Informe de SOC2TYPE2


Una forma de asegurar a sus clientes que sus datos están seguros con su empresa es obteniendo un informe de Control de Organización de Servicios (SOC) 2 Tipo 2 de un auditor independiente.

Un informe SOC 2 esencialmente verifica que su organización cumple con los requisitos relevantes para la seguridad, la integridad del procesamiento, la disponibilidad, la confidencialidad y la privacidad. Está destinado a organizaciones de servicios que mantienen, almacenan o procesan los datos privados de sus clientes.

Los informes SOC 2 vienen en dos sabores: Tipo 1 y Tipo 2. A continuación se describe la diferencia entre los dos:

El Informe SOC 2 Tipo 1 es un informe sobre el sistema de una organización de servicios y la idoneidad del diseño de los controles. El informe Tipo I analiza un punto en el tiempo o una fecha “a partir de” en el sistema y cómo la organización describe el sistema y los controles implementados alrededor del sistema.

El informe SOC 2 Tipo 2 es similar al informe Tipo 1, excepto que los controles se describen y evalúan durante un mínimo de seis meses para ver si funcionan según lo descrito por la gerencia.

En este caso nos enfocamos en como conseguir este tipo de reporte SOC2Type2 para tu organizacion, mas especificos en el nube de AWS. AWS tiene un servicio que se llama AWS Artifacts, para el cumplimiento y seguridad en la nube de AWS. Es un portal de autoservicio sin costo para acceder a pedido a los informes de cumplimiento de AWS y para celebrar o aceptar acuerdos selectos en línea. En esta area puedes buscar por Reportes o Acuerdos. Importante que sepas que este reporte que estas imprimiendo indica que Amazon, i.e. la nube de AWS esta en cumplimiento del informe SOC2Type2 esto no hace que implicitamente que tu organizacion lo sea.

Un auditor independiente puede validar que tu organizacion en la nube de AWS este en cumplimiento del informe SOC2TYPE2. La forma mas practica de conseguir este tipo de informe es que tengas una nube privada virtual con Amazon o la nube de AWS, y cuando creas las EC2 utilices unas Amazon Machine Images que esten en cumplimiento con los requisitos esenciales que buscas i.e. PCI Compliant, FedRamp, FIPS. La clave es investigar el soporte adicional de las empresas que venden los Amazon Machine Images que pueden incluir el reporte de SOC2Type2 de un auditor independiente.

Leave a Comment