Español

SOC 2, ISO 27001 y GDPR: qué cubre realmente cada uno para un comprador

El director de adquisición tenía una lista de verificación. Tenía dos elementos en la línea de cumplimiento: "Conforme a SOC 2" y "Conforme a GDPR". Cada vendor que evaluaron marcó ambas casillas. El director se sentía seguro. Luego, legal señaló que el cumplimiento GDPR del vendor hacía referencia a una política de privacidad desactualizada, no a un Acuerdo de Procesamiento de Datos firmado. E IT señaló que el SOC 2 cubría un alcance que excluía la integración que estaban comprando.

El problema no era deshonestidad. El problema era que "conforme a SOC 2" y "conforme a GDPR" son frases que pueden ser técnicamente precisas mientras ocultan brechas significativas. Un vendor puede tener certificación SOC 2 para su producto principal y no para el módulo de IA que usted está desplegando. Un vendor puede ser conforme con GDPR en el sentido de que publicó una política de privacidad sin ser conforme con GDPR en el sentido de que firmó un DPA legalmente vinculante con usted.

Estos tres marcos son certificaciones y leyes de diferentes tipos. No se sustituyen entre sí. No se superponen de la manera que implica una casilla de verificación. Y los vendors frecuentemente enfatizan los que tienen mientras oscurecen las brechas en los que no tienen.

Esta guía explica qué cubre realmente cada marco y cómo usar ese conocimiento en las conversaciones con vendors.

Datos clave: panorama de cumplimiento para compradores de mercado medio

  • SOC 2 Tipo 1 vs. Tipo 2: el Tipo 1 es una instantánea puntual del diseño de los controles; el Tipo 2 audita la operación de los controles durante una ventana de observación de 6-12 meses. El Tipo 2 es el estándar de adquisición enterprise: los informes Tipo 1 se ven con más frecuencia en vendors dentro de los 12 meses de su primera auditoría.
  • Adopción global de ISO 27001: la Encuesta ISO reportó aproximadamente 71.549 certificados ISO/IEC 27001 válidos en todo el mundo en la edición más reciente, con el Reino Unido, Japón e India liderando los recuentos. La penetración entre los vendors de SaaS de EE.UU. sigue siendo menor que la de SOC 2.
  • Precedentes de multas GDPR: la multa de €1.200 millones de Meta en mayo de 2023 (DPC Irlanda) por transferencias ilegales de datos entre la UE y EE.UU. sigue siendo el récord. Amazon (€746 millones, 2021), Instagram (€405 millones, 2022) y TikTok (€345 millones, 2023) han superado los nueve dígitos: el GDPR es el único de los tres marcos con sanciones monetarias directas.
  • Demanda de los compradores: los RFP en industrias reguladas (servicios financieros, sanidad, gobierno) tratan el SOC 2 Tipo 2 como obligatorio; una parte significativa de los compradores enterprise también exige ISO 27001 junto a él. Los DPA de GDPR son el mínimo para cualquier vendor que procese datos de residentes de la UE.
  • Brecha en la notificación de filtraciones: GDPR exige notificación al regulador en 72 horas. SOC 2 e ISO 27001 requieren procesos de respuesta a incidentes pero no establecen un plazo fijo de notificación al cliente: el DPA es donde se negocia ese plazo.

Visión general del marco: qué está comparando realmente

Marco Tipo Qué es Quién lo emite Alcance
SOC 2 Estándar de auditoría Atestación de controles en un momento determinado Auditor externo (firma de CPA) Definido por la declaración de alcance del vendor
ISO 27001 Estándar de gestión Certificación del sistema de gestión de seguridad de la información Organismo de certificación (acreditado) Definido por el alcance del ISMS
GDPR Ley Requisito legal para procesar datos personales de residentes de la UE Regulación de la UE (aplicada por las APD) Aplica a todos los datos personales de residentes de la UE

La distinción clave: SOC 2 e ISO 27001 son certificaciones voluntarias que un vendor obtiene mediante una auditoría o evaluación de terceros. GDPR es un requisito legal. No importa si el vendor ha buscado una certificación: si está procesando datos personales de residentes de la UE, está sujeto a él.

El mapa de cobertura de cumplimiento

El mapa de cobertura de cumplimiento es un modelo mental del lado del comprador que asigna cada marco a la superficie de riesgo específica que realmente aborda: SOC 2 cubre los controles de seguridad operativa de EE.UU. y es la línea base para la adquisición en América del Norte, ISO 27001 cubre la postura de gestión de seguridad de la información internacional y señala madurez a los compradores europeos y de Asia-Pacífico, y GDPR (mediante un DPA firmado) cubre el procesamiento de datos personales de la UE y es el único marco que incluye requisitos de residencia de datos, transferencia legal y derechos de los interesados. Use el mapa para detectar brechas: un vendor con SOC 2 Tipo 2 pero sin DPA no está cubierto para datos de la UE; un vendor con ISO 27001 pero sin SOC 2 puede atascarse en revisiones enterprise de EE.UU.; un vendor con un DPA pero sin atestación de seguridad tiene documentación legal sin controles verificados. Necesita la combinación que corresponda a sus flujos de datos, no la que el vendor comercializa.

SOC 2: qué cubre y qué no cubre

Qué es realmente SOC 2

SOC 2 (System and Organization Controls 2) es un estándar de auditoría desarrollado por el American Institute of CPAs (AICPA). Un informe SOC 2 es producido por una firma de CPA independiente que ha revisado los controles del vendor frente a los Criterios de Servicios de Confianza.

Hay dos tipos de informes SOC 2:

Tipo I: una evaluación puntual. El auditor confirmó que los controles del vendor estaban diseñados adecuadamente en una fecha específica. Esto es una instantánea. Le dice que los controles existían ese día.

Tipo II: una evaluación de un período de 6-12 meses. El auditor confirmó que los controles no solo estaban diseñados adecuadamente sino que operaban eficazmente a lo largo del tiempo. Este es el estándar que debe exigir.

Los cinco criterios de servicios de confianza

Un informe SOC 2 puede cubrir uno o más de estos criterios:

Criterio Qué cubre
Seguridad (CC) Controles de acceso, cifrado, gestión de vulnerabilidades, respuesta a incidentes
Disponibilidad (A) Tiempo de actividad del sistema, monitoreo del rendimiento, recuperación ante desastres
Integridad del procesamiento (PI) Integridad y precisión del procesamiento de datos
Confidencialidad (C) Protección de información confidencial según los compromisos del vendor
Privacidad (P) Recopilación, uso, retención y eliminación de información personal

La mayoría de los vendors solo cubren Seguridad y Disponibilidad. Esto importa porque los criterios de Confidencialidad y Privacidad son los que rigen cómo el vendor maneja sus datos más allá de los controles básicos de acceso. Si está poniendo datos sensibles de clientes, datos financieros o datos de RRHH en una herramienta, pregunte específicamente si los criterios de Confidencialidad y Privacidad están en el alcance. El proceso completo de revisión de seguridad cubre cómo interpretar la sección de alcance de un SOC 2 y qué hacer cuando el informe contiene excepciones.

Qué NO cubre SOC 2

  • Integraciones específicas de terceros. Si el vendor usa un proveedor de IA de terceros, almacén de datos o herramienta de análisis, ese componente puede estar excluido explícitamente del alcance del SOC 2. Lea la sección de alcance.
  • Su uso del producto. SOC 2 audita los controles del vendor, no cómo ha configurado el producto. Si ha configurado permisos o ajustes de uso compartido débiles, eso está fuera del alcance.
  • La postura actual. Un SOC 2 de hace 14 meses refleja el estado del vendor hace 14 meses. La rotación de personal, los cambios de infraestructura y las nuevas funciones del producto desde entonces no están cubiertos.

Preguntas que debe hacer sobre la base del SOC 2

  1. ¿Su informe SOC 2 actual es Tipo I o Tipo II?
  2. ¿Qué criterios de servicios de confianza cubre? ¿Incluye Confidencialidad y Privacidad?
  3. ¿Cuál es el período de auditoría? ¿Hay un informe del año en curso en progreso?
  4. ¿Puedo revisar la sección de alcance del informe? ¿Qué infraestructura y productos están excluidos explícitamente?
  5. ¿Hay excepciones u opiniones calificadas en el informe?
  6. ¿Qué subprocesadores de terceros están dentro del alcance frente a los que están excluidos?

Señales de alerta:

  • Informe Tipo I presentado como equivalente al Tipo II
  • Informe de más de 12 meses sin auditoría en curso
  • Alcance que excluye el producto o módulo específico que está comprando
  • Negativa a compartir el informe bajo NDA

ISO 27001: qué cubre y qué no cubre

Qué es realmente ISO 27001

ISO 27001 es un estándar internacional para Sistemas de Gestión de Seguridad de la Información (ISMS), publicado y mantenido por la Organización Internacional de Normalización (ISO). La certificación significa que un vendor ha implementado un enfoque documentado y sistemático para gestionar los riesgos de seguridad de la información, que abarca políticas, procesos, personas y tecnología.

A diferencia de SOC 2, que audita controles específicos frente a criterios definidos, ISO 27001 certifica la existencia y operación de un sistema de gestión para la seguridad de la información. El estándar tiene dos componentes principales:

  • Cláusulas principales: requisitos para el ISMS (evaluación de riesgos, compromiso de liderazgo, planificación, operación, evaluación, mejora)
  • Controles del Anexo A: 93 categorías de controles que cubren seguridad física, gestión de acceso, criptografía, relaciones con proveedores, gestión de incidentes y más

Qué NO cubre ISO 27001

  • Privacidad de datos. ISO 27001 es un estándar de seguridad, no de privacidad. No aborda específicamente los derechos de los interesados, las limitaciones de retención de datos o los requisitos de consentimiento para el procesamiento de datos personales. Para privacidad, necesita GDPR o equivalente.
  • Resultados técnicos específicos. La certificación ISO 27001 significa que existe un sistema de gestión. No certifica que estén implementados controles técnicos específicos. Un vendor puede estar certificado en ISO 27001 con controles técnicos relativamente débiles si esos controles están documentados y gestionados dentro del ISMS.
  • La arquitectura del producto. El alcance del ISMS puede ser limitado, cubriendo los sistemas de IT corporativos pero no la infraestructura del producto. Verifique si el alcance cubre los sistemas específicos que está usando.

Preguntas que debe hacer sobre la base de ISO 27001

  1. ¿Cuál es el alcance de su certificación ISO 27001? ¿Incluye el entorno del producto en producción?
  2. ¿Qué organismo de certificación emitió el certificado y cuándo?
  3. ¿Cuándo es su próxima auditoría de vigilancia?
  4. ¿Su ISMS cubre los controles del Anexo A relevantes para nuestro caso de uso (específicamente gestión de acceso, criptografía y relaciones con proveedores)?
  5. ¿Cómo gestiona los riesgos de seguridad de la información de proveedores para los subprocesadores de terceros?

La relación ISO 27001/SOC 2: muchos vendors persiguen ambos. ISO 27001 tiene mayor reconocimiento internacional; SOC 2 tiene mayor penetración en el mercado de EE.UU. Un vendor con ISO 27001 pero sin SOC 2 puede ser apropiado según su geografía e industria. Un vendor con SOC 2 pero sin ISO 27001 es el perfil estándar del mercado medio de EE.UU. Para herramientas con IA, ningún estándar cubre completamente las preguntas adicionales sobre el manejo de datos relacionadas con el entrenamiento de modelos, razón por la cual evaluar SaaS con IA añade una capa separada a esta revisión.

GDPR: qué cubre y qué no cubre

Qué es realmente GDPR

El Reglamento General de Protección de Datos es una ley de la UE que regula la recopilación, el procesamiento y el almacenamiento de datos personales de residentes de la UE. El texto completo del Reglamento GDPR está publicado en EUR-Lex y aplica a cualquier organización que procese datos personales de residentes de la UE, independientemente de dónde esté ubicada la organización.

Para un comprador de SaaS, la relevancia del GDPR se presenta en dos formas:

  1. Usted es un responsable del tratamiento. Usted decide qué datos personales se recopilan y con qué fin. Si su herramienta SaaS recopila o procesa datos personales de residentes de la UE en su nombre, necesita un Acuerdo de Procesamiento de Datos (DPA) con el vendor.

  2. El vendor es un encargado del tratamiento. Procesa datos personales según sus instrucciones. El DPA rige los términos bajo los cuales procesan esos datos.

El DPA: el documento que realmente importa

"Conforme con GDPR" sin un DPA firmado no tiene validez legal. El DPA es el contrato que establece:

  • Qué datos personales procesa el vendor en su nombre
  • Los fines y medios del procesamiento
  • Las obligaciones del vendor en materia de seguridad de datos, notificación de filtraciones y gestión de subprocesadores
  • El mecanismo para las transferencias transfronterizas de datos (Cláusulas Contractuales Tipo o equivalente)
  • Los derechos de los interesados y cómo los apoya el vendor
  • La eliminación y devolución de datos al finalizar el contrato

Lista de verificación del DPA (15 elementos):

  • El DPA es un documento firmado e independiente (no solo una política de privacidad)
  • El alcance define exactamente qué datos personales se procesan
  • Los fines del procesamiento corresponden a su caso de uso real
  • La lista de subprocesadores está actualizada y se proporciona aviso de actualizaciones
  • Las medidas de seguridad se describen con especificidad
  • El plazo de notificación de filtraciones es de 72 horas o menos
  • El proceso de derechos de los interesados está documentado (supresión, acceso, portabilidad)
  • El mecanismo de transferencia transfronteriza está especificado (CCT, decisión de adecuación u otro)
  • El plazo de eliminación de datos tras la cancelación está definido (30 días o menos es el estándar)
  • La opción de devolución de datos está disponible
  • El vendor confirma que no usará los datos para fines más allá de sus instrucciones
  • El derecho del vendor a usar los datos para el entrenamiento de IA está abordado explícitamente
  • Los derechos de auditoría están especificados
  • La responsabilidad por infracciones del GDPR está definida
  • El DPA está regido por la ley de la UE o un estándar equivalente

Qué NO cubre GDPR

  • Interesados no residentes en la UE. El GDPR no cubre los datos de personas de EE.UU., Australia u otros países no pertenecientes a la UE. Pueden aplicar otras regulaciones (CCPA para California, LGPD para Brasil, etc.), pero GDPR específicamente cubre a los residentes de la UE. La guía del Comité Europeo de Protección de Datos ofrece interpretaciones autorizadas del alcance territorial para organizaciones que no están seguras de si el GDPR aplica a sus flujos de datos específicos.
  • Datos anonimizados. Los datos verdaderamente anonimizados (donde la reidentificación no es posible) están fuera del alcance del GDPR. Los datos seudonimizados (donde la reidentificación es posible con una clave) siguen dentro del alcance.
  • Datos de contacto B2B. En muchas jurisdicciones, la información de contacto empresarial de empresas (no de consumidores individuales) queda fuera de la definición de datos personales del GDPR. Esto es controvertido y depende de la jurisdicción.

Preguntas que debe hacer sobre la base del GDPR

  1. ¿Puedo recibir una copia de su DPA estándar antes de firmar el contrato principal?
  2. ¿Tiene una lista actualizada de subprocesadores y cómo se notifica cuando cambian?
  3. ¿Qué mecanismo usa para las transferencias transfronterizas de datos (CCT, decisión de adecuación)?
  4. ¿Cuál es su proceso para atender las solicitudes de derechos de los interesados (supresión, acceso, portabilidad)?
  5. ¿Cuál es su compromiso de notificación de filtraciones y cómo se compara con el estándar de 72 horas del GDPR?
  6. Si las funciones de IA están en el alcance, ¿se usan los datos del cliente para el entrenamiento? ¿Hay una opción de exclusión y está en el DPA?
  7. ¿Qué datos personales se procesan si solo usamos [módulo de producto específico]?

Señales de alerta:

  • El vendor presenta su política de privacidad como el DPA
  • El DPA incluye el derecho a usar datos del cliente para el entrenamiento de modelos sin opción de exclusión
  • La lista de subprocesadores no se mantiene o tiene más de 6 meses de antigüedad
  • El compromiso de notificación de filtraciones supera las 72 horas
  • No se especifica ningún mecanismo para las transferencias transfronterizas

La tabla de comparación de marcos

Pregunta SOC 2 responde ISO 27001 responde GDPR responde
¿El vendor tiene controles de seguridad? Sí (si es Tipo II, criterio de Seguridad) Sí (marco de controles del Anexo A) No (la seguridad es un requisito, no está auditada)
¿Mis datos se manejan con la confidencialidad adecuada? Parcialmente (si el criterio de Confidencialidad está en el alcance) Parcialmente (controles del Anexo A) Sí (el DPA rige esto)
¿Están protegidos mis derechos de privacidad? Parcialmente (si el criterio de Privacidad está en el alcance) No Sí (derechos de los interesados)
¿Aplica a datos personales de la UE? No (voluntario, geográficamente neutro) No (voluntario, geográficamente neutro) Sí (obligatorio para datos de la UE)
¿Es verificable el alcance? Sí (en el informe) Sí (alcance del certificado) Sí (en el DPA)
¿Aborda la notificación de filtraciones? Parcialmente (controles de respuesta a incidentes) Parcialmente (gestión de incidentes) Sí (notificación en 72 horas)

Cómo usar esto en conversaciones con vendors

No diga: "¿Son conformes con SOC 2 y GDPR?"

En cambio, pregunte:

  • "¿Puedo ver la sección de alcance y los criterios de servicios de confianza en su informe SOC 2 Tipo II actual?"
  • "¿El alcance de su ISO 27001 cubre el entorno del producto en producción?"
  • "¿Puedo recibir su DPA antes de firmar? ¿Qué subprocesadores están listados y alguno de ellos es un proveedor de IA?"

Estas preguntas sacan a la luz la información que el teatro de cumplimiento oculta. Un vendor con cumplimiento genuino las responde directamente. Un vendor con teatro de cumplimiento las responde con lenguaje de marketing. Una vez que haya recopilado esta información, la lista de verificación de diligencia debida del vendor muestra cómo integrar los hallazgos de cumplimiento en una evaluación de riesgo completa antes de que se firme cualquier contrato. Y cuando llegue el momento de negociar, las señales de alerta en contratos de SaaS cubre las cláusulas de DPA y responsabilidad que protegen sus derechos sobre los datos tras la firma.

Cómo Rework aborda el cumplimiento en su propia postura y para rastrear la suya

Rework trata el cumplimiento como un artefacto divulgado, no como una afirmación de marketing. Publicamos el alcance de nuestra postura de seguridad en rework.com/pricing y ponemos nuestras atestaciones vigentes, DPA y lista de subprocesadores a disposición de los prospectos bajo NDA antes de la firma del contrato, no después. Los datos del cliente no se usan para entrenar funciones de IA, y ese compromiso está escrito en el DPA en lugar de estar enterrado en una política de privacidad. Para los compradores que procesan datos personales de la UE, firmamos Cláusulas Contractuales Tipo como mecanismo de transferencia y nos comprometemos con el aviso de cambio de subprocesadores.

Por otra parte, Rework Work Ops (desde $6/usuario/mes) es la herramienta que muchos de nuestros clientes de mercado medio usan para rastrear su propio inventario de cumplimiento de vendors, un registro ligero de fechas de informes SOC 2, ventanas de renovación de ISO 27001, versiones de DPA, listas de subprocesadores y próximas auditorías de vigilancia para cada SaaS en su stack. En lugar de gestionar esto en una hoja de cálculo dispersa, los líderes de adquisición e IT usan tableros de Work Ops con fechas de revisión automatizadas para que un informe SOC 2 que está caducando o un cambio de subprocesador aparezca como una tarea, no como una sorpresa descubierta durante la siguiente renovación.

Preguntas frecuentes

Más información