¿Qué criterios son obligatorios?

Solo Security (Common Criteria) es obligatorio. Añade Availability, Processing Integrity, Confidentiality y Privacy en función de su servicio y de las expectativas de sus clientes.

¿Debo empezar con Type I o Type II?

Type I es más rápido y a menudo un primer paso sensato; Type II es la evidencia que la mayoría de los clientes finalmente exige.

SOC 2 es lo más habitual en el mercado B2B de EE. UU. e internacional; ISO 27001 es la certificación reconocida internacionalmente. Ambas se solapan considerablemente — en Sightadel, la evidencia puede reutilizarse en las dos.

¿Con qué frecuencia debe renovarse SOC 2?

Los informes SOC 2 Type II cubren un periodo y normalmente se repiten cada año.

ISO 27001 ISO 9001 ISO 42001 NIS2 RGPD BSI C5:2026 NIST CSF 2.0 SOC 2

SOC 2 · Trust Services Criteria

SOC 2: demostrar confianza a sus clientes

SOC 2 es una norma de atestación de la AICPA (American Institute of Certified Public Accountants) para proveedores de servicios que manejan datos de clientes — en particular SaaS B2B y proveedores de nube. El resultado no es un certificado, sino un informe de atestación que utiliza para demostrar a los clientes que sus controles están adecuadamente diseñados y funcionan de manera efectiva. Esta página explica qué es SOC 2, para quién es relevante (y para quién no), en qué se diferencian Type I y Type II, y cómo mantenerse continuamente listo para auditorías con Sightadel.

¿Qué es SOC 2?

SOC 2 (System and Organization Controls 2) es un marco en el que un CPA con licencia evalúa los controles internos de un proveedor de servicios. La base son los Trust Services Criteria (TSC):

Security (Common Criteria): la base obligatoria de todo informe SOC 2.
Availability: disponibilidad del servicio.
Processing Integrity: procesamiento completo y preciso.
Confidentiality: protección de la información confidencial.
Privacy: tratamiento de los datos personales.

Usted elige qué criterios, además del obligatorio Security, se incluyen en el informe — en función de su servicio y de las expectativas de sus clientes. El informe finalizado normalmente se comparte con clientes y prospectos bajo un acuerdo de confidencialidad.

¿Para quién es relevante SOC 2 — y para quién no?

SOC 2 es relevante para usted si …

… es un proveedor de servicios que procesa o aloja datos de clientes, y sus clientes esperan evidencia independiente de sus controles de seguridad. Casos típicos:

proveedores de SaaS B2B, especialmente aquellos con clientes en EE. UU. o activos a nivel internacional,
proveedores de nube y de alojamiento,
proveedores para quienes SOC 2 aparece habitualmente en procesos de compra y cuestionarios de seguridad.

En muchos procesos de venta B2B, un informe SOC 2 es hoy prácticamente un requisito para siquiera entrar en la lista de candidatos.

SOC 2 probablemente no es una prioridad para usted si …

… no procesa datos de clientes como proveedor de servicios, o sus clientes no exigen esa evidencia. En contextos puramente nacionales donde los clientes esperan en su lugar ISO 27001 o el BSI C5, SOC 2 suele ser secundario.

La advertencia: SOC 2 está impulsado por el mercado, no es una obligación legal. Por tanto, la pregunta rara vez es "¿Estoy obligado?" sino "¿Lo exigen mis clientes objetivo — y pierdo oportunidades sin el informe?"

Type I o Type II — ¿cuál es la diferencia?

SOC 2 Type I evalúa si los controles están adecuadamente diseñados en una fecha concreta. Más rápido de lograr, a menudo un primer paso.
SOC 2 Type II evalúa además si los controles funcionaron de manera efectiva durante un periodo (a menudo de 3 a 12 meses). Type II es más significativo y es lo que la mayoría de los clientes finalmente quieren ver.

El reto típico en la preparación de SOC 2

Evidencia a lo largo de todo el periodo. Para Type II, la efectividad debe demostrarse de forma continua — no solo el día de la auditoría. Las organizaciones que empiezan a recopilar poco antes terminan con lagunas.
Evidencia fragmentada. Revisiones de acceso, tickets de cambios, registros de incorporación, registros de incidentes — repartidos por muchos sistemas.
Trabajo duplicado junto a otras normas. Las organizaciones que ya implementan ISO 27001 o NIS2 mantienen gran parte por duplicado porque la evidencia no está vinculada.

Cómo Sightadel simplifica la preparación de SOC 2

Sightadel es el portal de cumplimiento dentro de la Pervigon Security Suite. Representa los Trust Services Criteria como un catálogo de controles estructurado al que asigna medidas, responsables y evidencias.

Más rápido hacia el estado listo para auditoría. Los Trust Services Criteria están integrados en el portal. Asigna los controles existentes y ve de inmediato qué falta todavía para el alcance elegido (Security más los criterios opcionales).

Evidencia continua para Type II. Las tareas recurrentes — como las revisiones de acceso — se programan, se recuerdan y se documentan en el portal. Esto genera la cadena continua de evidencia a lo largo del periodo de evaluación.

Reutilización de la evidencia. Un control como la autenticación multifactor se asigna simultáneamente a SOC 2, ISO 27001 y NIS2. Una sola evidencia, varios marcos — en lugar de un mantenimiento en paralelo.

Sin consultores externos como muleta permanente. La lógica de asignación está integrada en el portal y respaldada por el núcleo neoAI. El CPA sigue siendo responsable de la auditoría; la preparación continua la lleva a cabo su equipo.

Listo para auditoría. Cada control está vinculado a un responsable, un estado, evidencias y un historial — el artefacto que el auditor quiere ver.

SOC 2 con Sightadel en la práctica

1
Defina el alcance.¿Qué Trust Services Criteria, más allá de Security, deben figurar en el informe?
2
Asigne y cierre lagunas.Asigne los controles existentes, realice un análisis de brechas y elabore un plan de acción priorizado.
3
Mantenga la evidencia.Recopile evidencia de forma continua a lo largo del periodo de Type II — recurrente y trazable.
4
Apoye la auditoría.Proporcione al CPA el estado requerido de forma estructurada.

Preguntas frecuentes sobre SOC 2

No. SOC 2 es un informe de atestación de un CPA con licencia, no un certificado.

La disponibilidad para SOC 2 como estado, no como proyecto anual

Un informe SOC 2 es una prueba recurrente a lo largo de un periodo. Sightadel mantiene sus controles y evidencias continuamente listos para auditoría — de modo que cada nuevo periodo de auditoría parte de un estado mantenido en lugar de una carrera contrarreloj.

Vea su estado de SOC 2 en Sightadel.

Solicitar una demo