SOC 2 (System and Organization Controls 2) es un marco de auditoría desarrollado por el AICPA (American Institute of CPAs) para proveedores de servicios tecnológicos y SaaS. Aunque es voluntario, muchos clientes empresariales estadounidenses lo exigen como requisito contractual.
Criterios de servicios de confianza (TSC)
- Seguridad (obligatorio): controles contra acceso no autorizado
- Disponibilidad: sistema disponible para operación y uso
- Integridad del procesamiento: procesamiento completo, válido y oportuno
- Confidencialidad: información designada como confidencial protegida
- Privacidad: información personal recopilada, usada y retenida según compromisos
Tipos de informe
- Tipo I: diseño de controles en un punto del tiempo
- Tipo II: efectividad operativa durante un período (normalmente 6-12 meses)
ermine y SOC 2
ermine mapea los controles SOC 2 contra tu infraestructura, gestiona la recolección continua de evidencias para el período de auditoría y genera el reporting para auditores externos.