PURE//ACCELERATE Inscríbase en Pure//Accelerate 2024
BLOG Pure garantiza un acuerdo de nivel de servicio de eficiencia energética con el almacenamiento más ecológico del mundo
Ventas +34 51 889 8963
Ventas +34 51 889 8963
SELECCIONE OTRA REGION
SELECCIONE OTRA REGION
La ventaja de Pure Soluciones Productos Servicios y Soporte Recursos Partners Empresa
CONTACTAR CON NOSOTROS
Icono de un relámpago
CONTACTAR CON NOSOTROS
Icono de un relámpago
Main Menu
La ventaja de Pure
Soluciones
Productos
Servicios y Soporte
Recursos
Partners
Empresa
  1. Pure Knowledge
  2. ¿Qué es el cumplimiento de SOC 2 Tipo II?

¿Qué es el cumplimiento de SOC 2 Tipo II?

¿Qué es el cumplimiento de SOC 2 Tipo II?

El cumplimiento de SOC 2 Tipo II es un marco para las organizaciones de servicio que demuestra controles adecuados para los criterios de seguridad de los datos.

En el panorama actual basado en los servicios, los datos de una organización rara vez existen solo en su propio entorno informático. Estos datos suelen confiar en muchos proveedores y proveedores de servicios. Una gran parte de la elección del proveedor con el que confiar esos datos se realiza con la ayuda de certificaciones, que pueden demostrar el cumplimiento de ciertos estándares de seguridad y confidencialidad. 

Las certificaciones de cumplimiento están incluidas en los marcos y son verificadas por auditores externos. Pueden dar a los clientes un sello de aprobación de que un proveedor tiene todos los controles y las protecciones necesarios para garantizar que sus datos son lo más seguros posible. Uno de estos marcos se llama marco de control de la organización de servicios (SOC).

Si es un proveedor o un proveedor de servicios, es posible que se le pida que proporcione informes de cumplimiento de datos SOC 2. Si es cliente, puede solicitar la certificación SOC para verificar que un proveedor tiene los controles adecuados para el cumplimiento de los datos. 

Aquí tiene un análisis más detallado de esta norma de cumplimiento específica del proveedor de servicios, lo que incluye y por qué es importante.

¿Qué es SOC 2 Tipo II?

Resumen de SOC 2 Tipo II

Las certificaciones de cumplimiento normativo de los datos suelen ser necesarias como requisito previo o como obligación contractual para una contratación. El cumplimiento de SOC 2 Tipo II se ha diseñado específicamente para las organizaciones de servicios. SOC 2 Tipo II incluye los principios de seguridad, disponibilidad, confidencialidad, privacidad e integridad del procesamiento de las transacciones de los datos. El tipo II indica que la auditoría se realizó durante un periodo de tiempo prolongado, a menudo seis meses. 

Estos estándares son críticos para garantizar una seguridad de la información de primer nivel (InfoSec) en todos los sistemas informáticos de los proveedores y para cumplir los contratos entre proveedores y clientes. 

¿Cuántos criterios SOC hay?

Hay cinco criterios de servicio, o principios de confianza, en un informe de cumplimiento SOC 2. La seguridad es obligatoria, mientras que los otros criterios pueden ser más específicos del sector o de la empresa. Cada uno de ellos generará requisitos para los diferentes tipos de controles.

  • Seguridad: Esta es la categoría de servicio de referencia más importante necesaria para el cumplimiento de SOC 2.
  • Disponibilidad: Esto es importante para los proveedores de servicios que tienen unos acuerdos de nivel de servicio estrictos que cumplir para los productos de software como servicio (SaaS), plataforma como servicio (PaaS) o infraestructura como servicio (IaaS). Si el servicio de TI se considera de misión crítica para los clientes, la disponibilidad de los datos es clave.
  • Integridad del procesamiento: Esto es aplicable a los servicios que procesan transacciones para clientes financieros o de comercio electrónico.
  • Confidencialidad: Cuando los datos que procesa para los clientes son sensibles (por ejemplo, la propiedad intelectual), este es un pilar clave de su cumplimiento de SOC 2 Tipo II.
  • Privacidad: No debe confundirse con la confidencialidad anterior, este principio es específico de la información de identificación personal (IIP), como las historias clínicas.

Criterios del servicio de confianza

Principios

Categorías

Seguridad

Disponibilidad

Integridad del procesamiento

Confidencialidad

Política de privacidad
  • Organización
  • Comunicación
  • Evaluación de riesgos y gestión de controles
  • Supervisión de los controles
  • Control de acceso lógico y físico a los datos y sistemas confidenciales (por ejemplo, tarjetas de acceso o credenciales de inicio de sesión).
  • Operaciones y procedimientos del sistema (diarios, semanales, mensuales)
  • Gestión del cambio
Slide

¿Qué se evalúa en un SOC 2 Tipo II?

En una auditoría de cumplimiento de SOC 2 Tipo II, las políticas y los controles diseñados para cumplir los criterios de servicio anteriores se evalúan para determinar su efectividad, normalmente durante un periodo de seis meses. ¿Los controles son adecuados para los criterios? ¿Su organización es constante para llevarlos a cabo?

¿Qué es una Certificación SOC 2 Tipo II?

La Certificación SOC 2 Tipo II es una prueba de un auditor externo de que las políticas de una organización han superado la auditoría para garantizar el cumplimiento de SOC 2 Tipo II.

¿Cuáles son los beneficios del cumplimiento de SOC 2 Tipo II?

Las ventajas de SOC 2 Tipo II son la mejora de la salud general de la seguridad y las protecciones de los datos dentro de una organización y en todos sus proveedores. Para los proveedores de servicios, la certificación SOC 2 Tipo II puede ayudar a mejorar las probabilidades de ganar una asociación o cliente frente a la competencia. Para los clientes, es una prueba demostrable de que sus datos estarán en buenas manos con los controles y las salvaguardas adecuados.

¿Quién tiene que cumplir el estándar SOC 2 Tipo II?

Cualquier proveedor que gestione los datos de los clientes o la información confidencial que busque cumplir las obligaciones contractuales con un cliente en relación con el cumplimiento de la norma SOC 2 Tipo II puede beneficiarse de la certificación.

SOC 2 frente a otras certificaciones de cumplimiento

Diferencias entre SOC 1 y SOC 2

¿Cuál es la diferencia entre SOC 1 y SOC 2? El SOC 1 no se centra en los criterios de seguridad, sino en los criterios de presentación de informes financieros. El SOC 1 también se ha diseñado para organizaciones de servicios, pero específicamente para aquellas a las que se han subcontratado ciertas funciones financieras. Tenga en cuenta que las auditorías SOC 1 suelen alinearse con los años fiscales e incluyen cinco criterios de servicio, incluidos el entorno de control, la evaluación de riesgos, las actividades de control, la comunicación y la información y la supervisión. 

Diferencias entre SOC 2 e ISO-27001

Tanto SOC 2 Tipo II como ISO-27001 son marcos que se centran en la gestión de InfoSec. El SOC 2 Tipo II evalúa la efectividad global de los controles de seguridad, pero la ISO-27001 es un enfoque muy prescriptivo y sistemático de los sistemas de gestión de la seguridad de la información. La ISO-27001 se centra principalmente en los sistemas y controles internos y es una norma, mientras que SOC 2 Tipo II es un marco para realizar una auditoría.

SOC 2 Tipo II frente a PCI DSS, HIPAA, RGPD 

Hay una serie de marcos de cumplimiento: ¿en qué se diferencian y qué organizaciones los necesitan?

SOC 2 Tipo II y Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) son dos marcos de cumplimiento muy diferentes con poca o ninguna superposición. PCI DSS está específicamente relacionado con los controles sobre cómo se manejan la información y las transacciones de la tarjeta de crédito. PCI DSS también es aplicable a los proveedores de servicios financieros, mientras que SOC 2 Tipo II cubre una gama más amplia de sectores. Por último, PCI DSS se realiza anualmente y no por una empresa de CPA.

SOC 2 Tipo II y la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) también son diferentes en el ámbito de interés de los datos que se protegen. La HIPAA solo se aplica a las organizaciones sanitarias y a los proveedores de servicios que manejan los datos de los pacientes (y es exigida por la ley), mientras que el SOC 2 Tipo II puede incluir a las organizaciones sanitarias, pero no es obligatorio para ellas. Además, mientras que SOC 2 Tipo II no es tan prescriptivo en cuanto a cómo se cumplen los criterios de servicio, HIPAA sí lo es, con unos estándares muy específicos que deben cumplirse para cumplirlos.

SOC 2 Tipo II y el Reglamento General de Protección de Datos (RGPD) son marcos que abordan la seguridad y la privacidad de los datos. El marco del RGPD solo es aplicable a las organizaciones que manejan datos personales de residentes de la Unión Europea y se centra en la privacidad de los datos y los derechos de protección. Esto requiere controles en torno a la transparencia de cómo se utilizan los datos, el “derecho al olvido” y la minimización de los datos y el consentimiento. Si bien el SOC 2 Tipo II no es obligatorio, el RGPD sí lo es y el incumplimiento puede conllevar consecuencias legales y multas.

Prepararse para la evaluación SOC 2 Tipo II

Prepararse para una auditoría SOC 2 Tipo II es un esfuerzo de equipo y puede requerir bastantes horas de personal para despegar. Decidir implementar el cumplimiento de la SOC 2 Tipo II también puede requerir una cantidad justa de aceptación y apoyo interno para poner las cosas en marcha e incorporarlo en los procesos a largo plazo. 

Pasos para ayudar a prepararse para la evaluación SOC 2 Tipo II

  1. Conozca el "por qué" que hay detrás de su solicitud de cumplimiento de SOC 2. Tanto si se trata de una solicitud de un cliente como de otro motivo, esto le ayudará a entender sus plazos para la certificación de cumplimiento, el alcance del trabajo implicado y mucho más. Esto también le ayudará a identificar las políticas existentes que tiene y que pueden ayudar y también le proporcionará al auditor el contexto y el alcance.
  2. Reúna al equipo adecuado de personas de su organización para incorporarlas al SOC 2 Tipo II. En función de su plazo para poner en marcha el SOC 2 Tipo II, es posible que necesite que más personas participen en ciertas tareas, recopilación de pruebas y desarrollo. Este grupo puede incluir:
    • Liderazgo, como el director general, el director tecnológico, el director de informática y otros ejecutivos de alto nivel.
    • DevOps
    • Recursos humanos, ya que los empleados pueden entrar en el ámbito de las auditorías
    • InfoSec
  3. InfoSecPrepárese para proporcionar el alcance. Esté preparado para responder a preguntas específicas de los datos, como dónde está alojado su servicio (nube pública, local), previsión de la capacidad, ubicaciones de oficinas (¿es un entorno de confianza cero o los servidores tendrán que estar incluidos en la lista blanca?), si almacena datos confidenciales, etc.

Trabajar con auditores externos para el cumplimiento de SOC 2 Tipo II

El marco SOC 2 fue desarrollado por el Instituto Estadounidense de Contadores Públicos Certificados (AICPA) y una auditoría debe ser completada por una empresa de CPA.

Cuando evalúe a una empresa para que le audite para comprobar el cumplimiento de la norma SOC 2 Tipo II, tenga en cuenta la calidad y la experiencia, junto con el coste, y si es una buena opción para trabajar con su equipo día a día durante semanas o meses, y convertirse en asesor y socio a largo plazo de su organización.

Preguntas que hay que hacer: ¿Tienen un gran historial de auditorías exitosas? ¿La empresa tiene experiencia en auditoría específica para su sector? No dude en pedir revisiones de colegas, revisiones de terceros de documentos para auditores y referencias.

Además, considere la posibilidad de contratar a un auditor lo antes posible en el proceso, ya que puede ser valioso para ayudarle a determinar el proyecto y alinear internamente los recursos adecuados para cumplir su plazo (si tiene uno).

  • Una vez que haya elegido al auditor, repasará: 
  • Un ejercicio de alcance y descubrimiento para establecer expectativas.
  • Una evaluación de la preparación, para ver de arriba hacia abajo las brechas, lo que necesitará para empezar, qué políticas ya están implementadas, etc.
  • Check-ins, antes de la prueba final
  • El examen de certificación

Durante la auditoría, se le pedirá que proporcione las políticas, los controles y las pruebas de cada uno de ellos. 

Cómo mantener la certificación SOC 2 Tipo II

Es importante tener en cuenta que el cumplimiento de la norma SOC 2 Tipo II no es uno y no está hecho. Requiere diligencia y esfuerzo continuo. El mantenimiento de la certificación SOC 2 Tipo II requiere una supervisión constante, documentación, divulgación y respuesta a los incidentes, formación de los empleados y evaluaciones periódicas. Esto es para demostrar que una organización tiene un compromiso constante con el cumplimiento y está realizando los cambios y las actualizaciones necesarios en las políticas.

Como organización con certificación ISO 27001, Pure Storage proporciona una serie de productos y servicios diseñados para proporcionar a nuestros clientes una supervisión y un control completos de sus datos. Eche un vistazo a nuestro conjunto de soluciones modernas de protección de datos para descubrir cómo podemos ayudarle a cumplir sus objetivos de cumplimiento normativo en materia de seguridad de los datos.

We Also Recommend...

Check Out Our Resource Center Check Out Our Resource Center
10/2024
Pure Storage and IBM QRadar
IBM QRadar and Pure Storage have teamed up to deliver event ingestion from Pure Storage FlashArray™ and FlashBlade® systems to enhance threat detection and reduce response times.
Resumen de la solución
4 páginas
10/2024
Enhancing Security Visibility with Pure Storage and Cisco
Optimize cyber resilience through enhanced storage visibility with Pure Storage® and Cisco XDR.
Resumen de la solución
4 páginas
01/2022
All-Flash Data Centers for Dummies
Access this free All-Flash Data Center For Dummies Guide. The guide provides valuable information on cost of ownership, architectural data challenges as well as virtualization, container, and hybrid cloud environments.
E-Book
52 páginas
Explore Pure
Centro de Eventos
Descubra los próximos eventos y webinars y busque en nuestro catálogo de contenido bajo demanda.
Blog
Manténgase al corriente de los anuncios de Pure, las actualizaciones de productos, los detalles de las soluciones y el asesoramiento técnico.
Centro de Recursos
Acceda a una biblioteca completa de informes de analistas, white papers, ebooks y más.
CONTACTAR CON NOSOTROS
¿Preguntas, comentarios?

¿Tiene alguna pregunta o comentario sobre los productos o las certificaciones de Pure?  Estamos aquí para ayudarle.

Contactar con nosotros Chat en directo
Programe una Demostración

Programe una demostración en vivo y vea personalmente cómo Pure puede ayudarle a convertir sus datos en unos resultados potentes. 

Solicite una Demostración

Llámenos al: +34 51 889 8963

Medios de comunicaciónpr@purestorage.com

 

Castellana 81

28046 Madrid

Oficinas Pure: 1415 y 1417 (planta 14)

info@purestorage.com

CERRAR
Your Browser Is No Longer Supported!

Older browsers often represent security risks. In order to deliver the best possible experience when using our site, please update to any of these latest browsers.

safari
chrome
firefox
edge