¿Qué es la norma ISAE3000 SOC 2 y por qué es importante?

LeadDesk cuenta con la acreditación ISAE3000 SOC 2 Tipo I de KPMG. Pero, ¿qué significa esto realmente para ti y por qué es importante?

Call Center ComplianceSin categorizar
schedule5 minute read

Also available in: English Deutsch

LeadDesk cuenta con la acreditación ISAE3000 SOC 2 Tipo I de KPMG. Pero, ¿qué significa esto realmente para ti y por qué es importante? 

¿Por qué debería importarme la SOC 2? 

La conformidad con la norma ISAE3000 SOC 2 (SOC 2) es un requisito imprescindible para cualquier empresa preocupada por la seguridad que adquiera un servicio externo, sobre todo cuando se trata de información personal identificable. 

Organismos públicos, agencias y empresas 

Cuando se redacta una solicitud de información o una solicitud de propuesta (RFI/RFP, por sus siglas en inglés) para un servicio, el requisito mínimo suele ser la acreditación SOC 2 o la certificación ISO 27001, o ambas. 

[LeadDesk también tiene la certificación ISO 27001 – Más información aquí] 

Pequeñas y medianas empresas 

Si trabajas en un sector especialmente sensible a los datos, como la sanidad, debes tener en cuenta cómo se maneja tu información para los servicios que utilizas. 

En resumen, si te preocupa mantener segura la información de tus clientes en todos tus servicios, elije únicamente servicios con acreditación SOC 2 y/o certificación ISO 27001. 

Con SOC 2, en LeadDesk podemos asegurar a nuestros clientes que nuestros servicios se construyen y gestionan de acuerdo con una de las normas de seguridad más reconocidas del mundoTrang Nguyen, auditor interno de LeadDesk

¿Qué es la SOC 2? 

Los controles de sistemas y organización (SOC, por sus siglas en inglés) son informes realizados por un auditor independiente tras evaluar cómo maneja una empresa los datos de sus clientes, especialmente los sensibles, en sus procedimientos cotidianos. 

La acreditación SOC 2 se emite de acuerdo con la norma internacional sobre compromisos de garantía (ISAE, por sus siglas en inglés). 

LeadDesk se sometió a una auditoría de KPMG para obtener la acreditación ISAE3000 SOC 2 Tipo I. El Tipo I describe si una empresa tiene la capacidad de cumplir ciertos principios y criterios de confianza como proveedor de servicios. El Tipo II describe la eficacia de estas capacidades en el funcionamiento. 

¿Cómo se consigue la acreditación SOC 2? 

La acreditación SOC 2 consta de dos partes. En su forma más básica, la organización debe demostrar que es capaz de cumplir 17 requisitos de lo que se conoce como «principios de control interno» del marco COSO. La otra parte abarca los criterios opcionales del servicio de confianza que se resumen a continuación. 

Requisito SOC 2: los 17 principios de control interno 

Los 17 principios de control interno son obligatorios y deben ser completados por toda organización que desee obtener la acreditación SOC 2. Además, hay 4 factores adicionales que también se pueden evaluar. 

Estos principios garantizan que la empresa cuenta con procedimientos para mantener la seguridad de la información, para estar seguros de que solo los empleados pertinentes tienen acceso a la información confidencial, y para minimizar los riesgos a través de la formación continua, la supervisión del sistema y la evaluación coherente de los socios y proveedores externos. 

Esto significa que una empresa que ha superado los requisitos de los principios de control: 

  • Forma a todos sus empleados en materia de seguridad de la información. 
  • Se asegura de que todos sus proveedores de servicios tengan protocolos de seguridad de la información similares. 
  • Garantiza que todos los datos de los clientes estén seguros, con copias de seguridad, y restringe el acceso físico y digital a esos datos. También elimina estos datos al final de la relación con el cliente. 
  • Dispone de procedimientos para responder rápidamente ante cualquier incidente. 
  • Audita periódicamente los procedimientos de seguridad de la información internamente y con un auditor externo. 

Los 17 principios de control interno de COSO, imagen adaptada de CGCompliance. 

Los 5 criterios de servicio de confianza 

Si una organización puede demostrar que cumple los 17 principios de control interno, también puede optar por ser examinada en relación con cualquiera de los criterios de servicio de confianza, o los cinco, para la acreditación SOC 2. En esta parte, la empresa puede elegir cuáles de los cinco criterios son más aplicables a su negocio. 

Los criterios de servicio de confianza abarcan la forma en que una empresa maneja los datos de sus clientes, examinando: 

1. Seguridad 

Incluye cortafuegos, detección de intrusos y si la empresa utiliza la autenticación multifactorial en sus servicios. 

Superar estos requisitos en una auditoría SOC 2 significa que LeadDesk ha minimizado la posibilidad de que se produzcan filtraciones de datos y violaciones de la seguridad. 

2. Disponibilidad

Las empresas que prestan servicios empresariales cruciales deben ser fiables y estar disponibles. Sus clientes necesitan tener la tranquilidad de que cualquier problema se solucionará rápidamente y no afectará negativamente a su negocio. 

En la auditoría, se examinó el modo en el que en LeadDesk supervisamos la disponibilidad de nuestro software, y cómo respondemos a los incidentes y nos recuperamos cuando se producen. 

3. Confidencialidad

Los auditores examinan cómo trabaja la empresa para mantener la confidencialidad de los datos. Esto incluye controles de acceso para que solo un grupo selecto de personas tenga acceso a los datos. Algunos ejemplos son los planes de negocio, la propiedad intelectual y la información financiera sensible. 

También se examinó cómo se encriptan los datos que procesa LeadDesk para evitar cualquier acceso no autorizado en tránsito. 

4. Integridad del procesamiento

¿El sistema auditado mantiene tus datos puros e inalterados? La integridad del procesamiento requiere que los datos solo se procesen cuando se autorice, y que no se van a distorsionar o cambiar. 

Al examinar la integridad del procesamiento, los auditores se fijan en las prácticas de garantía de calidad y en la supervisión del proceso. 

5. Privacidad

Cualquier organización debe tratar siempre con cuidado los datos de identificación personal. Los factores mencionados anteriormente, como el cifrado, la autenticación multifactorial y el control de acceso, contribuyen a mantener la privacidad de la información. Los auditores comprobarán estos factores cuando examinen la privacidad según la norma SOC 2. 

Además de los 17 requisitos del marco COSO, LeadDesk fue evaluada en relación con los tres criterios de servicio de confianza más aplicables a nuestra organización: seguridad, disponibilidad y confidencialidad. 

 

¿En qué se diferencian la SOC 2 y la ISO 27001?

 

La SOC 2 y la ISO 27001 tienen algunas similitudes, pero también hay diferencias clave en la forma en que examinan los controles de seguridad de una empresa: 

 

 ISO27001ISAE3000/SOC 2
Qué es  

Norma internacional de seguridad de la información 

 

Controles sobre los criterios de servicio de confianza y los criterios de seguridad 
Resultado   

 

Un certificado que confirma que la organización cumple los requisitos de la norma   

                                

Informe completo basado en las pruebas realizadas por el auditor, con un certificado de que la empresa cumple los criterios acordados 

 

Cobertura de seguridad              

Solo seguridad 

 

Seguridad y criterios opcionales (por ejemplo, disponibilidad, confidencialidad, seguridad) 
Foco  

El diseño de controles de seguridad 

 

La eficacia de los controles de seguridad 

 

Si te gustaría obtener más información sobre por qué LeadDesk es la solución más segura para tu software de centro de atención al cliente, reserva una demostración.