Criterios de Servicio de Confianza de SOC 2: la guía completa

Los Criterios de Servicio de Confianza (TSC, por sus siglas en inglés) son la columna vertebral de todo informe SOC 2. Desarrollados y mantenidos por el AICPA (Instituto Americano de Contadores Públicos Certificados), estos criterios definen los estándares exactos contra los cuales su auditor evalúa sus controles. No son directrices opcionales ni sugerencias de mejores prácticas — son el marco de medición formal que determina si su informe SOC 2 resulta limpio o cargado de excepciones.

Para las empresas SaaS que buscan el cumplimiento de SOC 2, comprender los TSC no es solo un ejercicio académico. Los criterios que seleccione dan forma directamente al alcance de su auditoría, los controles que necesita implementar, las evidencias que debe recopilar y, en última instancia, el costo y el cronograma de todo el compromiso. Elegir muy pocos y su informe puede no satisfacer a los compradores empresariales. Elegir demasiados y estará comprometiéndose con controles que su organización puede no estar preparada para sostener.

Esta guía desglosa los cinco criterios en detalle, explica cuándo se aplica cada uno y proporciona un marco práctico para seleccionar la combinación correcta para su negocio SaaS.

¿Qué son los Criterios de Servicio de Confianza?

El marco TSC — anteriormente conocido como Principios de Servicio de Confianza (TSP) antes de que el AICPA los renombrara en 2017 — consta de cinco categorías que cubren los atributos fundamentales de un sistema de información bien gestionado:

1. Seguridad (Common Criteria)
2. Disponibilidad
3. Integridad del procesamiento
4. Confidencialidad
5. Privacidad

Cada criterio contiene puntos de enfoque específicos que se corresponden con controles individuales dentro de su organización. Su auditor prueba estos controles durante el proceso de auditoría SOC 2 para determinar si están adecuadamente diseñados (Type I) u operando eficazmente a lo largo del tiempo (Type II).

Distinción clave: No tiene que incluir los cinco criterios en su informe SOC 2. Seguridad es obligatorio. Los cuatro restantes se seleccionan según su modelo de negocio, los requisitos de sus clientes y la naturaleza de los datos que maneja.

Seguridad (Common Criteria — CC)

Seguridad es el único criterio obligatorio en todo examen SOC 2. El AICPA lo designa como los “Common Criteria” porque sus controles sustentan todas las demás categorías de servicio de confianza. Incluso si solo busca Seguridad, sigue obteniendo un informe SOC 2 completo.

Qué cubre

El criterio de Seguridad aborda si su sistema está protegido contra el acceso no autorizado — tanto físico como lógico. Abarca nueve categorías de control (CC1 a CC9) que juntas crean un marco de seguridad integral:

• CC1: Entorno de control — Gobernanza, estructura organizativa, responsabilidad y compromiso con la integridad y los valores éticos
• CC2: Comunicación e información — Cómo se comunican las políticas y responsabilidades de seguridad interna y externamente
• CC3: Evaluación de riesgos — Identificación y análisis de riesgos que podrían impedir el logro de los objetivos (consulte nuestra guía de evaluación de riesgos SOC 2)
• CC4: Actividades de monitoreo — Evaluación continua de los controles para asegurar que sigan funcionando según lo diseñado
• CC5: Actividades de control — Las políticas y procedimientos específicos que mitigan los riesgos identificados
• CC6: Controles de acceso lógico y físico — Autenticación, autorización, seguridad de red y protecciones de instalaciones físicas
• CC7: Operaciones del sistema — Monitoreo de anomalías, detección de incidentes y procedimientos de respuesta
• CC8: Gestión de cambios — Cómo se autorizan, prueban y despliegan los cambios en la infraestructura, el software y las configuraciones
• CC9: Mitigación de riesgos — Procesos para gestionar el riesgo de relaciones comerciales y dependencias de proveedores

Para un recorrido detallado de cada categoría de control, consulte nuestro análisis profundo de Common Criteria de SOC 2.

Ejemplos SaaS en la práctica

En la práctica: Una empresa SaaS B2B que implemente controles de Seguridad típicamente demostraría:

• Autenticación multifactor (MFA) aplicada para todos los empleados que acceden a sistemas de producción y datos de clientes
• Cifrado en tránsito (TLS 1.2+) para todos los endpoints API y el tráfico de aplicaciones orientado al cliente
• Segmentación de red que separa los entornos de producción, staging y corporativo
• Gestión de vulnerabilidades con escaneo regular y un SLA definido para parchear vulnerabilidades críticas
• Gestión de cambios que requiere revisiones por pares de pull requests, pruebas automatizadas de CI/CD y ventanas de despliegue aprobadas
• Registro centralizado con alertas para intentos de autenticación sospechosos, escaladas de privilegios y cambios de configuración

Por qué es importante para los equipos SaaS

Todo comprador empresarial espera que se incluya Seguridad. Es la línea base. Si su informe SOC 2 solo cubre Seguridad, eso es aceptable para muchos equipos de adquisición. Pero los controles aquí no son triviales — CC6 (controles de acceso) y CC7 (operaciones del sistema) por sí solos pueden generar docenas de solicitudes de evidencia durante una auditoría Type II.

Disponibilidad

El criterio de Disponibilidad aborda si su sistema opera y es accesible según lo comprometido o acordado. No se trata de lograr un 100% de tiempo de actividad — se trata de tener los controles implementados para cumplir con los niveles de servicio que ha prometido a sus clientes.

Qué cubre

Los controles de Disponibilidad se centran en:

• Monitoreo de rendimiento — Seguimiento de métricas del sistema contra umbrales definidos
• Recuperación ante desastres (DR) — Procedimientos documentados para restaurar el servicio después de un incidente mayor
• Planificación de continuidad del negocio (BCP) — Asegurar que las funciones críticas continúen durante las interrupciones
• Planificación de capacidad — Gestión proactiva de la infraestructura para prevenir el agotamiento de recursos
• Procedimientos de respaldo — Respaldos regulares y probados con objetivos definidos de punto de recuperación (RPO) y tiempo de recuperación (RTO)
• Respuesta a incidentes — Procedimientos para detectar, responder y recuperarse de eventos de disponibilidad (consulte nuestra guía de respuesta a incidentes SOC 2)

Cuándo incluir Disponibilidad

Incluya Disponibilidad si:

• Proporciona SLAs (Acuerdos de Nivel de Servicio) a los clientes, ya sean contractuales o publicados en su página de estado
• Sus clientes dependen de su servicio para sus propias operaciones (ej., procesa sus transacciones, aloja sus datos o impulsa sus flujos de trabajo)
• El tiempo de inactividad de su servicio causa directamente pérdidas financieras o interrupciones operativas a los clientes
• Opera en una industria regulada donde los requisitos de disponibilidad son explícitos

Ejemplo SaaS: Un SaaS de gestión de proyectos con un SLA de tiempo de actividad del 99,9% necesita controles de Disponibilidad para demostrar que tiene los mecanismos de monitoreo, redundancia y recuperación para respaldar esa promesa. Un auditor verificará que los planes de DR se han ejecutado, que los respaldos se están probando y que la capacidad se está monitoreando — no solo que exista un documento de política.

Controles en detalle

• Redundancia y conmutación por error — Despliegues multi-AZ o multi-región, replicación de bases de datos, balanceo de carga con verificaciones de salud
• Monitoreo y alertas — Monitoreo de infraestructura (CPU, memoria, disco, red), verificaciones de salud a nivel de aplicación, procedimientos de escalamiento cuando se superan los umbrales
• Pruebas de DR — Ejercicios de mesa documentados o pruebas de conmutación por error en vivo realizadas al menos anualmente, con resultados registrados y brechas remediadas
• Verificación de respaldos — Pruebas de restauración realizadas en un calendario definido para validar que los datos de respaldo estén completos y sean recuperables

Integridad del procesamiento

La Integridad del procesamiento aborda si el procesamiento del sistema es completo, válido, preciso, oportuno y autorizado. Este criterio se refiere a la corrección de los datos — asegurar que su sistema hace lo que dice hacer con los datos que fluyen a través de él.

Qué cubre

• Completitud — Todas las transacciones que deben procesarse se procesan, sin que falte ni se duplique ninguna
• Validez — Las entradas de datos se ajustan a criterios de aceptación definidos
• Precisión — El procesamiento produce la salida correcta dadas las entradas
• Oportunidad — El procesamiento ocurre dentro de los plazos esperados
• Autorización — Solo se procesan las transacciones aprobadas

Cuándo incluir Integridad del procesamiento

Incluya Integridad del procesamiento si:

• Su producto SaaS maneja transacciones financieras, cálculos de facturación o procesamiento de pagos
• Realiza transformaciones de datos, agregaciones o cálculos en los que los clientes confían para tomar decisiones de negocio
• Opera pipelines de datos donde la precisión es crítica (procesos ETL, analítica, informes)
• Sus clientes sufrirían daños financieros u operativos si su sistema produjera resultados incorrectos

Ejemplo SaaS: Un SaaS de procesamiento de nóminas debe demostrar Integridad del procesamiento porque los errores en los cálculos afectan directamente la compensación de los empleados. Un auditor probará la validación de entradas (¿se verifican los importes de salario?), la precisión del procesamiento (¿el motor de cálculo de impuestos produce resultados correctos para diversos escenarios?) y los controles de conciliación (¿se comparan los totales de salida con los totales de entrada?).

Controles en detalle

• Validación de entradas — Verificaciones automatizadas del formato, rango y completitud de los datos antes de que comience el procesamiento
• Monitoreo de procesamiento — Alertas automatizadas cuando los trabajos de procesamiento fallan, producen salidas inesperadas o exceden los umbrales de tiempo
• Conciliación — Comparación sistemática de datos de entrada y salida para detectar discrepancias
• Manejo de errores — Procedimientos definidos para identificar, registrar y resolver errores de procesamiento, incluyendo la notificación al cliente cuando corresponda
• Registro de transacciones — Pistas de auditoría inmutables que registran qué se procesó, cuándo, por quién y con qué resultado

Confidencialidad

El criterio de Confidencialidad protege la información que se designa como confidencial. Esto es más amplio que solo datos personales — cubre cualquier información que su organización o sus clientes hayan identificado como que requiere acceso restringido.

Qué cubre

• Clasificación de datos — Categorización formal de la información según su sensibilidad
• Restricciones de acceso — Limitar el acceso a información confidencial según el rol y la necesidad de conocer
• Cifrado — Proteger los datos confidenciales en reposo y en tránsito
• Eliminación segura — Asegurar que los datos confidenciales se destruyan cuando ya no se necesiten
• Controles de divulgación — Gestionar cómo y cuándo se comparte la información confidencial externamente

Cuándo incluir Confidencialidad

Incluya Confidencialidad si:

• Maneja secretos comerciales, propiedad intelectual o información comercial propietaria perteneciente a sus clientes
• Los clientes comparten datos financieros, planes estratégicos u otra información comercial sensible a través de su plataforma
• Sus contratos o acuerdos de confidencialidad requieren explícitamente que proteja la confidencialidad de los datos de los clientes
• Almacena datos que, si se divulgaran, causarían daño competitivo a sus clientes

Ejemplo SaaS: Un SaaS de gestión de documentos legales almacena contratos de clientes, documentos de fusiones y adquisiciones y expedientes de litigios. El criterio de Confidencialidad demuestra que estos datos están clasificados, cifrados en reposo (AES-256), accesibles solo para usuarios autorizados y purgados de manera segura cuando el cliente termina su cuenta.

Confidencialidad vs. Privacidad

Los equipos SaaS a menudo confunden estos dos criterios. La distinción es importante:

• Confidencialidad protege la información designada como confidencial por la organización o el cliente — secretos comerciales, proyecciones financieras, planes de negocio, código fuente, etc.
• Privacidad gobierna específicamente la información personal — nombres, direcciones de correo electrónico, números de seguro social, registros médicos, datos de comportamiento, etc.

Una empresa SaaS que almacena tanto documentos comerciales como datos personales podría necesitar ambos. Una empresa SaaS que solo maneja datos comerciales (ej., un repositorio de código) podría necesitar Confidencialidad pero no Privacidad.

Controles en detalle

• Política de clasificación de datos — Marco formal que define los niveles de sensibilidad (ej., Público, Interno, Confidencial, Restringido) y los requisitos de manejo para cada uno
• Cifrado en reposo — AES-256 o equivalente para datos confidenciales almacenados, con procedimientos de gestión de claves
• Controles de acceso — Acceso basado en roles con revisiones de acceso trimestrales para verificar que solo el personal actual y autorizado pueda acceder a datos confidenciales
• Eliminación segura — Borrado criptográfico o destrucción certificada cuando los datos ya no se necesitan, con evidencia documentada de la finalización
• Controles de proveedores — Asegurar que las organizaciones de sub-servicios que manejan sus datos confidenciales mantengan protecciones equivalentes

Privacidad

El criterio de Privacidad gobierna cómo se recopila, usa, retiene, divulga y elimina la información personal. Es el criterio operativamente más complejo y se intersecta significativamente con regulaciones como el RGPD, la CCPA y otras leyes de protección de datos.

Qué cubre

El criterio de Privacidad se organiza en torno a los Principios de Privacidad Generalmente Aceptados (GAPP) del AICPA:

• Aviso — Proporcionar avisos de privacidad claros sobre la recopilación y el uso de datos
• Elección y consentimiento — Dar a las personas opciones sobre cómo se utilizan sus datos
• Recopilación — Limitar la recopilación de datos a lo necesario para los fines declarados
• Uso, retención y eliminación — Usar datos personales solo para fines declarados, retenerlos solo mientras sea necesario y eliminarlos de manera segura
• Acceso — Permitir a las personas acceder y corregir sus datos personales
• Divulgación a terceros — Limitar y controlar la divulgación de datos personales
• Seguridad para la privacidad — Proteger la información personal contra el acceso no autorizado
• Calidad — Mantener información personal precisa, completa y relevante
• Monitoreo y aplicación — Monitorear el cumplimiento de las políticas de privacidad y gestionar las quejas

Cuándo incluir Privacidad

Incluya Privacidad si:

• Su producto SaaS recopila o procesa información personal de usuarios finales (especialmente consumidores)
• Maneja categorías de datos personales sensibles (salud, financieros, datos de menores, biométricos)
• Opera en jurisdicciones con regulaciones de privacidad estrictas (UE/EEE, California, Brasil)
• Sus clientes esperan que demuestre controles de privacidad como parte de su postura de cumplimiento
• Procesa datos personales en nombre de clientes (rol de encargado del tratamiento bajo el RGPD)

Ejemplo SaaS: Una plataforma de interacción con clientes que recopila datos de comportamiento de usuarios, direcciones de correo electrónico e información demográfica de los usuarios finales de sus clientes necesita controles de Privacidad. El auditor verificará que los avisos de privacidad estén publicados y sean precisos, que los mecanismos de consentimiento funcionen correctamente, que las solicitudes de acceso de los interesados puedan cumplirse dentro de los plazos regulatorios y que las políticas de retención de datos se apliquen, no solo se documenten.

Relación con el RGPD y otras regulaciones

El criterio de Privacidad en SOC 2 no sustituye al cumplimiento del RGPD, pero existe una superposición significativa. Las empresas SaaS que implementan controles de Privacidad para SOC 2 se encontrarán bien posicionadas para el cumplimiento del RGPD, y viceversa. Las áreas clave de superposición incluyen la minimización de datos, la gestión del consentimiento, los derechos de los interesados y la notificación de brechas. Consulte nuestra guía completa de cumplimiento del RGPD para más detalles.

Controles en detalle

• Aviso de privacidad — Descripción publicada y precisa de las prácticas de recopilación de datos, accesible antes o en el momento de la recopilación
• Mecanismos de consentimiento — Controles granulares de opt-in/opt-out, con registros de cuándo y cómo se obtuvo el consentimiento
• Minimización de datos — Procesos que aseguran que solo se recopilen los datos personales necesarios, con revisiones regulares para identificar y eliminar la recopilación de datos innecesaria
• Políticas de retención — Períodos de retención definidos por categoría de datos, con aplicación automatizada (eliminación o anonimización) cuando los períodos expiran
• Derechos de los interesados — Procesos operativos para gestionar solicitudes de acceso, corrección, eliminación y portabilidad dentro de los plazos requeridos
• Divulgación a terceros — Contratos y controles técnicos que gobiernan cómo se comparten los datos personales con sub-encargados y socios

Cómo elegir sus criterios: un marco de decisión

Seleccionar la combinación correcta de TSC es una decisión estratégica, no un ejercicio de marcar casillas. A continuación se presenta un marco práctico para empresas SaaS:

Paso 1: Comience con Seguridad (Obligatorio)

Todo informe SOC 2 incluye Seguridad. No se necesita tomar ninguna decisión aquí. Concentre su energía de planificación en los controles de Common Criteria y asegúrese de tener los controles fundamentales implementados.

Paso 2: Evalúe Disponibilidad

Pregúntese: ¿Tenemos SLAs? ¿Dependen los clientes de nuestro tiempo de actividad para sus operaciones diarias? ¿Causaría el tiempo de inactividad daño financiero directo a los clientes?

Si la respuesta es afirmativa a cualquiera de estas preguntas — y esto incluye a casi todos los productos SaaS B2B — añada Disponibilidad. El esfuerzo incremental es moderado porque muchos controles de Disponibilidad se superponen con los controles de Seguridad (monitoreo, respuesta a incidentes, respaldo).

Paso 3: Evalúe Confidencialidad

Pregúntese: ¿Almacenamos información comercial sensible perteneciente a los clientes? ¿Estamos sujetos a acuerdos de confidencialidad que requieren protección de datos demostrable? ¿Causaría la divulgación no autorizada de datos de clientes daño competitivo?

Si su SaaS maneja algo más allá de datos genéricos y no sensibles, Confidencialidad es una adición sólida. Señala a los clientes que usted toma en serio la protección de datos más allá de la línea base.

Paso 4: Evalúe Integridad del procesamiento

Pregúntese: ¿Involucra nuestro producto principal cálculos, procesamiento financiero o transformaciones de datos? ¿Causaría el procesamiento incorrecto daño financiero u operativo a los clientes?

Si su SaaS es principalmente una herramienta de almacenamiento de datos o colaboración, la Integridad del procesamiento puede ser innecesaria. Si realiza cálculos, agregaciones o procesamiento financiero, es esencial.

Paso 5: Evalúe Privacidad

Pregúntese: ¿Recopilamos o procesamos información personal de los usuarios finales de nuestros clientes? ¿Estamos sujetos al RGPD, la CCPA o regulaciones similares? ¿Son los datos personales fundamentales para la funcionalidad de nuestro producto?

Privacidad añade la mayor complejidad operativa. Inclúyalo si el manejo de datos personales es fundamental para su producto. Si maneja principalmente datos comerciales con mínima información personal, puede posponer Privacidad para un ciclo de auditoría futuro.

Combinaciones comunes de TSC por tipo de SaaS

Tipo de SaaS	Criterios recomendados	Justificación
Gestión de proyectos / colaboración B2B	Seguridad + Disponibilidad	Servicio basado en SLA; procesamiento financiero o datos personales mínimos
Analítica / plataforma BI B2B	Seguridad + Disponibilidad + Confidencialidad	Maneja datos comerciales sensibles; los clientes esperan controles de confidencialidad
Procesamiento de pagos / fintech	Seguridad + Disponibilidad + Integridad del procesamiento + Confidencialidad	Los cálculos financieros exigen integridad del procesamiento; maneja datos financieros sensibles
Plataforma de RRHH / reclutamiento	Seguridad + Disponibilidad + Confidencialidad + Privacidad	Procesamiento intensivo de datos personales; sujeto a regulaciones de datos laborales
SaaS orientado al consumidor con capa B2B	Seguridad + Disponibilidad + Privacidad	Los datos personales de los consumidores finales son centrales al producto
SaaS de salud	Los cinco criterios	Los requisitos regulatorios tocan todos los criterios; los datos de pacientes requieren máxima cobertura

Lo que significa: La mayoría de las empresas SaaS B2B se deciden por Seguridad + Disponibilidad + Confidencialidad como su combinación inicial. Esto cubre los controles que los compradores empresariales evalúan más comúnmente y mantiene el alcance de la auditoría manejable para un primer compromiso.

Cómo ayuda GRCTrail

Navegar los Criterios de Servicio de Confianza es significativamente más fácil cuando cuenta con las herramientas adecuadas:

• Motor de mapeo de criterios — GRCTrail mapea sus controles existentes a cada categoría de TSC, mostrándole exactamente dónde tiene cobertura y dónde existen brechas
• Marcos de control pre-construidos — Comience con plantillas de control alineadas con SOC 2 para los cinco criterios, personalizadas para entornos SaaS
• Panel de análisis de brechas — Representación visual de su preparación en cada criterio seleccionado, con recomendaciones de remediación priorizadas
• Automatización de recopilación de evidencias — Recopilación de evidencias continua mapeada a puntos de enfoque específicos de los TSC, para que siempre esté listo para la auditoría
• Portal de colaboración con el auditor — Comparta su documentación de controles, evidencias y descripción del sistema directamente con su auditor a través de una interfaz estructurada
• Mapeo entre marcos — Vea cómo sus controles SOC 2 se corresponden con el RGPD, ISO 27001 y otros marcos que pueda necesitar abordar

Guías relacionadas

• Common Criteria de SOC 2: comprendiendo CC1 a CC9
• SOC 2 Type I vs Type II: diferencias, costos y cuál elegir
• El proceso de auditoría SOC 2: cronograma, pasos y qué esperar
• Recopilación de evidencias SOC 2: lo que los auditores quieren ver

Comience con GRCTrail →