¿Qué es el cumplimiento de SOC 2?

SOC 2 significa Service Organization Control 2, un marco de auditoría redactado por el American Institute of CPAs (AICPA) para cualquier empresa que conserve o procese datos de clientes en nombre de otros. El informe lo elabora una firma de CPA independiente y se organiza en torno a cinco Criterios de Servicios de Confianza: Seguridad (obligatorio), Disponibilidad, Integridad del Procesamiento, Confidencialidad y Privacidad. SOC 2 viene en dos modalidades: Tipo I informa sobre si los controles estaban bien diseñados en un momento concreto, y Tipo II informa sobre si operaron de forma efectiva durante un periodo, normalmente de 6 o 12 meses. El Tipo II es el que piden la mayoría de los compradores empresariales.

SOC 2 no es una certificación en el mismo sentido que ISO 27001 o PCI DSS. No hay un "certificado SOC 2" colgado de la pared. Lo que se obtiene es un informe de atestación: un documento extenso, a menudo de 50 a 150 páginas, en el que una firma de CPA independiente describe los controles de la organización de servicios, los prueba y emite una opinión sobre si cumplen las normas del AICPA. Ese informe se comparte después (normalmente bajo acuerdo de confidencialidad) con los posibles clientes que quieran ver cómo la organización de servicios gestiona sus datos.

Quién emite un informe SOC 2

Un informe SOC 2 solo puede emitirlo una firma de CPA autorizada: en EE. UU., una firma registrada en el AICPA; en otras jurisdicciones, el organismo profesional equivalente. Las Big Four (Deloitte, EY, KPMG, PwC) hacen SOC 2, al igual que muchas firmas medianas (BDO, Grant Thornton, RSM) y un número creciente de firmas especializadas en SOC 2 e ISO 27001.

Solo la firma de CPA puede poner su nombre a la opinión de auditoría. Las plataformas de automatización de cumplimiento (Vanta, Drata, Tugboat Logic, etc.) ayudan a la organización de servicios a recopilar evidencias y a ejecutar los controles, pero no pueden emitir el informe en sí: entregan la evidencia preparada a la firma de CPA, que la revisa y emite la atestación.

Los cinco Criterios de Servicios de Confianza

SOC 2 se estructura en torno a cinco Criterios de Servicios de Confianza (TSC), y la organización de servicios elige cuáles incluir en el alcance. La Seguridad es obligatoria: todo SOC 2 debe cubrirla. Los otros cuatro son opcionales y cada uno añade trabajo de auditoría y coste.

• Seguridad. Los criterios comunes, siempre dentro del alcance. Cubre el control de acceso, la gestión de cambios, la gestión de vulnerabilidades, la respuesta a incidentes y el conjunto amplio de controles que protegen el sistema frente a accesos no autorizados. Supone entre el 60 y el 70% del esfuerzo total del SOC 2.
• Disponibilidad. Opcional. Cubre el tiempo de actividad, la recuperación ante desastres, la planificación de capacidad y los controles que mantienen el servicio en funcionamiento. Suele estar dentro del alcance para proveedores de SaaS que venden a grandes empresas.
• Integridad del Procesamiento. Opcional. Cubre si el sistema procesa los datos de forma exacta, completa y a tiempo. Más relevante para procesadores de pagos, plataformas de servicios financieros y cualquiera donde un dato incorrecto tenga consecuencias financieras directas.
• Confidencialidad. Opcional. Cubre los datos confidenciales para el cliente que no son datos personales: secretos comerciales, propiedad intelectual, contratos. Importante para plataformas B2B.
• Privacidad. Opcional, y el más pesado. Cubre la recogida, uso, conservación y divulgación de información personal frente al marco de privacidad del AICPA. A menudo se solapa con obligaciones de GDPR o CCPA.

La mayoría de los informes SOC 2 cubren Seguridad más Disponibilidad y Confidencialidad. Privacidad es más raro; Integridad del Procesamiento se concentra en pocos sectores.

Tipo I frente a Tipo II

La diferencia entre Tipo I y Tipo II es la dimensión temporal.

El Tipo I analiza si los controles estaban diseñados adecuadamente y existían en una fecha concreta, por ejemplo el 31 de diciembre de 2026. El auditor revisa la documentación, recorre los controles y emite una opinión sobre el diseño. No comprueba que los controles operaran de forma efectiva en el tiempo. Un Tipo I puede completarse en 6-10 semanas una vez que los controles están listos.

El Tipo II analiza si los controles operaron de forma efectiva durante un periodo, normalmente de 6 o 12 meses. El auditor toma muestras de evidencia de todo el periodo (registros, tickets, revisiones de acceso, tickets de cambios, registros de incidentes) y emite una opinión tanto sobre el diseño como sobre la operación. La mayoría de los compradores empresariales piden Tipo II porque es la versión que demuestra que los controles funcionan en la práctica, no solo sobre el papel. Un Tipo II requiere entre 6 y 12 meses de prueba del periodo de operación más el trabajo de campo de la auditoría.

El patrón que sigue la mayoría de las organizaciones: Tipo I el primer año (para tener algo que compartir con los prospectos rápidamente) y luego Tipo II que cubra el resto del año. A partir del segundo año, informes anuales de Tipo II que cubran periodos móviles de 12 meses.

SOC 2 frente a ISO 27001 frente a PCI DSS

SOC 2 vive en el mismo espacio conceptual que ISO 27001 y PCI DSS, pero los tres marcos tienen propósitos y audiencias distintos.

• SOC 2 es un marco estadounidense dirigido principalmente a compradores empresariales de EE. UU. que evalúan proveedores de SaaS y de externalización. El resultado es un informe de atestación extenso. La audiencia es el equipo de compras y seguridad del comprador.
• ISO 27001 es una certificación internacional que cubre el diseño y la operación de un sistema de gestión de la seguridad de la información (SGSI). El resultado es un certificado de una página más una Declaración de Aplicabilidad. La audiencia es global, con mayor reconocimiento en Europa y APAC.
• PCI DSS es un estándar vertical para organizaciones que manejan datos de tarjetas de pago. El resultado es un Informe de Cumplimiento (Nivel 1) o un Cuestionario de Autoevaluación (Niveles 2-4). La audiencia son los adquirentes, las redes de tarjetas y los comercios que necesitan saber que su socio de pagos es seguro.

Hay mucho solapamiento. Los controles del Anexo A de ISO 27001 cubren casi el mismo terreno que el TSC de Seguridad de SOC 2. Los 12 requisitos de PCI DSS se solapan ampliamente con ambos. Una organización de servicios que tenga uno de ellos ha hecho la mayor parte del trabajo de los demás, y la mayoría de las firmas de CPA reconocerán el trabajo de auditoría previo al definir el alcance del SOC 2.

La pregunta práctica para la mayoría de los compradores es: ¿qué marco necesita realmente de este proveedor? A un proveedor SaaS puro en EE. UU. normalmente le piden SOC 2. A un proveedor europeo o global normalmente le piden ISO 27001. A un procesador de pagos o cualquiera en la ruta de datos de la tarjeta le piden PCI DSS y, a menudo, SOC 2 o ISO 27001 además.

Qué contiene un informe SOC 2

Un informe SOC 2 Tipo II tiene una estructura bastante estándar:

• Sección 1: Opinión del auditor. Una o dos páginas. Indica si el auditor considera que los controles estaban diseñados adecuadamente (Tipo I) o estaban diseñados y operaban de forma efectiva (Tipo II) durante el periodo.
• Sección 2: Manifestación de la dirección. Una declaración del liderazgo de la organización de servicios de que la descripción es exacta y los controles estaban en vigor.
• Sección 3: Descripción del sistema. Entre 20 y 40 páginas describiendo el servicio: qué hace, quién lo usa, la infraestructura, los flujos de datos, las personas, los controles. Es la sección que la mayoría de los compradores leen primero.
• Sección 4: Criterios de Servicios de Confianza y controles. El cuerpo principal del informe. Para cada TSC, una tabla con los controles, las pruebas realizadas por el auditor y los resultados. Los informes de Tipo II incluyen tamaños de muestra y cualquier excepción encontrada.
• Sección 5: Otra información. A veces incluye las respuestas de la organización de servicios a las excepciones identificadas o contexto sobre cambios futuros.

Cuánto cuesta

Los costes del SOC 2 varían mucho. Una pequeña empresa SaaS con un entorno de control limpio, utilizando una plataforma de automatización del cumplimiento y trabajando con una firma de CPA especializada, puede completar un Tipo I por entre 15.000 y 30.000 GBP, y un Tipo II posterior por otros 30.000 a 60.000 GBP. Organizaciones más grandes o complejas, sobre todo con varios productos, sectores regulados o equipos de ingeniería grandes, pueden gastar más de 100.000 GBP solo en la auditoría, además del tiempo del personal interno, que suele suponer entre 0,5 y 1 FTE-año de trabajo de cumplimiento en el primer ciclo.

Las plataformas de automatización del cumplimiento (Vanta, Drata, Secureframe, etc.) han bajado sustancialmente la parte baja de ese rango desde 2020. Para una empresa SaaS de 20 personas, el camino desde cero hasta Tipo II es realmente de 6-9 meses y por debajo de 50.000 GBP con todo incluido. Ha sido uno de los grandes cambios en las compras empresariales: SOC 2 ha pasado de ser un lujo solo al alcance de las grandes plataformas a un mínimo que la mayoría de las startups B2B SaaS completan antes de la serie B.

Los límites de SOC 2

SOC 2 tiene sus críticas, y tienen parte de razón. El marco es descriptivo, no prescriptivo: la organización de servicios decide cuáles son sus controles y el auditor comprueba si esos controles están diseñados y operan tal y como se describen. No hay una lista de controles obligatorios como los 12 requisitos numerados de PCI DSS. Esto da flexibilidad, pero también significa que dos informes SOC 2 de empresas similares pueden ser muy distintos.

Un informe SOC 2 Tipo II limpio le dice que la organización de servicios tiene un conjunto documentado de controles y que se observó que esos controles operaban tal como se describen durante el periodo. No le dice que los controles sean los adecuados, ni que sean suficientes para su caso de uso concreto. Los compradores tienen que leer el informe (no solo la portada) para entender qué se probó en realidad.