SOC 1, SOC 2, SOC 3. ¿Qué son?

SOC (Service Organization Control) es un conjunto de estándares desarrollados por el American Institute of Certified Public Accountants (AICPA) para evaluar y reportar el control interno sobre los servicios prestados por una organización. Las principales diferencias entre SOC 1, SOC 2 y SOC 3 son:

SOC 1: Controles relacionados con los informes financieros. Es utilizado por las organizaciones para evaluar el control interno sobre los procesos que afectan los estados financieros de sus clientes. Se basa en los criterios establecidos en la norma SSAE 18 (Statement on Standards for Attestation Engagements 18).

SOC 2: Controles de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad de la información de una organización. Es relevante principalmente para las empresas de tecnología y servicios en la nube que manejan datos sensibles de sus clientes. SOC 2 se basa en los criterios definidos en el Trust Services Criteria, que incluyen seguridad, disponibilidad, integridad, confidencialidad y privacidad.

🚧 𝐒𝐎𝐂 𝟏 𝐲 𝐒𝐎𝐂 𝟐 𝐜𝐨𝐧𝐭𝐢𝐞𝐧𝐞𝐧 𝐢𝐧𝐟𝐨𝐫𝐦𝐚𝐜𝐢𝐨𝐧 𝐜𝐨𝐧𝐟𝐢𝐝𝐞𝐧𝐜𝐢𝐚𝐥, 𝐩𝐨𝐫 𝐥𝐨 𝐪𝐮𝐞 𝐥𝐚𝐬 𝐨𝐫𝐠𝐚𝐧𝐢𝐳𝐚𝐜𝐢𝐨𝐧𝐞𝐬 𝐪𝐮𝐞 𝐥𝐨𝐬 𝐭𝐢𝐞𝐧𝐞𝐧 𝐩𝐨𝐝𝐫𝐢𝐚𝐧 𝐬𝐨𝐥𝐢𝐜𝐢𝐭𝐚𝐫 𝐪𝐮𝐞 𝐬𝐞 𝐟𝐢𝐫𝐦𝐞 𝐮𝐧 𝐍𝐃𝐀 𝐩𝐚𝐫𝐚 𝐚𝐜𝐜𝐞𝐝𝐞𝐫 𝐚 𝐞𝐥𝐥𝐨𝐬. 🚧

SOC 3: Es similar a SOC 2 en términos de enfoque en los controles de seguridad, disponibilidad, integridad, confidencialidad y privacidad de la información, pero difiere en la forma en que se presenta el informe. SOC 3 es un informe de auditoría de tipo general que proporciona una descripción general de los controles de una organización, pero sin detalles técnicos específicos. Se presenta en un formato más sencillo y se puede compartir públicamente, ya que no contiene información confidencial.

Dado que el SOC 3 es un resumen del SOC 2, una empresa no puede tener una certificación SOC 3 sin antes someterse y aprobar una auditoría SOC 2. Por lo tanto, una certificación SOC 3 implica la presencia de una certificación SOC 2.

Podemos indicar que SOC 1 se enfoca en los controles financieros, SOC 2 en los controles de seguridad de la información y SOC 3 proporciona una visión general de los controles de una organización en un formato más accesible al público.

Referencias:

Buscar en este blog

D4210

SOC 1, SOC 2, SOC 3. ¿Qué son?

Comentarios

Publicar un comentario

Páginas más vistas en la última semana

Octubre - Mes de la concienciación en ciberseguridad

El apoyo de las regulaciones para el trabajo de un CISO en una institución financiera en México

KPI, OKR, KRI

GRC: Gobierno, Riesgo y Cumplimiento

Bitcoin. La primer criptomoneda

A GRC metaphor with archery

4 términos usados en el mundo de las criptomonedas

Glosario de términos de ciberseguridad / Glossary of cybersecurity terms

Sitios web para probar tus conocimientos de hacker ético

Consejos para una buena contraseña

Los beneficios de un SOC utilizando Open Source

ISO 27001, COBIT 2019, ITIL 4