SOC 1, SOC 2, SOC 3. ¿Qué son?

mayo 15, 2024

SOC 1, SOC 2, SOC 3. ¿Qué son?

SOC (Service Organization Control) es un conjunto de estándares desarrollados por el American Institute of Certified Public Accountants (AICPA) para evaluar y reportar el control interno sobre los servicios prestados por una organización. Las principales diferencias entre SOC 1, SOC 2 y SOC 3 son:

SOC 1: Controles relacionados con los informes financieros. Es utilizado por las organizaciones para evaluar el control interno sobre los procesos que afectan los estados financieros de sus clientes. Se basa en los criterios establecidos en la norma SSAE 18 (Statement on Standards for Attestation Engagements 18).

SOC 2: Controles de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad de la información de una organización. Es relevante principalmente para las empresas de tecnología y servicios en la nube que manejan datos sensibles de sus clientes. SOC 2 se basa en los criterios definidos en el Trust Services Criteria, que incluyen seguridad, disponibilidad, integridad, confidencialidad y privacidad.

🚧SOC 1 y SOC 2 contienen información confidencial, por lo que las organizaciones evaluadas pueden solicitar la firma de un NDA previo a su entrega.🚧

SOC 3: Es similar a SOC 2 en términos de enfoque en los controles de seguridad, disponibilidad, integridad, confidencialidad y privacidad de la información, pero difiere en la forma en que se presenta el informe. SOC 3 es un informe de auditoría de tipo general que proporciona una descripción general de los controles de una organización, pero sin detalles técnicos específicos. Se presenta en un formato más sencillo y se puede compartir públicamente, ya que no contiene información confidencial.

Dado que el SOC 3 es un resumen del SOC 2, una empresa no puede tener una certificación SOC 3 sin antes someterse y aprobar una auditoría SOC 2. Por lo tanto, una certificación SOC 3 implica la presencia de una certificación SOC 2.

📢 Podemos indicar las diferencias de las 3 certificaciones de la siguiente manera:

🔹 SOC 1: Enfocado en controles financieros que impactan los estados financieros. 💵

🔹 SOC 2: Evalúa seguridad, disponibilidad, integridad, confidencialidad y privacidad. 💻

🔹 SOC 3: Similar a SOC 2, pero con un informe público y menos técnico. 📊

Referencias:

Buscar este blog

D4210

SOC 1, SOC 2, SOC 3. ¿Qué son?

Comentarios

Publicar un comentario

Entradas populares

ISO 27005 vs ISO 31000

El apoyo de las regulaciones para el trabajo de un CISO en una institución financiera en México

¿Sabes que información tiene tu tarjeta de crédito?

My journey with a Chromebook

¿Sabes que información personal compartes cuando das tu número de IMSS?