¿Le han pedido que produzca un informe de SOC como parte de una respuesta a
una solicitud de propuesta o de un cliente potencial? ¿Los auditores de su cliente
actual le preguntan si se somete a una auditoría de SOC? Si bien los informes de
SOC requieren mucho tiempo, brindan una base para un conjunto general de
controles y pruebas que permiten que su organización sea auditada una vez, en
lugar de cada cliente. En general, los informes SOC 2®️ se utilizan para los
controles sobre TI. Los informes SOC 2®️ pueden ser de tipo I o de tipo II. El
informe de tipo I es una revisión del diseño de control, mientras que un tipo II es
tanto un diseño de control como una prueba de eficacia. OCD Tech es un
proveedor de servicios SOC 2®️, SOC 3®️ y SOC para Cybersecurity®️.

SOC 2®️
Informe sobre los controles en una organización de servicios relevantes
para la seguridad, la disponibilidad, la integridad del procesamiento, la
confidencialidad o la privacidad
Estos informes están destinados a satisfacer las necesidades de una
amplia gama de usuarios que necesitan comprender el control interno en
una organización de servicios en lo que se refiere a seguridad,
disponibilidad, integridad de procesamiento, confidencialidad y privacidad.
Estos informes se realizan utilizando la Guía AICPA: Informes sobre controles en organizaciones de servicio relevantes para la seguridad, disponibilidad, integridad del procesamiento, confidencialidad o privacidad y están destinados a ser utilizados por las partes interesadas (por ejemplo, clientes, reguladores, socios comerciales, proveedores, directores). de la organización de servicios que tienen un conocimiento profundo de la
organización de servicios y sus controles internos.
Estos informes pueden formar una parte importante de las partes
interesadas:
Supervisión de la organización

Programa de gestión de proveedores
Procesos internos de gobierno corporativo y gestión de riesgos
Supervisión regulatoria.

Un informe Tipo 1, informa sobre la descripción de la administración del sistema de una organización de servicios y la idoneidad del diseño de los controles.

Estos informes pueden tener un uso restringido.

Un informe Tipo 2, informa sobre la
descripción de la administración del sistema de una organización de servicios y la idoneidad del diseño y la efectividad operativa de los controles.

SOC3®️
Informe de servicios de confianza para organizaciones de servicios
Los informes SOC 3®️ están diseñados para satisfacer las necesidades de
los usuarios que desean seguridad sobre los controles en una organización
de servicios relacionados con la seguridad, disponibilidad, integridad del procesamiento, confidencialidad o privacidad, pero no tienen la necesidad o el conocimiento necesario para hacer un uso efectivo de un informe SOC2®️.

Estos informes se preparan utilizando los principios y criterios de
servicios de confianza de AICPA / CPA Canada (anteriormente Canadian
Institute of Chartered Accountants) para la seguridad, disponibilidad,
integridad del procesamiento, confidencialidad y privacidad.

Dado que los informes SOC 3®️ son informes de uso general, se pueden distribuir libremente.

SOC para Cybersecurity®️
Las empresas se enfrentan a crecientes demandas para demostrar a las
partes interesadas que están gestionando suficientemente las amenazas de
ciberseguridad. Si bien los marcos SOC 2 y 3 se ocupan de los controles
relacionados con la seguridad, la disponibilidad, la integridad del
procesamiento, la confidencialidad y la privacidad, hasta ahora no existía
ningún marco para informar sobre las protecciones proporcionadas por un
programa de gestión de riesgos de ciberseguridad.