Desarrollada por el Instituto Americano de CPA (AICPA), la SOC 2 define los criterios para gestionar los datos de los clientes basándose en cinco "principios de servicio de confianza": seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.

A diferencia de PCI DSS, que tiene requisitos muy rígidos, los informes SOC 2 son exclusivos de cada organización. De acuerdo con prácticas empresariales específicas, cada una diseña sus propios controles para cumplir uno o varios de los principios de confianza.

Estos informes internos le proporcionan (junto con los reguladores, socios comerciales, proveedores, etc.) información importante sobre cómo gestiona los datos su proveedor de servicios.

• El Tipo I describe los sistemas de un proveedor y si su diseño es adecuado para cumplir los principios de confianza pertinentes.
• El Tipo II detalla la eficacia operativa de esos sistemas.

 

Certificación SOC2

La certificación SOC 2 la emiten auditores externos. Evalúan en qué medida un proveedor cumple uno o varios de los cinco principios de confianza basándose en los sistemas y procesos implantados.

1. Seguridad

El principio de seguridad se refiere a la protección de los recursos del sistema contra el acceso no autorizado. Los controles de acceso ayudan a prevenir posibles abusos del sistema, el robo o la eliminación no autorizada de datos, el uso indebido de programas informáticos y la alteración o divulgación indebida de información.

Las herramientas de seguridad informática, como los cortafuegos de red y de aplicaciones web (WAF), la autenticación de dos factores y la detección de intrusos, son útiles para prevenir brechas de seguridad que pueden provocar el acceso no autorizado a sistemas y datos.

2. Disponibilidad

El principio de disponibilidad se refiere a la accesibilidad del sistema, productos o servicios según lo estipulado en un contrato o acuerdo de nivel de servicio (SLA). Como tal, el nivel de rendimiento mínimo aceptable para la disponibilidad del sistema lo fijan ambas partes.

Este principio no aborda la funcionalidad y usabilidad del sistema, pero sí criterios relacionados con la seguridad que pueden afectar a la disponibilidad. En este contexto son fundamentales la supervisión del rendimiento y la disponibilidad de la red, la conmutación por error del sitio y la gestión de incidentes de seguridad.

3. Integridad del tratamiento

El principio de integridad del tratamiento se refiere a si un sistema logra o no su propósito (es decir, entrega los datos correctos al precio correcto y en el momento oportuno). Por consiguiente, el tratamiento de los datos debe ser completo, válido, exacto, puntual y autorizado.

Sin embargo, la integridad del procesamiento no implica necesariamente la integridad de los datos. Si los datos contienen errores antes de ser introducidos en el sistema, detectarlos no suele ser responsabilidad de la entidad que los procesa. La supervisión del tratamiento de los datos, junto con los procedimientos de aseguramiento de la calidad, pueden ayudar a garantizar la integridad del tratamiento.

4. Confidencialidad

Los datos se consideran confidenciales si su acceso y divulgación están restringidos a un conjunto específico de personas u organizaciones. Algunos ejemplos pueden ser los datos destinados únicamente al personal de la empresa, así como los planes de negocio, la propiedad intelectual, las listas de precios internas y otros tipos de información financiera sensible.

El cifrado es un control importante para proteger la confidencialidad durante la transmisión. Los cortafuegos de redes y aplicaciones, junto con rigurosos controles de acceso, pueden utilizarse para salvaguardar la información que se procesa o almacena en los sistemas informáticos.

5. Privacidad

El principio de privacidad aborda la recopilación, uso, conservación, divulgación y eliminación de información personal por parte del sistema de conformidad con el aviso de privacidad de una organización, así como con los criterios establecidos en los principios de privacidad generalmente aceptados (GAPP) de la AICPA.

La información personal identificable (IPI) se refiere a los detalles que pueden distinguir a un individuo (por ejemplo, nombre, dirección, número de la Seguridad Social). Algunos datos personales relacionados con la salud, la raza, la sexualidad y la religión también se consideran sensibles y suelen requerir un nivel de protección adicional. Deben establecerse controles para proteger toda la IIP de accesos no autorizados.

La importancia del cumplimiento de la norma SOC 2

Aunque el cumplimiento de la norma SOC 2 no es un requisito para los proveedores de SaaS y computación en nube, no se puede exagerar su papel en la protección de sus datos.

La división Enterprise IT (Summit) se somete a auditorías periódicas para garantizar que se cumplen los requisitos de cada uno de los cinco principios de confianza y que seguimos siendo conformes con SOC 2. El cumplimiento se extiende a todos los servicios que ofrecemos, incluida la seguridad de las aplicaciones web, la protección DDoS, la entrega de contenidos a través de nuestra CDN, el equilibrio de carga y Attack Analytics.