SOC 2

SOC 2 (System and Organization Controls 2) es un procedimiento de auditoria estadounidense del AICPA que examina los controles de un proveedor segun cinco criterios: seguridad, disponibilidad, confidencialidad, privacidad e integridad del tratamiento.

Qué es SOC 2?

Los informes SOC 2 son de dos tipos: el tipo I evalua el diseno de los controles a una fecha determinada y el tipo II evalua su eficacia durante un periodo, normalmente de 6 a 12 meses. Los auditores son firmas CPA estadounidenses. A diferencia de ISO 27001, SOC 2 no es una norma internacional sino un procedimiento CPA estadounidense, aunque en la practica es un cuasi estandar para los proveedores SaaS de EEUU.

Cómo se aplica SOC 2 en la IA empresarial?

Para los proveedores de IA, SOC 2 se exige en la mayoria de los procesos de compra estadounidenses. Las empresas europeas que venden en EEUU o trabajan con proveedores estadounidenses tratan SOC 2 como billete de entrada. Solemos combinar SOC 2 con ISO 27001 (internacional) y mapeamos los controles sobre las obligaciones de los articulos 9 a 15 de la Ley de IA de la UE.