Explica SOC 2 Tipo I vs Tipo II y los Trust Services Criteria.
Respuesta breve
Un informe SOC 2 Tipo I evalúa si los controles de una organización de servicios están diseñados adecuadamente en un único momento. Un informe Tipo II va más allá: prueba si esos controles operaron de forma eficaz durante un periodo de revisión, normalmente de 3 a 12 meses. Ambos se basan en los Trust Services Criteria de la AICPA — Seguridad (los criterios comunes obligatorios), más opcionalmente Disponibilidad, Integridad del procesamiento, Confidencialidad y Privacidad.
SOC 2 es un informe de atestación elaborado por una firma de CPA independiente frente a los Trust Services Criteria de la AICPA. Es la señal de confianza de facto que los proveedores SaaS ofrecen a los compradores empresariales. Los entrevistadores quieren saber si entiendes lo que cada informe demuestra realmente.
Tipo I vs Tipo II
- Tipo I responde: ¿están los controles diseñados adecuadamente en una fecha concreta? Es una instantánea. Confirma que los controles correctos existen sobre el papel a fecha de, por ejemplo, el 30 de junio.
- Tipo II responde: ¿operaron esos controles de forma eficaz durante una ventana de tiempo? El auditor muestrea evidencias a lo largo de un periodo de revisión (habitualmente 3, 6 o 12 meses) para confirmar que los controles funcionaban de verdad, no solo que estaban diseñados.
Un Tipo I se obtiene más rápido y suelen usarlo las empresas más jóvenes para su primer informe. Un Tipo II tiene mucho más peso porque demuestra una operación sostenida — por eso la mayoría de los equipos de compras empresariales lo exigen.
Los Trust Services Criteria
SOC 2 se delimita según cinco categorías:
- Seguridad — los criterios comunes, obligatorios en todo encargo.
- Disponibilidad — compromisos de tiempo de actividad y resiliencia del sistema.
- Integridad del procesamiento — el procesamiento es completo, válido, exacto y oportuno.
- Confidencialidad — protección de la información designada como confidencial.
- Privacidad — tratamiento de la información personal según el aviso de la entidad.
Solo la Seguridad es obligatoria; la organización elige cuáles de las demás incluir según sus compromisos con los clientes.
Por qué importa
Un buen candidato explica que el Tipo II demuestra eficacia a lo largo del tiempo y que la Seguridad es el criterio innegociable. Puntos extra por señalar que SOC 2 es una atestación (no una certificación de aprobado/suspenso) y contrastarlo con SOC 1, que se centra en los controles del reporte financiero.
Posibles preguntas de seguimiento
- ¿Por qué un cliente insistiría en un Tipo II en lugar de aceptar un Tipo I?
- ¿Qué criterio de Trust Services es obligatorio en todo encargo SOC 2?
- ¿En qué se diferencia un informe SOC 2 de un informe SOC 1 (ICFR)?