SOC 2 Type II
Logre y mantenga el cumplimiento SOC 2 Type II con CyberOrigen.
Vision General
SOC 2 (Service Organization Control 2) es un marco de auditoria para proveedores de servicios que almacenan datos de clientes. Evalua controles basados en cinco Criterios de Servicios de Confianza.
Criterios de Servicios de Confianza
Seguridad (Obligatorio)
Los Criterios Comunes - obligatorios para todas las auditorias SOC 2:
| Categoria | Descripcion |
|---|---|
| CC1 | Entorno de Control |
| CC2 | Comunicacion e Informacion |
| CC3 | Evaluacion de Riesgos |
| CC4 | Actividades de Monitoreo |
| CC5 | Actividades de Control |
| CC6 | Acceso Logico y Fisico |
| CC7 | Operaciones del Sistema |
| CC8 | Gestion de Cambios |
| CC9 | Mitigacion de Riesgos |
Disponibilidad (Opcional)
Para servicios con compromisos de tiempo de actividad:
- A1.1: Planificacion de capacidad
- A1.2: Protecciones ambientales
- A1.3: Procedimientos de recuperacion
Integridad del Procesamiento (Opcional)
Para procesamiento preciso de datos:
- PI1.1-PI1.5: Precision de entrada/salida
Confidencialidad (Opcional)
Para proteccion de datos sensibles:
- C1.1-C1.2: Clasificacion y eliminacion de datos
Privacidad (Opcional)
Para manejo de informacion personal:
- P1-P8: Principios de privacidad
Primeros Pasos
1. Habilitar Marco
- Vaya a GRC → Marcos
- Haga clic en Inscribir en SOC 2 Type II
- Seleccione los criterios aplicables
- Haga clic en Habilitar
2. Evaluacion Base
- Ejecute un escaneo de cumplimiento
- Revise el analisis de brechas
- Priorice la remediacion
3. Implementar Controles
Use la biblioteca de controles de CyberOrigen:
- Vaya a GRC → Biblioteca de Controles
- Filtre por SOC 2
- Actualice el estado de implementacion
- Asigne propietarios de controles
Controles Clave
CC6 - Acceso Logico
Controles mas comunmente evaluados:
| Control | Requisito | Funcion CyberOrigen |
|---|---|---|
| CC6.1 | Controles de acceso | Escaneo de problemas de acceso |
| CC6.2 | Registro de usuarios | Informes de revision de acceso |
| CC6.6 | Revision de acceso | Auditorias de acceso automatizadas |
| CC6.7 | Cifrado | Escaneo TLS/cifrado |
CC7 - Operaciones del Sistema
| Control | Requisito | Funcion CyberOrigen |
|---|---|---|
| CC7.1 | Gestion de vulnerabilidades | Escaneo continuo |
| CC7.2 | Respuesta a incidentes | Flujo de remediacion |
| CC7.4 | Respaldo/restauracion | Verificaciones de configuracion |
Recopilacion de Evidencias
Evidencias Automatizadas
CyberOrigen genera automaticamente:
- Informes de escaneo de vulnerabilidades
- Verificaciones de configuracion de acceso
- Verificacion de cifrado
- Informes de estado de parches
Evidencias Manuales
Cargue estos documentos:
- Politicas y procedimientos
- Actas de reuniones de directivos
- Registros de capacitacion
- Logs de incidentes
Mapeo de Evidencias
- Vaya a GRC → Evidencias
- Cargue o vincule evidencias
- Mapee a controles relevantes
- Rastree el estado de recopilacion
Preparacion de Auditoria
Lista de Verificacion Pre-Auditoria
3 Meses Antes:
- [ ] Todos los controles implementados
- [ ] Recopilacion de evidencias completa
- [ ] Pruebas internas realizadas
- [ ] Brechas remediadas
1 Mes Antes:
- [ ] Evidencias revisadas
- [ ] Propietarios asignados
- [ ] Acceso de auditor configurado
Acceso del Auditor
Funcion Professional
El Portal de Auditor requiere plan Professional o Enterprise.
Otorgue acceso de solo lectura al auditor:
- Vaya a GRC → Compromisos de Auditoria
- Cree compromiso
- Invite al auditor
- Establezca permisos de acceso
Generador de Informes
Genere paquetes listos para auditoria:
- Vaya a GRC → Generador de Informes
- Seleccione marco SOC 2
- Elija tipo de informe
- Exporte PDF
Cumplimiento Continuo
Despues de la certificacion, mantenga el cumplimiento:
- Escaneos de vulnerabilidades semanales
- Revisiones de acceso trimestrales
- Revisiones de politicas anuales
- Recopilacion continua de evidencias
Monitoreo
CyberOrigen rastrea:
- Cambios de estado de controles
- Expiracion de evidencias
- Tendencias de puntuacion de cumplimiento
- Remediacion de hallazgos
Alertas
Configure alertas para:
- Caidas en puntuacion de cumplimiento
- Fallos de controles
- Expiracion de evidencias
- Recordatorios de periodo de auditoria
Brechas Comunes
| Control | Problema Comun | Solucion |
|---|---|---|
| CC6.1 | Sin MFA | Habilitar MFA en todas partes |
| CC6.6 | Sin revisiones de acceso | Programar revisiones trimestrales |
| CC7.1 | Sistemas sin parches | Parcheo automatizado |
| CC8.1 | Sin control de cambios | Proceso de cambio formal |