Seguridad en la nube 101: lo básico que hay que saber

Es fácil sentirse intimidado por la enorme cantidad de acrónimos que existen en el ámbito de la seguridad y el cumplimiento normativo. Estas siglas hacen que sea difícil saber qué buscar a la hora de elegir un proveedor de software como servicio (SaaS) en la nube. Al fin y al cabo, lo que usted quiere es tener la tranquilidad de que sus datos están seguros y protegidos. Por eso nos gustaría desmitificar el proceso de evaluación y explicarle en qué debe fijarse a la hora de comparar y evaluar proveedores de SaaS Cloud. En este blog, describiremos las normas de cumplimiento y cómo afectan a la seguridad de la nube.

¿Qué son las normas de cumplimiento?

Algunos de los acrónimos más comunes que puede encontrar son Centro de Operaciones de Seguridad (SOC) y Principios de Servicio de Confianza (TSP). La responsabilidad de un Centro de Operaciones de Seguridad (SOC) es supervisar y analizar la postura de seguridad de una organización de forma continua. Los informes SOC ofrecen garantías sobre los entornos de control relacionados con la recuperación, el almacenamiento, el procesamiento y la transferencia de datos. Hay varios informes que demuestran que una organización está en buena situación. A saber, los cumplimientos SOC 1 y SOC 2 - es importante que tanto los informes de Tipo 1 como los de Tipo 2 estén completos para estos SOC.

• Informe de tipo 1: demuestra que los controles internos de una empresa están diseñados adecuadamente para cumplir los principios de confianza pertinentes. Este informe no confirma la eficacia de los controles a lo largo de un periodo.
• Informe de tipo 2 - Demuestra además que los controles funcionan eficazmente a lo largo de un periodo.

¿Lo sabía? Para reclamar el cumplimiento del SOC, los proveedores sólo necesitan haber completado un informe SOC 1 de Tipo 1, no el cumplimiento completo del SOC que incluye un informe de Tipo 2. Es importante preguntar a un proveedor si su conformidad con el SOC incluye un informe de Tipo 2. Sólo así tendrá la seguridad de que los controles se han realizado correctamente. Sólo así tendrá la seguridad de que los controles se han probado durante un periodo de tiempo.

Diferencias entre la conformidad SOC 1 y SOC 2

Así que, ahora que hemos esbozado cuáles son las normas de cumplimiento más comunes (SOC), veamos las diferencias entre SOC 1 y SOC 2. SOC1: un informe SOC 1 garantiza que la información financiera se gestiona de forma segura. La versión internacional del informe SOC 1 suele denominarse ISAE 3402. Normalmente, cuando un proveedor dice que es conforme con SOC 1, implica que ha realizado informes de Tipo 1 y Tipo 2. SOC 2: este informe ofrece garantías sobre los entornos de control relacionados con la recuperación, el almacenamiento, el procesamiento y la transferencia de datos. Aquí es donde entran en juego los Principios de Servicio de Confianza (TSP). Los informesSOC 2 evalúan el cumplimiento por parte de una organización de cinco criterios, que suelen denominarse Principios de Servicio de Confianza (TSP). Los cinco Principios de Servicio de Confianza son:

1. Seguridad - La información y los sistemas están protegidos contra el acceso no autorizado, la divulgación no autorizada de información y los daños a los sistemas.
2. Disponibilidad - La información y los sistemas están disponibles para su funcionamiento y uso.
3. Integridad del procesamiento - El procesamiento del sistema es completo, válido, preciso, oportuno y autorizado.
4. Confidencialidad - La información designada como confidencial está protegida.
5. Privacidad- La información personal se recopila, utiliza, conserva, divulga y elimina.

¿Sabía que? Para declarar el cumplimiento del informe SOC 2 Tipo 2, los proveedores sólo tienen que cumplir al menos uno de los cinco TSP. Es importante preguntar a un proveedor qué principios de servicios de confianza cumple para obtener un informe SOC 2 de tipo 2. Asegúrese de preguntar a los proveedores si cumplen los cinco TSP como parte de su conformidad con SOC 2.

Seguridad y conformidad de la nube de Prophix

Comprender las diferencias entre los informes SOC 1, SOC 2 y Tipo 1 y 2 le ayudará a tomar una decisión informada a la hora de elegir un proveedor de SaaS en la nube. Sin embargo, hay otros aspectos de la seguridad y el cumplimiento que debe tener en cuenta, como la frecuencia de las auditorías, los marcos en los que está certificado el proveedor, quién proporciona la tecnología de nube subyacente y el grado de simplificación de la autenticación del usuario final. Para obtener más información sobre cómo orientarse entre los proveedores de servicios en la nube del mercado actual, lea nuestro informe sobre seguridad y cumplimiento. Prophix está certificada tanto en SOC 1 Tipo 1 y 2 como en SOC 2 Tipo 1 y 2, lo que significa que cumplimos los cinco Principios de Confianza. Para obtener más información sobre Prophix Cloud, visite https://trust.prophix.com/.