SOC 2

Los informes SOC 2 se centran en los controles abordados por los Criterios de Servicios de Confianza (Trust Service Criteria) que también apoyan la tríada CIA (confidencialidad, integridad, disponibilidad) de seguridad de la información:

  • Seguridad: la información y los sistemas están protegidos contra el acceso y la divulgación no autorizados, y contra daños al sistema que puedan comprometer la disponibilidad, confidencialidad, integridad y privacidad del sistema.
    • Cortafuegos
    • Detección de intrusos
    • Autenticación multifactor
  • Disponibilidad: la información y los sistemas están disponibles para su uso operativo.
    • Supervisión del rendimiento
    • Recuperación en caso de catástrofe
    • Gestión de incidentes
  • Confidencialidad: la información está protegida y disponible en función de la necesidad legítima de conocerla. Se aplica a varios tipos de información sensible.
    • Cifrado
    • Controles de acceso
    • Cortafuegos
  • Integridad del procesamiento: el procesamiento del sistema es completo, válido, preciso, puntual y autorizado.
    • Garantía de calidad
    • Supervisión del proceso
    • Cumplimiento de los principios
  • Privacidad: la información personal se recoge, utiliza, conserva, divulga y elimina de acuerdo con la política. La privacidad sólo se aplica a la información personal.
    • Control de acceso
    • Autenticación multifactor
    • Cifrado

Tipos de informes SOC 2

Hay dos tipos de informes:

  • El informe SOC 2 Tipo I describe los sistemas de un proveedor y un auditor de servicios confirma si el diseño del control es adecuado para cumplir los Criterios de Servicios de Confianza pertinentes.
  • El informe SOC 2 Tipo II también detalla la eficacia operativa de esos sistemas e incluye los procedimientos de prueba específicos sobre la eficacia operativa de los controles.

Marco COSO

Además de los requisitos de seguridad, los Criterios de Servicios de Confianza también contienen requisitos para un marco de control interno, incluida la gestión de riesgos, con los siguientes componentes: la infraestructura (la red, los componentes de hardware y el software de virtualización), el software (el sistema operativo, las aplicaciones y las utilidades), los procedimientos seguidos por los personas para controlar la seguridad y los datos (la información en los sistemas, incluidos los datos de las transacciones, las bases de datos y los archivos).

Compatibilidad con otros sistemas de gestión ISO

SOC se puede basar en un sistema de gestión de la seguridad de la información ISO 27001 y se puede integrar con el resto de los sistemas de gestión ISO y especialmente con sistemas de gestión de la calidad (ISO 9001), gestión del servicio (ISO 20000-1) y continuidad de negocio (ISO 22301).

Haga click, si desea conocer nuestros servicios en materia de gestión de la ciberseguridad o seguridad de la información.