Controles del sistema y de la organización (SOC) 2 tipo 2

Información general del SOC 2 tipo 2

Los controles de sistemas y organizaciones (SOC) para organizaciones de servicios son informes de control interno creados por el American Institute of Certified Public Accountants (AICPA). Están diseñados para examinar los servicios proporcionados por una organización de servicios para que los usuarios finales puedan evaluar y abordar el riesgo asociado a un servicio subcontratado.

Una atestación SOC 2 tipo 2 se lleva a cabo en:

• SSAE No. 18, Attestation Standards: Clarification and Recodification, which includes AT-C section 105, Concepts Common to All Attestation Engagements, and AT-C section 205, Examination Engagements (AICPA, Professional Standards).
• SOC 2, Informes sobre un Examen de controles en una Organización de servicios relevante para la seguridad, disponibilidad, integridad de procesamiento, confidencialidad o privacidad (Guía de AICPA).
• TSP, sección 100, de 2017, Criterios de servicios de confianza para la seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad (Criterios de servicios de confianza de AICPA, 2017).

Además, el informe de atestación SOC 2 tipo 2 de Office 365 aborda los requisitos establecidos en Cloud Security Alliance (CSA), Cloud Controls Matrix (CCM) y el catálogo de criterios de cumplimiento de informática en la nube (C5:2020) creado por la Oficina Federal alemana para la Seguridad de la Información (BSI).

Office 365 atestaciones de SOC 2 se basan en rigurosos exámenes completos de terceros (también conocidos como auditorías) realizados por una firma de CPA acreditada por AICPA independiente. Al concluir una auditoría de SOC 2, el auditor de servicio emitirá un dictamen en un informe SOC 2 Tipo 2, que describe el sistema del proveedor de servicios en la nube (CSP) y evalúa la veracidad de la descripción que el CSP hace de sus controles. También evalúa si los controles del CSP se diseñaron correctamente, estaban operativos en una fecha específica y funcionaban de forma eficaz a lo largo de un período de tiempo especificado. Los informes de Office 365 SOC 2 tipo 2 son relevantes para la seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad del sistema.

Servicios y plataformas en la nube dentro del ámbito de Microsoft

Las servicios en línea de Microsoft en el ámbito se muestran en el informe de atestación SOC 2 tipo 2 de Azure:

• Azure (para obtener información detallada, consulte Ofertas de cumplimiento de Microsoft Azure).
• Azure DevOps (vea Azure DevOps informe de atestación soc 2 de tipo 2 independiente)
• Dynamics 365 (para obtener información detallada, consulte el informe de atestación SOC 2 tipo 2 de Azure)
• Microsoft Defender XDR
• Microsoft Defender for Cloud Apps
• Microsoft Defender para punto de conexión
• Microsoft Defender for Identity
• Microsoft Forms Pro
• Microsoft Intune
• Escritorio administrado de Microsoft
• Microsoft Stream
• Expertos en amenazas de Microsoft
• Temas
• Portal de nominación
• Office 365, Office 365 Administración Pública para Estados Unidos, Office 365 Administración Pública para Estados Unidos - Alto, Office 365 Administración Pública para Estados Unidos Departamento de Defensa
• Power Apps
• Power Automate
• Power BI
• Power Virtual Agents
• Update Compliance

Azure, Dynamics 365 y SOC 2

Para obtener más información acerca del cumplimiento de Azure, Dynamics 365 y otros servicios en línea, consulte la oferta SOC 2 de Azure.

Office 365 y SOC 2

entornos de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos de Office 365:

• Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
• Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
• Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
• Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
• Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad	Servicios incluidos
Comercial	Administrador de cumplimiento, Caja de seguridad del cliente, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Caja de seguridad (Torus), Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 Portal de clientes, Office 365 microservicios (incluidos, entre otros, Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office Online, Office Services Infrastructure, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, Project Online, Service Encryption con clave de cliente de Microsoft Purview, SharePoint Online, Skype Empresarial
GCC	Microsoft Entra ID, Administrador de cumplimiento, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Cumplimiento avanzado de Office 365 complemento, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, Stream
GCC High	Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Cumplimiento avanzado de Office 365 complemento, Office 365 Centro de cumplimiento de seguridad &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial
DoD	Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Cumplimiento avanzado de Office 365 complemento, Office 365 Centro de cumplimiento de seguridad &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, Power BI, SharePoint Online, Skype Empresarial

Obtener informe de activaciones de Office 365

• Informe SOC 2 SSAE 18 de Office 365 Core
• Office 365 Microservices T1: tipo SOC2 SSAE 18 I Informe
• Ver cartas puente (cartas de confianza entre periodos no cubiertos por el SOC y el fin del año fiscal) y otros informes de auditoría

De acuerdo con los requisitos de AICPA, debe tener una suscripción existente o una cuenta de evaluación gratuita en Office 365 o Office 365 gobierno de EE. UU. para descargar los informes de atestación soc 1 y SOC 2 y las cartas de puente según sea necesario.

Preguntas más frecuentes

¿Con qué frecuencia se emiten los informes SOC de Office 365?

Microsoft encarga un examen completo de SOC 1 tipo 2 y SOC 2 tipo 2 de Office 365 anualmente. Los informes del auditor sobre estos exámenes (también conocidos como auditorías) se emiten tan pronto como estén listos después de esa auditoría. El informe SOC 3, que se basa en el examen soc 2, se emite al mismo tiempo.

Dado que Microsoft no controla el ámbito de investigación del examen ni el período de tiempo de finalización del auditor, no hay un plazo establecido cuando se emiten estos informes. Por lo general, los informes se emiten unos meses después del final del período objeto de examen. Microsoft no permite lagunas en los períodos consecutivos de examen de un examen al siguiente.

Microsoft también encarga a mediados de año un examen soc 1 tipo 1 y SOC 2 tipo 1 de Office 365 para los nuevos servicios de Microsoft que se han emitido desde la última auditoría soc tipo 2. Las auditorías de tipo 1 no miran atrás durante un período de rendimiento.

Debido a la naturaleza sofisticada de Office 365, el ámbito del servicio es grande si se examina como un todo. Esto puede provocar retrasos en la finalización del examen simplemente debido a la escala. Microsoft organiza todos los exámenes descritos anteriormente en dos categorías: Core Services y Microservicios. Microsoft emite un informe con ámbito para cada examen.

Las auditorías soc tipo 2 examinan un período de ejecución gradual de 12 meses (también conocido como período de auditoría o período más formal de rendimiento) con exámenes realizados anualmente para el período del 1 al 30 de octubre al 30 de septiembre del año natural siguiente. El examen se inicia rápidamente una vez completado el período de rendimiento.

Microsoft también emite letras puente (también conocidas como letras de separación). Son autoatestaciones de Microsoft, no informes basados en exámenes del auditor. Las cartas puente se emiten durante el período actual de rendimiento que aún no está completo y listo para el examen de auditoría. Microsoft emite cartas puente al final de cada trimestre para atestiguar nuestro rendimiento durante el período de tres meses anterior. Debido al período de rendimiento de las auditorías soc tipo 2, las cartas puente se emiten normalmente en diciembre, marzo, junio y septiembre del período operativo actual.

¿Dónde puedo obtener la documentación de auditoría de SOC de Office 365, incluidas las cartas puente?

Para obtener vínculos a la documentación de auditoría, consulte la sección informe de auditoría del Portal de confianza de servicios. Debe tener una suscripción existente o una cuenta de evaluación gratuita en Office 365 o Office 365 gobierno de EE. UU. para iniciar sesión. A continuación, puede descargar certificados de auditoría, informes de evaluación y otros documentos aplicables para ayudarle con sus propios requisitos normativos.

¿Dónde puedo encontrar una evaluación de la implementación de controles de Cloud Security Alliance CCM?

Microsoft encarga un examen de Office 365 para basarse en los principios y criterios de los servicios de confianza del Instituto Americano de Contadores Públicos Certificados (AICPA), incluidos la seguridad, la disponibilidad, la confidencialidad y la integridad del procesamiento, y los criterios de la Matriz de controles en la nube (CCM) de Cloud Security Alliance (CSA).

El objetivo es evaluar los criterios y requisitos de AICPA establecidos en el MCP en una inspección eficiente. La auditoría Office 365 SOC 2 de tipo 2 incorpora la evaluación de controles ccm según lo requiera la atestación de CSA STAR. Para obtener más información, vea el informe de atestación SOC 2 tipo 2 de Office 365.

¿Dónde puedo ver las respuestas de administración a las excepciones indicadas?

La mayoría de los exámenes tienen algunas observaciones sobre uno o varios de los controles específicos examinados. Esto es lo que se espera. Las respuestas de administración a las excepciones se encuentran al final del informe de atestación de SOC. Busque "Respuesta de administración" en el documento.

¿Dónde puedo ver las responsabilidades de las entidades de usuario?

Las responsabilidades de las entidades de usuario son sus responsabilidades de control necesarias si el sistema en su conjunto debe cumplir los estándares de control de SOC 2. Se encuentran al final del informe de atestación de SOC. Busque "Responsabilidades de entidad de usuario" en el documento.

Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo

El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos

• Informes de auditoría del Portal de confianza de servicios
• SOC de AICPA para organizaciones del servicio
• SSAE N.º 18, Estándares de atestación: Aclaración y recodificación (Estándares profesionales de AICPA)
• Creación de informes SOC 2 en un examen de controles de una organización de servicio relevante para la seguridad, la disponibilidad, la integridad de procesamiento, la confidencialidad o la privacidad (Guía de AICPA) (disponible para su compra)