® 
SOC 2
Definicion
SOC 2 es un informe de auditoria americano que demuestra que un proveedor de servicios cumple con los estandares de seguridad del AICPA.
SOC 2 (Service Organization Control 2) es un marco de auditoria americano que demuestra que un proveedor de servicios cumple con los Trust Services Criteria del AICPA en materia de seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad. SOC 2 es especialmente relevante para proveedores SaaS, proveedores de servicios cloud y proveedores de servicios gestionados que sirven al mercado estadounidense.
Como funciona SOC 2?
Una auditoria SOC 2 la realiza una firma CPA independiente. Existen dos tipos: Tipo I evalua el diseno de los controles de seguridad en un momento especifico. Tipo II evalua la efectividad de los controles durante un periodo minimo de 6 meses. Tipo II es significativamente mas valioso ya que demuestra que los controles realmente funcionan.
Diferencia con ISO 27001
ISO 27001 es un certificado internacional centrado en el sistema de gestion de seguridad de la informacion. SOC 2 es un informe de auditoria americano para el mercado estadounidense.
Impacto para las organizaciones
Los clientes estadounidenses exigen cada vez mas informes SOC 2 como condicion para contratar servicios cloud. La falta de un informe SOC 2 puede ser una barrera para cerrar acuerdos con clientes de EE.UU.
Proteccion
Implemente medidas de seguridad que cumplan los Trust Services Criteria. Documente politicas, procesos y procedimientos. Realice una evaluacion de brechas antes de la auditoria.
Como ayuda DEFION
DEFION apoya la preparacion de auditorias SOC 2 mediante Security Assessments que evaluan la postura de seguridad actual frente a los Trust Services Criteria.