SOC 1: Información financiera

• Propósito: Los informes SOC 1 se centran en los controles internos de una organización de servicios que son relevantes para la información financiera de la entidad usuaria. Estos informes son esenciales para las organizaciones que gestionan transacciones o datos financieros, como los procesadores de nóminas o los servicios de pago.

• Características principales:

◦ Evalúa los controles relacionados con la información financiera.

◦ Los auditores suelen utilizarlos para evaluar el impacto de los controles de una organización de servicios en los estados financieros de una empresa.

◦ Incluye dos tipos:

▪ Tipo I: Examina el diseño de los controles en un momento específico.

▪ Tipo II: Evalúa la eficacia operativa de los controles a lo largo del tiempo.

• Ejemplo: Un proveedor de servicios de nóminas se somete a una auditoría SOC 1 para garantizar que sus sistemas procesen y reporten con precisión los datos de nóminas.

SOC 2: Criterios de servicios de confianza

• Propósito: Los informes SOC 2 evalúan los controles implementados para proteger los datos y garantizar la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad de los sistemas. Estas son especialmente relevantes para los proveedores de tecnología y servicios en la nube.

• Características clave:

◦ Basado en los Criterios de Servicios de Confianza (TSC), que incluyen:

▪ Seguridad: Protección contra accesos no autorizados.

▪ Disponibilidad: Los sistemas están operativos y accesibles según lo acordado.

▪ Integridad del procesamiento: Los datos se procesan de forma precisa y fiable.

▪ Confidencialidad: La información sensible está protegida.

▪ Privacidad: Los datos personales se gestionan adecuadamente.

◦ Al igual que SOC 1, incluye informes de Tipo I y Tipo II.

• Ejemplo: Un proveedor de almacenamiento en la nube se somete a una auditoría SOC 2 para demostrar su compromiso con la seguridad y la privacidad de los datos.

SOC 3: Garantía pública

• Finalidad: Los informes SOC 3 son una versión simplificada de los informes SOC 2, diseñados para su distribución pública. Proporcionan una visión general de los controles de una organización sin la información detallada que se encuentra en SOC 2.

• Características principales:

◦ Se centra en los mismos criterios de servicios de confianza que SOC 2.

◦ No incluye resultados detallados de las pruebas, lo que lo hace ideal para compartir con un público más amplio.

◦ Se utiliza a menudo con fines de marketing para generar confianza con los clientes.

• Ejemplo: Una empresa de software como servicio (SaaS) comparte su informe SOC 3 para garantizar a los clientes sus prácticas de seguridad.

Cada uno de estos informes tiene una finalidad específica, según las necesidades de la organización y el público al que se dirigen.