Skip to content

Explica SOC 2 Tipo I vs Tipo II y los Trust Services Criteria.

Respuesta breve

Un informe SOC 2 Tipo I evalúa si los controles de una organización de servicios están diseñados adecuadamente en un único momento. Un informe Tipo II va más allá: prueba si esos controles operaron de forma eficaz durante un periodo de revisión, normalmente de 3 a 12 meses. Ambos se basan en los Trust Services Criteria de la AICPA — Seguridad (los criterios comunes obligatorios), más opcionalmente Disponibilidad, Integridad del procesamiento, Confidencialidad y Privacidad.

SOC 2 es un informe de atestación elaborado por una firma de CPA independiente frente a los Trust Services Criteria de la AICPA. Es la señal de confianza de facto que los proveedores SaaS ofrecen a los compradores empresariales. Los entrevistadores quieren saber si entiendes lo que cada informe demuestra realmente.

Tipo I vs Tipo II

  • Tipo I responde: ¿están los controles diseñados adecuadamente en una fecha concreta? Es una instantánea. Confirma que los controles correctos existen sobre el papel a fecha de, por ejemplo, el 30 de junio.
  • Tipo II responde: ¿operaron esos controles de forma eficaz durante una ventana de tiempo? El auditor muestrea evidencias a lo largo de un periodo de revisión (habitualmente 3, 6 o 12 meses) para confirmar que los controles funcionaban de verdad, no solo que estaban diseñados.

Un Tipo I se obtiene más rápido y suelen usarlo las empresas más jóvenes para su primer informe. Un Tipo II tiene mucho más peso porque demuestra una operación sostenida — por eso la mayoría de los equipos de compras empresariales lo exigen.

Los Trust Services Criteria

SOC 2 se delimita según cinco categorías:

  • Seguridad — los criterios comunes, obligatorios en todo encargo.
  • Disponibilidad — compromisos de tiempo de actividad y resiliencia del sistema.
  • Integridad del procesamiento — el procesamiento es completo, válido, exacto y oportuno.
  • Confidencialidad — protección de la información designada como confidencial.
  • Privacidad — tratamiento de la información personal según el aviso de la entidad.

Solo la Seguridad es obligatoria; la organización elige cuáles de las demás incluir según sus compromisos con los clientes.

Por qué importa

Un buen candidato explica que el Tipo II demuestra eficacia a lo largo del tiempo y que la Seguridad es el criterio innegociable. Puntos extra por señalar que SOC 2 es una atestación (no una certificación de aprobado/suspenso) y contrastarlo con SOC 1, que se centra en los controles del reporte financiero.

Posibles preguntas de seguimiento

  • ¿Por qué un cliente insistiría en un Tipo II en lugar de aceptar un Tipo I?
  • ¿Qué criterio de Trust Services es obligatorio en todo encargo SOC 2?
  • ¿En qué se diferencia un informe SOC 2 de un informe SOC 1 (ICFR)?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.