Inicio Normas Sectores ✦ Evaluación IA Solicitar cotización →
InicioNormas → SOC 2

SOC 2 Tipo I & II — Controles de Organizaciones de Servicios

El estándar de referencia en aseguramiento de seguridad para proveedores de SaaS, nube y servicios tecnológicos que atienden a clientes empresariales en EE. UU. BALTUM ofrece programas de preparación para SOC 2 y coordina la entrega de auditorías Tipo I y Tipo II a través de firmas CPA acreditadas por AICPA en todo el mundo.

SOC 2 Tipo ISOC 2 Tipo IIAICPA TSCCriterios de Servicios de Confianza

¿Qué es SOC 2?

SOC 2 (Controles de Sistemas y Organizaciones 2) es un estándar de auditoría desarrollado por el Instituto Americano de Contadores Públicos Certificados (AICPA). Evalúa los controles de una organización de servicios relevantes para los Criterios de Servicios de Confianza (TSC): Seguridad, Disponibilidad, Integridad del Procesamiento, Confidencialidad y Privacidad. La seguridad (Criterios Comunes) es obligatoria; los cuatro restantes son opcionales según el contexto empresarial.

SOC 2 Tipo I vs Tipo II

  • Tipo I — Evaluación en un momento específico que confirma que los controles están diseñados adecuadamente. Plazo típico: 2–3 meses. Útil como informe provisional mientras se persigue el Tipo II.
  • Tipo II — Evaluación durante un período de observación (típicamente 6–12 meses) que confirma que los controles operaron eficazmente durante todo el período. Requerido por la mayoría de las adquisiciones empresariales y de Fortune 500.

¿Quién necesita SOC 2?

  • Empresas de SaaS y software en la nube con clientes empresariales en EE. UU.
  • Proveedores de infraestructura en la nube, hosting y centros de datos
  • Proveedores de servicios gestionados de seguridad y TI
  • Proveedores de plataformas de RRHH, nómina y beneficios
  • Cualquier proveedor tecnológico que responda cuestionarios de seguridad empresarial

Criterios de Servicios de Confianza — Resumen de Criterios Comunes

  • CC1 — Entorno de Control (gobernanza, responsabilidad)
  • CC2 — Comunicación e Información
  • CC3 — Evaluación de Riesgos
  • CC4 — Monitoreo de Controles
  • CC5 — Actividades de Control (políticas y procedimientos)
  • CC6 — Controles de Acceso Lógico y Físico
  • CC7 — Operaciones del Sistema (detección de anomalías, respuesta a incidentes)
  • CC8 — Gestión de Cambios
  • CC9 — Mitigación de Riesgos

Compromiso SOC 2 de BALTUM

  • Evaluación de preparación contra todos los Criterios de Servicios de Confianza aplicables
  • Registro de brechas y hoja de ruta de remediación
  • Documentación de políticas y procedimientos alineada con los requisitos TSC
  • Implementación de plataforma GRC (Vanta, Drata, Sprinto o similar)
  • Coordinación con firma CPA para la entrega de auditorías Tipo I y Tipo II
  • Mantenimiento continuo de cumplimiento y soporte de auditoría anual

Integración SOC 2 + ISO 27001

El marco de evidencias unificado de BALTUM mapea los Criterios de Servicios de Confianza de SOC 2 a los controles del Anexo A de ISO 27001:2022, permitiendo la certificación simultánea de SOC 2 + ISO 27001 con una única biblioteca de políticas, un único proceso de evaluación de riesgos y una reducción significativa de la duplicación de auditorías.