SOC 2 y PCI DSS

SOC2 y PCI DSS son conjuntos de regulaciones que buscan proteger a los clientes contra el robo, el fraude y otras acciones ilegales. Ambos estándares exigen una evaluación anual de los controles para asegurar el cumplimiento.

SOC 2 (Service Organization Controls 2) es un marco de seguridad que especifica cómo las organizaciones deben proteger los datos del cliente contra el acceso no autorizado, incidentes de seguridad y otras vulnerabilidades. Fue desarrollado por el American Institute of Certified Public Accountants (AICPA) y se basa en cinco Criterios de Servicios de Confianza: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Esto es particularmente importante para los centros de datos, las empresas de software como servicio (SaaS) y los proveedores de servicios gestionados (MSP). SOC 2 se refiere tanto al marco de seguridad como a la auditoría que verifica si una empresa cumple con los requisitos de SOC 2.

PCI DSS (Payment Card Industry Data Security Standard) es un conjunto de normas de seguridad formadas en 2004 por Visa, MasterCard, Discover Financial Services, JCB International y American Express. El objetivo de PCI DSS es asegurar las transacciones con tarjetas de crédito y débito contra el robo de datos y el fraude. Aunque el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) no tiene autoridad legal para obligar al cumplimiento, es un requisito para cualquier empresa que procese transacciones con tarjetas de crédito o débito.

Ambos, SOC 2 y PCI DSS, son procedimientos de auditoría que buscan proteger a los clientes contra el robo, el fraude y otras acciones ilegales. Sin embargo, se aplican a diferentes tipos de organizaciones y tienen diferentes requisitos:

• PCI DSS es específico para las organizaciones que aceptan tarjetas de crédito y débito.
• SOC 2 se aplica a las organizaciones que retienen, almacenan y/o procesan información del cliente. 

Mas información en: SOC 1, SOC 2, SOC 3. ¿Qué son?