Comprender el cumplimiento SOC 1 frente a SOC 2 frente a SOC 3

por

El cumplimiento es un aspecto crucial del crecimiento de su organización.

Suponga que desea administrar un negocio de SaaS y dirigirse a clientes del mercado medio. En ese caso, debe cumplir con las normas y reglamentos aplicables y mantener una postura de seguridad más sólida para su empresa.

Muchas organizaciones intentan eludir estos requisitos aplicando cuestionarios de seguridad.

Entonces, cuando un cliente o un cliente exige un certificado SOC, puede darse cuenta de lo importante que es cumplir con las regulaciones.

El cumplimiento del control de la organización de servicios (SOC) se refiere a un tipo de certificación en el que una organización completa una auditoría de terceros que muestra ciertos controles que tiene su organización. El cumplimiento de SOC también es aplicable a la ciberseguridad de la cadena de suministro y SOC.

En abril de 2010, el Instituto Estadounidense de Contadores Públicos Certificados (AICPA, por sus siglas en inglés) anunció el cambio de SAS 70. El nuevo estándar de auditoría refinado se denomina Declaración sobre estándares para compromisos de atestación (SSAE 16).

Junto con la auditoría SSAE 16, también se han establecido otros tres informes para examinar los controles de una organización de servicios. Estos se denominan informes SOC y contienen tres informes: informes SOC 1, SOC 2 y SOC 3 que tienen diferentes objetivos.

En este artículo, mencionaré cada informe SOC y dónde aplicarlos y cómo encajan en la seguridad de TI.

¡Aquí vamos!

¿Qué es exactamente un informe SOC?

Los informes SOC pueden considerarse una ventaja competitiva que beneficia a una organización en términos de dinero y tiempo. Utiliza auditores externos e independientes para examinar diferentes aspectos de una organización, que incluyen:

  • Disponibilidad
  • Confidencialidad
  • Privacidad
  • Integridad de procesamiento
  • Seguridad
  • Controles relacionados con la ciberseguridad
  • Controles relacionados con la información financiera

Los informes SOC permiten que una empresa se sienta segura de que los posibles proveedores de servicios están operando de manera ética y conforme a las normas. Aunque las auditorías pueden ser complicadas, pueden ofrecer una seguridad y confianza inmensas. Los informes SOC ayudan a establecer la confiabilidad y credibilidad de un proveedor de servicios.

Además, los informes SOC son útiles para:

  • Programas de gestión de proveedores.
  • Supervisión de la organización
  • Supervisión regulatoria
  • Proceso de gestión de riesgos y gobierno corporativo interno

¿Por qué es esencial un informe SOC?

Se necesitan varias organizaciones de servicios, como empresas de centros de datos, proveedores de SaaS, administradores de préstamos y procesadores de reclamaciones, para someterse a un examen SOC. Estas organizaciones necesitan almacenar datos financieros o datos confidenciales de sus clientes o entidades usuarias.

Así, cualquier empresa que preste servicios a otras empresas o usuarios puede beneficiarse del examen SOC. Un informe SOC no solo permite que sus clientes potenciales sepan que la empresa es legítima, sino que también revela ante usted las fallas y debilidades de sus controles o clientes a través de procesos de evaluación.

¿Qué puede esperar de una evaluación SOC?

Antes de pasar por un proceso de evaluación de SOC, debe determinar qué tipo de informe de SOC necesita que se adapte mejor a su organización. A continuación, comenzará un proceso oficial con la evaluación de preparación.

Las organizaciones de servicios se preparan para el examen mediante la identificación de posibles señales de alerta, brechas, deficiencias y más. De esta manera, la empresa puede comprender las opciones disponibles para reparar estas fallas y debilidades.

¿Quién puede realizar una auditoría SOC?

Las auditorías SOC son realizadas por Contadores Públicos Certificados (CPA, por sus siglas en inglés) independientes o firmas de contabilidad.

AICPA establece estándares profesionales destinados a regular el trabajo de los auditores de SOC. Además de esto, las organizaciones deben seguir ciertas pautas con respecto a la ejecución, la planificación y la supervisión.

Cada auditoría de AICPA luego se somete a una revisión por pares. Las organizaciones o firmas de CPA también contratan a profesionales que no son CPA con conocimientos de seguridad y tecnología de la información para prepararse para una auditoría SOC. Pero, el informe final debe ser revisado y divulgado por la CPA.

Repasemos cada informe por separado para entender cómo funcionan.

¿Qué es el SOC 1?

El objetivo principal del SOC 1 es controlar los objetivos dentro de los documentos del SOC 1 y las áreas de proceso de los controles internos que son relevantes para la auditoría de los estados financieros de la entidad usuaria.

En pocas palabras, le informa cuándo los servicios de la organización afectan los informes financieros de una entidad usuaria.

¿Qué es un informe SOC 1?

Un informe SOC 1 determina el control de la organización de servicios aplicable al control de la entidad usuaria sobre la información financiera. Está diseñado para satisfacer las demandas de las entidades usuarias. En esto, los contadores evalúan la eficacia de los controles internos de la organización de servicios.

Hay dos tipos de informes SOC 1:

  • SOC 1 Tipo 1: este informe generalmente se concentra en el sistema de una organización de servicios y verifica la idoneidad de los controles del sistema para lograr los objetivos de control junto con la descripción en la fecha especificada.

Los informes SOC 1 Tipo 1 solo están restringidos a auditores, gerentes y entidades usuarias; por lo general, los proveedores de servicios pertenecen a cualquier organización de servicios. Un auditor de servicio determina el informe que cubre todos los requisitos del SSAE 16.

  • SOC 1 Tipo 2: Este informe tiene opiniones y análisis similares a los del informe SOC 1 Tipo 1. Pero, incluye opiniones sobre la efectividad de los controles preestablecidos diseñados para lograr todos los objetivos de control durante un período específico.

En un informe SOC 1 Tipo 2, los objetivos de control conducen a riesgos potenciales que el control interno desea mitigar. El alcance incluye dominios de control relevantes y ofrece garantías razonables. También dice que hay un límite para realizar solo acciones autorizadas y apropiadas.

¿Cuál es el propósito de SOC 1?

Como ya comentamos, SOC 1 es la primera parte de la serie Control de la organización de servicios que aborda los controles internos en los informes financieros. Es aplicable a empresas que interactúan directamente con datos financieros de socios y clientes.

Por lo tanto, asegura la interacción de una organización, almacenando los estados financieros de los usuarios y transmitiéndolos. Sin embargo, el informe SOC 1 ayuda a los inversionistas, clientes, auditores y la gerencia a evaluar los controles internos sobre los informes financieros dentro de las pautas de AICPA.

¿Cómo mantener el cumplimiento de SOC 1?

El cumplimiento de SOC 1 define el proceso de gestión de todos los controles SOC 1 agregados dentro del informe SOC 1 durante un período definido. Asegura la efectividad de la operación de las reglas SOC 1.

Los controles son generalmente controles de TI, controles de procesos de negocio, etc., utilizados para ofrecer una seguridad razonable basada en los objetivos de control.

¿Qué es SOC 2?

SOC 2, desarrollado por AICPA, describe los criterios para controlar o administrar la información del cliente con base en 5 principios para brindar servicios confiables: Estos principios son:

  • La disponibilidad incluye recuperación ante desastres, gestión de incidentes de seguridad y supervisión del rendimiento.
  • Privacidad: incluye cifrado, autenticación de dos factores (2FA) y control de acceso.
  • Seguridad: incluye detección de intrusos, autenticación de dos factores y firewalls de red o aplicaciones.
  • Confidencialidad: Incluye controles de acceso, encriptación y firewalls de aplicaciones.
  • Integridad del procesamiento: Incluye el seguimiento del procesamiento y el aseguramiento de la calidad.

SOC 2 es único para cada organización debido a sus estrictos requisitos, a diferencia de PCI DSS. Con prácticas comerciales específicas, cada diseño tiene su control para cumplir con múltiples principios de confianza.

¿Qué es un informe SOC 2?

Un informe SOC 2 permite a las organizaciones de servicios recibir y compartir un informe con las partes interesadas para describir general; Controles de TI que están seguros en el lugar.

Hay dos tipos de informes SOC 2:

  • SOC 2 Tipo 1: Describe los sistemas del proveedor e indica si el diseño del proveedor es adecuado para cumplir con los principios de confianza.
  • SOC 2 Tipo 2: Comparte los detalles de la efectividad operativa de los sistemas del proveedor.

SOC 2 difiere de una organización a otra con respecto a los marcos y estándares de seguridad de la información, ya que no hay requisitos definidos. AICPA proporciona criterios que una organización de servicios selecciona para demostrar los controles que tiene implementados para salvaguardar los servicios ofrecidos.

¿Cuál es el propósito de SOC 2?

El cumplimiento del SOC 2 indica que la organización controla y mantiene un alto nivel de seguridad de la información. El cumplimiento estricto permite a las organizaciones garantizar que su información crítica esté segura.

Al cumplir con SOC 2, obtendrá:

  • Prácticas mejoradas de seguridad de datos donde la organización se defiende de ataques cibernéticos y violaciones de seguridad.
  • Ventaja competitiva ya que los clientes quieren trabajar con proveedores de servicios con sólidas prácticas de seguridad de datos, especialmente para servicios en la nube y de TI.

Restringe el uso no autorizado de los datos y activos que maneja una organización. Los principios de seguridad requieren que las organizaciones agreguen controles de acceso para proteger los datos de ataques maliciosos, uso indebido, divulgación o alteración no autorizada de la información de la empresa y eliminación de datos no autorizada.

¿Cómo mantener el cumplimiento de SOC 2?

El cumplimiento de SOC 2 es un estándar voluntario desarrollado por AICPA que especifica cómo una organización administra la información de sus clientes. El estándar se describe con cinco Criterios de Servicios de Confianza, es decir, seguridad, integridad de procesamiento, confidencialidad, privacidad y disponibilidad.

El cumplimiento de SOC se adapta a las necesidades de cada organización. Dependiendo de las prácticas comerciales, una organización puede elegir controles de diseño que deben seguir uno o más Principios de Servicio de Confianza. Se extiende a todos los servicios, incluida la protección DDoS, equilibrio de carga, análisis de ataques, seguridad de aplicaciones web, entrega de contenido a través de CDN y más.

En términos simples, el cumplimiento de SOC 2 no es una lista descriptiva de herramientas, procesos o controles; en cambio, cita la necesidad de criterios cruciales para mantener la seguridad de la información. Esto permite que cada organización adopte los mejores procesos y prácticas relevantes para sus operaciones y objetivos.

A continuación se muestra la lista de verificación del cumplimiento básico de SOC 2:

  • Controles de acceso
  • Operaciones del sistema
  • Riesgo atenuante
  • Gestión del cambio

¿Qué es SOC 3?

Un SOC 3 es un procedimiento de auditoría que AICPA desarrolla para definir la solidez del control interno de una organización de servicios sobre los centros de datos y la seguridad en la nube. Un marco SOC 3 también se basa en los criterios de servicios de confianza que incluyen:

  • Seguridad: los sistemas y la información están seguros contra la divulgación no autorizada, el acceso no autorizado y los daños a los sistemas.
  • Integridad del proceso: el procesamiento del sistema es válido, preciso, autorizado, oportuno y completo para satisfacer las demandas de la entidad.
  • Disponibilidad: Los sistemas e información están disponibles para su uso y operación para atender las demandas de la entidad.
  • Privacidad: la información personal se usa, divulga, elimina, retiene y recopila para cumplir con las demandas de la entidad.
  • Confidencialidad: La información designada como crítica se protege para cumplir con los requisitos de la entidad.

Con la ayuda de SOC 3, las organizaciones de servicios determinan cuál de estos criterios de servicios de confianza se aplica al servicio que ofrecen a los clientes. También encontrará informes adicionales, requisitos de rendimiento y orientación de aplicación en las Declaraciones sobre estándares.

¿Qué es un informe SOC 3?

Los informes SOC 3 tienen la misma información que SOC 2 pero difieren en cuanto a la audiencia. Un informe SOC 3 está destinado únicamente al público general. Estos informes son breves y no incluyen precisamente los mismos datos que un informe SOC 2. Se construyen de manera adecuada para las partes interesadas y las audiencias informadas.

Dado que un informe SOC 3 es más general, se puede compartir rápida y abiertamente en el sitio web de una empresa, junto con un sello que describe su cumplimiento. Ayuda a mantenerse al día con las normas internacionales de contabilidad.

Por ejemplo, AWS permite descargas públicas del informe SOC 3.

¿Cuál es el propósito de SOC 3?

Las empresas, especialmente las pequeñas o las nuevas empresas, generalmente no tienen suficientes recursos para controlar o mantener ciertos servicios esenciales internamente. Por lo tanto, estas empresas a menudo subcontratan los servicios a proveedores externos en lugar de invertir esfuerzo o dinero extra en la creación de un nuevo departamento para esos servicios.

Por lo tanto, la subcontratación es una mejor opción, pero puede ser riesgosa. El motivo es que una organización comparte datos de clientes o información confidencial con proveedores externos, según los servicios que la organización decida subcontratar.

Sin embargo, las organizaciones deben asociarse solo con proveedores que demuestren el cumplimiento de SOC 3.

El cumplimiento de SOC 3 se basa en AT-C Sección 205 y AT-C Sección 105 de SSAE 18. Incluye la información básica de la descripción de la administración independiente y el informe del auditor. Se aplica a todos los proveedores de servicios que almacenan información de clientes en la nube, incluidos los proveedores de PaaS, IaaS y SaaS.

¿Cómo mantener el cumplimiento de SOC 3?

SOC 3 es la versión posterior de SOC 2, por lo que el procedimiento de auditoría es el mismo. Los auditores de servicios buscan las siguientes políticas y controles:

Una vez que se completa la auditoría, el auditor genera un informe basado en los hallazgos. Pero un informe SOC 3 es mucho menos detallado, ya que solo comparte la información necesaria para el público. La organización de servicios comparte libremente los resultados después de completar la auditoría final con fines de marketing. Le dice en qué concentrarse para pasar la auditoría. Por lo tanto, se recomienda a la organización de servicios que:

  • Seleccione cuidadosamente los controles.
  • Llevar a cabo una evaluación para identificar brechas dentro de los controles.
  • Averiguar la actividad regular
  • Describir los próximos pasos para la alerta de incidentes
  • Búsqueda de un auditor de servicio calificado para realizar el examen final

Ahora que tiene una idea de cada tipo de cumplimiento, comprendamos las diferencias entre los tres para saber cómo ayudan a cada empresa a mantenerse en el mercado.

SOC 1 vs SOC 2 vs SOC 3: Diferencias

La siguiente tabla describe los propósitos y beneficios de cada informe SOC.

SOC 1SOC 2SOC 3Da opiniones sobre el diseño de tipo 1 y el diseño u operación de tipo 2, incluidos los procedimientos y resultados de las pruebas. . No incluye procedimientos de prueba, resultados o controles. Controla los requisitos esenciales para los controles internos en torno a la información financiera. Los controles no financieros se evalúan con los cinco Principios de confianza esenciales para el tema. También depende de los cinco Servicios de confianza. Criterios. Distribución limitada a clientes y auditores En el informe se definirán reguladores, clientes y auditores de distribución limitada. Ayudar en la comercialización del cliente. Distribución sin restricciones Mantiene la transparencia en la descripción, control, procedimiento y resultado del sistema. Brinda un nivel de transparencia precisamente similar al SOC 1 Distribución general de los informes para beneficios de marketing. Se enfoca en los controles financieros. Se enfoca en los controles operativos. Es similar al SOC 2 pero con menos información. Describe los sistemas de la organización de servicios. También describe los sistemas de la organización de servicios. Describe la opinión del CPA sobre los controles adecuados de la entidad sobre los sistema. Reporta controles internos. Reporta disponibilidad, privacidad, confidencialidad, integridad de procesamiento y controles de seguridad. Similar a SOC 2 La oficina del controlador de usuarios y el auditor de usuarios usan SOC 1. Los reguladores, la administración y otros lo comparten bajo NDA. Está disponible para el público. La mayoría de los auditores “Necesitan saber”. .”Público en generalEjemplo: procesadores de reclamaciones médicas.Ejemplo: empresa de almacenamiento en la nube.Ejemplo: una empresa pública.

Conclusión

Decidir qué cumplimiento de SOC será el más adecuado para su organización requiere que visualice el tipo de información con la que está tratando, ya sean los datos de sus clientes o los suyos.

Si está ofreciendo servicios de procesamiento de nómina, es posible que desee utilizar SOC 1. Si está procesando o alojando datos de clientes, es posible que necesite un informe SOC 2. Del mismo modo, si necesita un cumplimiento menos formal, lo cual es mejor para fines de marketing, es posible que desee optar por un informe SOC 3.

No related posts.