Cumplimiento de los requisitos SOC 2 del AICPA para la gestión de riesgos de terceros

Cómo auditar y elaborar informes según SOC 2 y los Principios de Servicios de Confianza con soluciones de gestión de riesgos de terceros.

Personal de Mitratech
Personal de Mitratech Marzo 16, 2022 12 minutos de lectura

Esta publicación analiza las consideraciones para la gestión de riesgos de terceros según la norma SOC 2 de la AICPA y explica cómo se pueden cumplir los requisitos SOC mediante la combinación de la evaluación de riesgos de los proveedores y la supervisión de terceros.

Criterios de servicios fiduciarios de la AICPA y gestión de riesgos de terceros

El Comité Ejecutivo de Servicios de Aseguramiento (ASEC) del Instituto Americano de Contadores Públicos Certificados (AICPA) desarrolló criterios de servicios de confianza para que las organizaciones los utilicen como marco para demostrar la confidencialidad, integridad y disponibilidad de los sistemas y datos.

Las organizaciones familiarizadas con las auditorías SOC (System and Organization Control) 2 reconocerán que estos criterios de servicios de confianza se utilizan para informar sobre la eficacia de sus controles internos y medidas de seguridad en materia de infraestructura, software, personal, procedimientos y datos.

Criterios de servicios de confianza en SOC 2

Las auditorías SOC 2 proporcionan una visión completa de las siguientes categorías de servicios fiduciarios de la AICPA:

  • Seguridad: Protección de la información y los sistemas contra el acceso no autorizado, la divulgación no autorizada de información y los daños a los sistemas que podrían comprometer la disponibilidad, integridad, confidencialidad y privacidad de la información o los sistemas y afectar a la capacidad de la entidad para cumplir sus objetivos.
  • Disponibilidad: Garantizar la disponibilidad de la información y los sistemas para su funcionamiento y uso con el fin de cumplir los objetivos de la entidad.
  • Integridad del procesamiento: Garantizar que el procesamiento del sistema sea completo, válido, preciso, oportuno y autorizado para cumplir los objetivos de la entidad.
  • Confidencialidad: Proteger la información designada como confidencial para cumplir con los objetivos de la entidad.
  • Privacidad: Garantizar que la información personal recopilada, utilizada, conservada, divulgada y eliminada cumpla con los objetivos de la entidad.

Tipos de informes SOC

Una vez completada la auditoría de controles, los resultados pueden incluir dos tipos de informes:

  • Informe de tipo 1: examina el sistema de un proveedor de servicios y la idoneidad del diseño de los controles en un momento dado.
  • Informe de tipo 2: complementa al informe de tipo 1 analizando también la eficacia operativa de los controles durante un período de tiempo determinado.

Cómo se utilizan los informes SOC

Organizaciones de múltiples sectores utilizan los informes SOC 2 para demostrar su diligencia debida a los clientes, diferenciarse de la competencia en función de su postura en materia de seguridad o ser proactivas con los auditores a la hora de medir el cumplimiento de las normativas de protección de datos.

 

Requisitos SOC 2 relevantes para la gestión de riesgos de terceros

Las soluciones de gestión de riesgos de terceros pueden permitirle cumplir los siguientes criterios de servicios de confianza:

CC2.3:La entidad se comunica con terceros externos en relación con asuntos que afectan al funcionamiento del control interno.

La plataforma Prevalent Third-Party Risk Management (TPRM)gestiona de forma centralizada el diálogo sobre riesgos, informes y soluciones entre las organizaciones y sus proveedores, distribuidores y socios externos. Además, la plataforma permite almacenar informes, documentos de políticas, contratos y pruebas justificativas para el diálogo, la certificación y el intercambio. En conjunto, estas capacidades garantizan que las organizaciones dispongan de un único repositorio para visualizar y gestionar los riesgos, la documentación de los proveedores y las soluciones.

CC3.2: La entidad identifica los riesgos que pueden afectar al logro de sus objetivos en toda la entidad y los analiza como base para determinar cómo deben gestionarse dichos riesgos.

La plataforma TPRM de Prevalent permite a las organizaciones automatizar las tareas críticas necesarias para evaluar, gestionar, supervisar de forma continua y corregir los riesgos relacionados con la seguridad, la privacidad, el cumplimiento, la cadena de suministro y las adquisiciones de terceros en todas las fases del ciclo de vida de los proveedores, desde la incorporación hasta la baja.

La solución incluye la capacidad deemitir y gestionar evaluaciones de riesgos puntualesutilizando más de 125 plantillas diferentes, analizar los resultados ysupervisar continuamente los riesgos cibernéticos, empresariales, reputacionales y financieros de tercerospara obtener una visión holística de estos. Las plantillas de informes integradas garantizan que los equipos de seguridad y gestión de riesgos puedan comunicar los resultados de la evaluación de riesgos a los ejecutivos y otros responsables de la toma de decisiones y partes interesadas.

CC3.4: La entidad identifica y evalúa los cambios que podrían afectar significativamente al sistema de control interno.

La plataforma Prevalent aprovecha las encuestas personalizables y los flujos de trabajo para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales y mucho más durante la desvinculación para garantizar que, a medida que cambian los acuerdos, también lo hacen las responsabilidades.

Además, Prevalent ofreceContract Essentials, una solución que centraliza la distribución, discusión, retención y revisión de los contratos con los proveedores. Incluye funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desdela incorporaciónhastala salida.

CC9.2:La entidad evalúa y gestiona los riesgos asociados con los proveedores y socios comerciales.

La plataforma Prevalent permite a las organizaciones automatizar las tareas críticas necesarias para evaluar, gestionar, supervisar continuamente y remediar los riesgos relacionados con la seguridad, la privacidad, el cumplimiento normativo, la cadena de suministro y las adquisiciones de terceros en todas las etapas del ciclo de vida de los proveedores, desde la incorporación hasta la salida, incluyendo:

  • Abastecimiento y selección:Prevalent Contract Essentials ayuda a los equipos de gestión de proveedores, adquisiciones y asuntos legales a simplificar el proceso de establecimiento y negociación de los términos contractuales y los acuerdos de nivel de servicio (SLA), la gestión de las modificaciones y la obtención de aprobaciones a través del flujo de trabajo. La solución está totalmente integrada con la plataforma TPRM completa, lo que garantiza que las organizaciones puedan gestionar los contratos con los proveedores con la misma disciplina con la que gestionan los riesgos de los proveedores. Obtenga más información sobre nuestrasolución de abastecimiento y selección de proveedores.
  • Admisión e incorporación / Puntuación de riesgos inherentes:La plataforma Prevalent ofrece informes que revelan tendencias de riesgo, estado y excepciones al comportamiento habitual de proveedores individuales o grupos con información integrada de aprendizaje automático. Con esta capacidad, los equipos pueden identificar rápidamente valores atípicos en evaluaciones, tareas, riesgos, etc., que podrían justificar una investigación más profunda. Obtenga más información sobre nuestrasolución de incorporación de proveedoresynuestra solución de puntuación de riesgos inherentes.
  • Evaluación y supervisión: conla plataforma Prevalent, los equipos de seguridad y gestión de riesgos pueden asignar tareas relacionadas con la gestión de evaluaciones de forma manual o aprovechar una biblioteca preconfigurada de ActiveRules para automatizar una serie de tareas que normalmente se realizan como parte de los procesos de evaluación y revisión, como actualizar los perfiles de los proveedores y los atributos de riesgo, enviar notificaciones o activar flujos de trabajo, utilizando la lógica «si esto, entonces aquello». Obtenga más información sobre nuestrasolución de evaluación de riesgosynuestra solución de supervisión continua.
  • Gestión del SLA y del rendimiento: Laplataforma Prevalent permite a los equipos de gestión de proveedores establecer requisitos para realizar un seguimiento y centralizar los informes sobre el SLA y el rendimiento en función de dichos requisitos a través de un único panel de informes y análisis. Obtenga más información sobre nuestrasolución de gestión del SLA y del rendimiento.
  • Desvinculación y rescisión: Laplataforma Prevalent utiliza encuestas y flujos de trabajo personalizables para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales y mucho más durante la desvinculación. Obtenga más información sobre nuestrasolución de desvinculación de proveedores.

P6.4:La entidad obtiene compromisos de privacidad de los proveedores y otros terceros que tienen acceso a información personal para cumplir con los objetivos de la entidad relacionados con la privacidad. La entidad evalúa el cumplimiento de dichas partes de forma periódica y según sea necesario, y toma medidas correctivas, si es necesario.

Prevalent incluye evaluaciones integradas para normativas de protección de datos comoel RGPD,la CCPA,la HIPAAyla NYDFS. Los resultados de estas evaluaciones se registran en un registro central de riesgos donde los equipos de seguridad y gestión de riesgos pueden visualizar y tomar medidas sobre los riesgos potenciales para los datos, y comparar las acciones de un proveedor con sus obligaciones contractuales.

La plataforma Prevalent incluye orientación y recomendaciones de corrección integradas. Los equipos de seguridad y gestión de riesgos pueden comunicarse eficazmente con los proveedores y coordinar los esfuerzos de corrección a través de la plataforma, capturar y auditar las conversaciones y registrar las fechas estimadas de finalización.

P6.5:La entidad obtiene compromisos de los proveedores y otros terceros con acceso a información personal para que le notifiquen en caso de divulgación real o sospechada de información personal sin autorización. Dichas notificaciones se comunican al personal adecuado y se actúa de acuerdo con los procedimientos establecidos de respuesta a incidentes para cumplir los objetivos de la entidad en materia de privacidad.

El servicio de respuesta ante incidentes de tercerospermite a los equipos de seguridad y gestión de riesgos identificar y mitigar rápidamente el impacto de los incidentes relacionados con la privacidad de los datos mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a directrices de corrección.

Requisitos SOC 2 relevantes para la gestión de riesgos de terceros
Las soluciones de gestión de riesgos de terceros más habituales le permiten cumplir los siguientes criterios de servicios de confianza:
CC2.3: La entidad se comunica con terceros externos en relación con asuntos que afectan al funcionamiento del control interno. Lo predominante Plataforma de gestión de riesgos de terceros (TPRM) Gestiona de forma centralizada el diálogo sobre riesgos, informes y soluciones entre las organizaciones y sus proveedores, distribuidores y socios externos.

Además, la plataforma permite almacenar informes, documentos normativos, contratos y justificantes para dialogar, atestiguar y compartir.

Juntas, estas funciones garantizan que las organizaciones dispongan de un único repositorio para visualizar y gestionar los riesgos, la documentación de los proveedores y las medidas correctoras.
CC3.2: La entidad identifica los riesgos que pueden afectar al logro de sus objetivos en toda la entidad y los analiza como base para determinar cómo deben gestionarse dichos riesgos. La plataforma TPRM de Prevalent permite a las organizaciones automatizar las tareas críticas necesarias para evaluar, gestionar, supervisar de forma continua y corregir los riesgos relacionados con la seguridad, la privacidad, el cumplimiento, la cadena de suministro y las adquisiciones de terceros en todas las fases del ciclo de vida de los proveedores, desde la incorporación hasta la baja.

La solución incluye la capacidad de emitir y gestionar evaluaciones de riesgo puntuales utilizando más de 125 plantillas diferentes, analizar los resultados y supervisar continuamente los riesgos cibernéticos, empresariales, reputacionales y financieros de terceros para obtener una visión holística de estos.

Las plantillas de informes integradas garantizan que los equipos de seguridad y gestión de riesgos puedan comunicar los resultados de la evaluación de riesgos a los ejecutivos y otros responsables de la toma de decisiones y partes interesadas.
CC3.4: La entidad identifica y evalúa los cambios que podrían afectar significativamente al sistema de control interno. La plataforma Prevalent aprovecha las encuestas personalizables y los flujos de trabajo para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales y mucho más durante la desvinculación para garantizar que, a medida que cambian los acuerdos, también lo hacen las responsabilidades.

Además, Prevalent ofrece Contract Essentials, una solución que centraliza la distribución, discusión, retención y revisión de los contratos con los proveedores. Incluye funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la salida.
CC9.2: La entidad evalúa y gestiona los riesgos asociados con los proveedores y socios comerciales. CC9.2: La entidad evalúa y gestiona los riesgos asociados a proveedores y socios comerciales.

La plataforma Prevalent permite a las organizaciones automatizar las tareas críticas necesarias para evaluar, gestionar, supervisar continuamente y remediar los riesgos relacionados con la seguridad, la privacidad, el cumplimiento normativo, la cadena de suministro y las adquisiciones de terceros en todas las etapas del ciclo de vida de los proveedores, desde la incorporación hasta la salida, incluyendo:

Abastecimiento y selección: Prevalent Contract Essentials ayuda a los equipos de gestión de proveedores, compras y asuntos legales a simplificar el proceso de establecimiento y negociación de los términos contractuales y los acuerdos de nivel de servicio (SLA), gestionar las modificaciones y obtener las aprobaciones necesarias a través del flujo de trabajo. La solución está totalmente integrada con la plataforma TPRM completa, lo que garantiza que las organizaciones puedan gestionar los contratos con los proveedores con la misma disciplina con la que gestionan los riesgos de los proveedores. Obtenga más información sobre nuestra solución de abastecimiento y selección de proveedores.

Admisión e incorporación / Puntuación de riesgos inherentes: La plataforma Prevalent ofrece informes que revelan las tendencias de riesgo, el estado y las excepciones al comportamiento habitual de proveedores individuales o grupos, con información integrada obtenida mediante aprendizaje automático. Gracias a esta capacidad, los equipos pueden identificar rápidamente los valores atípicos en las evaluaciones, tareas, riesgos, etc., que podrían justificar una investigación más profunda. Obtenga más información sobre nuestra solución de incorporación de proveedores y nuestra solución de puntuación de riesgos inherentes.

Evaluación y supervisión: Con la plataforma Prevalent, los equipos de seguridad y gestión de riesgos pueden asignar tareas relacionadas con la gestión de evaluaciones de forma manual o aprovechar una biblioteca preconfigurada de ActiveRules para automatizar una serie de tareas que normalmente se realizan como parte de los procesos de evaluación y revisión, como actualizar los perfiles de los proveedores y los atributos de riesgo, enviar notificaciones o activar el flujo de trabajo, utilizando la lógica «si esto, entonces aquello». Obtenga más información sobre nuestra solución de evaluación de riesgos y nuestra solución de supervisión continua.

SLA y gestión del rendimiento: La plataforma Prevalent permite a los equipos de gestión de proveedores establecer requisitos para realizar un seguimiento y centralizar los informes de SLA y rendimiento en función de dichos requisitos a través de un único panel de informes y análisis. Obtenga más información sobre nuestra solución de gestión de SLA y rendimiento.

Desvinculación y rescisión: La plataforma Prevalent utiliza encuestas y flujos de trabajo personalizables para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales y mucho más durante la salida. Obtenga más información sobre nuestra solución para la salida de proveedores.
P6.4: La entidad obtiene compromisos de privacidad de los proveedores y otros terceros que tienen acceso a información personal para cumplir con los objetivos de la entidad relacionados con la privacidad. La entidad evalúa el cumplimiento de dichas partes de forma periódica y según sea necesario, y toma medidas correctivas, si es necesario. Prevalent incluye evaluaciones integradas para normativas de protección de datos tales como GDPR, CCPA, HIPAA y NYDFSLos resultados de estas evaluaciones se registran en un registro central de riesgos, donde los equipos de seguridad y gestión de riesgos pueden visualizar y tomar medidas ante posibles riesgos para los datos, así como comparar las acciones de un proveedor con sus obligaciones contractuales.

La plataforma Prevalent incluye orientación y recomendaciones de corrección integradas. Los equipos de seguridad y gestión de riesgos pueden comunicarse eficazmente con los proveedores y coordinar los esfuerzos de corrección a través de la plataforma, capturar y auditar las conversaciones y registrar las fechas estimadas de finalización.
P6.5: La entidad obtiene compromisos de los proveedores y otros terceros con acceso a información personal para que le notifiquen en caso de divulgación real o sospechada de información personal sin autorización. Dichas notificaciones se comunican al personal adecuado y se actúa de acuerdo con los procedimientos establecidos de respuesta a incidentes para cumplir los objetivos de la entidad en materia de privacidad. El servicio de respuesta ante incidentes de terceros permite a los equipos de seguridad y gestión de riesgos identificar y mitigar rápidamente el impacto de los incidentes relacionados con la privacidad de los datos mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a directrices de corrección.

Abordar SOC 2 con Prevalent

El informe SOC 2 de la AICPA es un marco estándar del sector para que las empresas de servicios de TI evalúen sus controles sobre los datos de los clientes. Dado que algunas organizaciones que carecen de recursos internos para responder a las evaluaciones de seguridad proporcionarán un informe SOC 2 a sus clientes, puede resultar lento y complejo para los equipos trasladar los resultados del informe SOC 2 a una solución de gestión de riesgos para realizar un seguimiento adecuado de los riesgos.

Con Prevalent, puede cumplir los requisitos de gestión de riesgos de terceros de SOC 2 mediante:

  • Evaluación de terceros mediante un cuestionario exhaustivo basado en SOC 2.
  • Generar automáticamente un registro de riesgos al completar la encuesta para centrarse en posibles áreas de preocupación.
  • Creación de un registro de auditoría que relacione la documentación y las pruebas con los riesgos y los proveedores.
  • Informes sobre el cumplimiento de SOC 2

También ofrecemos un servicio de análisis de excepciones SOC 2, que es un servicio gestionado prestado por el Centro de Operaciones de Riesgos (ROC) de Prevalent que transpone las excepciones de control del informe SOC 2 a riesgos en la plataforma de gestión de riesgos de terceros de Prevalent. El registro de riesgos unificado resultante permite una respuesta y una corrección coordinadas de los riesgos siguiendo un enfoque estandarizado y garantiza que usted disponga de un perfil completo de todos los proveedores, incluso de aquellos que presentan un informe SOC 2 en lugar de una evaluación de seguridad completa.

Para obtener más información, visite nuestra página de soluciones SOC 2 o solicite una demostración hoy mismo.

 

Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.