Auditoría SOC2 Tipo II: Todo lo que necesitás saber
SOC2 Type II es una certificación de seguridad y conformidad que verifica que los controles de tu empresa funcionan de manera consistente durante un período de 6 a 12 meses. A diferencia de Type I, que es una foto del momento, Type II es un video completo de cómo operás. Hoy cualquier cliente B2B serio te pide SOC2 antes de firmar un contrato.
En 30 segundos
- SOC2 Type II mide controles de seguridad, disponibilidad, integridad, confidencialidad y privacidad durante 6-12 meses
- Logging detallado es obligatorio: cada login exitoso/fallido, cambios de permisos, acceso a datos sensibles deben quedar registrados
- Los 5 Criterios de Confianza (TSC) son el marco. La mayoría de SaaS apunta a Security + Availability como mínimo
- El proceso toma 6-9 meses en total y cuesta USD 15,000-50,000 según tamaño. Auditor externo certificado AICPA es requisito
- Los errores más comunes: documentación incompleta, logging sin monitoreo activo, y no involucrar a todos los departamentos en el proceso
SOC2 Type II es un estándar de certificación desarrollado por el AICPA (American Institute of Certified Public Accountants) que evalúa si los controles de seguridad y operativos de una empresa funcionan de forma efectiva durante un período extendido. A diferencia de Type I, que examina un momento específico en el tiempo, Type II requiere que demuestres que tus procesos funcionan consistentemente durante 6 a 12 meses.
¿Qué es SOC2 Type II? Diferencia con Type I
Type I y Type II suenan parecido pero son animales completamente distintos. Type I es una evaluación puntual: un auditor entra, revisa tu sistema el día de hoy, y firma un reporte que dice “miramos acá el 15 de abril y esto funcionaba”. Fin de la historia.
Type II es otra cosa. El auditor te acompaña durante seis, nueve, a veces doce meses, monitoreando que los controles funcionen consistentemente, que la documentación esté actualizada, que cuando algo se rompe lo registres y lo arregles.
Para clientes grandes — especialmente en Finance, Healthcare o SaaS — Type II es el que importa. Cuando un cliente te dice “necesitamos SOC2”, noventa y nueve de cien veces habla de Type II. Type I es más un escalón previo, una prueba de concepto para demostrar que al menos intentás hacer las cosas bien.
Los 5 Criterios de Servicio de Confianza (TSC)
El marco AICPA define cinco ejes que SOC2 evalúa. No necesitás certificarte en todos; depende de tu modelo de negocio. Pero conocerlos es fundamental. Esto se conecta con lo que analizamos en comparativa de seguridad en plataformas.
- Security (Seguridad): protección contra acceso no autorizado. Es obligatorio si o sí. Incluye cifrado, autenticación, control de accesos, logging.
- Availability (Disponibilidad): que tu servicio esté operativo cuando se supone que debe estarlo. SaaS típicamente apunta a Security + Availability.
- Processing Integrity (Integridad del Procesamiento): que tus datos se procesen de manera completa, oportuna y autorizada. Menos común en SaaS, más en data processors.
- Confidentiality (Confidencialidad): datos clasificados como confidenciales se mantienen así. Importa si procesás datos sensibles de clientes.
- Privacy (Privacidad): cumplimiento con regulaciones de privacidad (GDPR, CCPA, etc.). Obligatorio si tenés usuarios en esas jurisdicciones.
La mayoría de equipos de SaaS de mediano tamaño arman la auditoría con Security y Availability. Es el sweet spot: cubre lo que importa (que no hackeen tu sistema y que funcione) sin meter complejidad innecesaria.
Requisitos de Logging y Monitoreo
Los auditores pasan más tiempo en logging que en cualquier otra cosa. Y por una razón: si no tenés registros, no podés probar que nada pasó.
Cada evento crítico debe logearse con timestamp, usuario, dirección IP y contexto. Esto incluye: intentos de login exitosos (quién, desde dónde, cuándo, con qué navegador), intentos de login fallidos (lo mismo), cambios de permisos (quién cambió qué y para quién), acceso a datos sensibles, cambios en configuración de sistema.
Acá viene lo tricky: logging sin monitoreo activo no cuenta. Podés tener logs perfectos guardados en una carpeta que nadie ve y igual reprobás. Necesitás alertas automáticas (si hubo 5 intentos fallidos consecutivos, el sistema avisa), necesitás revisar logs periódicamente, necesitás documentar quién revisó qué y cuándo.
El consejo concreto: usá una herramienta de SIEM (Security Information and Event Management) o algo más liviano como Datadog, New Relic o hasta logs centralizados en una base de datos que consultes regularmente. No tiene que ser caro, pero tiene que existir.
Controles Técnicos Clave para SOC2
Autenticación multifactor (MFA) es el gran one. El AICPA lo menciona explícitamente en CC6.3: si alguien accede al sistema desde afuera (admin, soporte técnico), MFA es no-negociable. TOTP (Time-based One-Time Password, tipo Google Authenticator), hardware tokens, o push notifications al teléfono — cualquiera de esas opciones funciona. Ya lo cubrimos antes en herramientas modernas para equipos SaaS.
Cifrado de datos en reposo y en tránsito. Los datos de cliente deben estar cifrados en tu base de datos (AES-256 es el estándar). La comunicación entre cliente y servidor: HTTPS, obligatorio. Puntos finales: cifra también.
Segmentación de acceso por rol. No todos los empleados necesitan acceso a todo. El principio del menor privilegio (least privilege) es un check que hacen todos los auditores: probamos que el ingeniero junior no puede borrar bases de datos, que el soporte no puede ver passwords, que los contractors tienen acceso limitado a lo que necesitan.
Patch management. Documentá qué versiones corren en producción, cómo testeás updates, cuánto tiempo tardás entre que se anuncia un CVE y lo parcheás. Necesitás un proceso, no solo “lo hacemos cuando se acuerdan”.
Proceso de Auditoría y Duración
El viaje típico es así: evaluación inicial (2-4 semanas, un auditor revisa tu setup actual), implementación de controles (4-8 semanas, vos arreglás lo que falta), documentación detallada (4-6 semanas, escribís procesos, políticas, logs), período de monitoreo (6-12 meses, el auditor observa que funciona), auditoría externa (4-8 semanas, alguien certificado por AICPA revisa todo). En total, 6 a 9 meses es el rango realista.
El auditor certificado por AICPA es obligatorio. No podés hacer la auditoría vos mismo ni con alguien sin acreditación. El costo varía brutal según tamaño: una startup de 10 personas típicamente paga USD 15,000-25,000. Un equipo de 50 personas, USD 30,000-50,000. SaaS más grandes, USD 50,000 en adelante.
Comparación: SOC2 Type I vs Type II
| Aspecto | Type I | Type II |
|---|---|---|
| Período evaluado | Snapshot de un día | 6-12 meses |
| Efectividad de controles | No evalúa | Verifica funcionamiento consistente |
| Documentación requerida | Básica | Exhaustiva (políticas, logs, evidencia) |
| Monitoreo del auditor | No | Sí, periódico durante el período |
| Duración | 4-8 semanas | 6-12 meses |
| Costo | USD 5,000-10,000 | USD 15,000-50,000 |
| Lo que piden clientes grandes | Rara vez | Casi siempre |
| Reconocimiento comercial | Limitado | Alto |
Errores Comunes en Auditorías SOC2
Documentación incompleta. El error más frecuente. Tenés los controles, funcionan, pero no está todo escrito. El proceso de offboarding existe pero nadie lo documentó. El policy de cambios está en la cabeza de alguien. Resultado: auditor dice “no veo evidencia de control”. Corregir: dedica tiempo a documentar procesos antes de la auditoría. Planilla de Excel, wiki interno, lo que sea — pero que esté escrito y versionado. Más contexto en plataformas confiables para desarrollo.
Logging sin monitoreo activo. Guardás todo en los logs, pero nadie los revisa. Pasan tres meses sin que alguien mire. Auditor te pregunta: “¿Viste logs anómalo en estos meses?” y respondés “no sé, no los abrí”. Falla. Solución: cron job que alerte si algo fuera de lo normal pasa, revisión mensual documentada, alertas automáticas en Slack. Lo que importa es que haya evidencia de que ALGUIEN monitoreó.
No involucrar a todos los departamentos. El tech lead implementa la auditoría con el equipo de ingeniería. Pero RRHH nunca documentó el proceso de offboarding, operaciones no tiene registro de cambios en infra, finanzas no audita accesos a datos sensibles. Auditor les pregunta y dicen “uh, no sé, no sabía que esto importaba”. Falla total. Tip: SOC2 es empresa-wide. Necesitás documentación de HR (background checks, NDAs), IT (password policy, device management), legal (DPAs con clientes), finance (acceso a datos de cuenta).
Deficiencias en procesos de offboarding. Alguien se va. En teoría, se revoca acceso. En práctica, se olvidan de revocar el acceso a GitHub, se les quedó el VPN funcionando, alguien tiene su contraseña anotada en un Post-it. Auditor comprueba accesos de gente que no labura ahí hace tres meses. Automático: falla. Documentá el checklist de offboarding, hacé que alguien firme que revisó cada item, automatiza lo que puedas (script que revoca acceso al terminar el contrato).
Falta de claridad en propietarios de control. Auditor pregunta: “¿Quién es responsable de que MFA funcione?” Todos se miran. “No sé, supongo que alguien de infra.” Eso no pasa una auditoría. Necesitás un RACI claro (Responsible, Accountable, Consulted, Informed) para cada control. Quién lo implementa, quién lo monitorea, quién lo audita internamente. Escríbelo.
Costos y Expectativas de ROI
SOC2 Type II cuesta plata. La pregunta obvia es: ¿Vale la pena?
Para una startup chica (15-25 personas), presupuestá USD 20,000-30,000 todo incluido (auditor + herramientas). Para un equipo mediano (50-100 personas), USD 35,000-60,000.
El ROI no es inmediato. Pero mira esto: un cliente Fortune 500 no firma contrato sin SOC2. Una ronda de inversión institucional lo pregunta. Una integración con API gateway empresariales lo requiere. Si tu TAM es SaaS B2B, SOC2 desbloquea deals que de otra forma no cerrarías. Cubrimos ese tema en detalle en arquitectura profesional de aplicaciones.
Estimación conservadora: si sabés que tenés un pipeline de clientes que esperan SOC2 (y la mayoría de SaaS los tiene), cada deal que cierrás vale en promedio USD 50,000-200,000+. Una certificación que te permite cerrar 2-3 deals más por año — eso paga la inversión en el primer trimestre.
Preguntas Frecuentes
¿Qué es SOC2 Type II exactamente?
Es una certificación que demuestra que tu empresa tiene controles de seguridad, disponibilidad y privacidad en funcionamiento y que esos controles operan de forma efectiva durante un período de 6 a 12 meses. Lo da un auditor externo certificado por el AICPA. Clients grandes la piden antes de dar acceso a datos sensibles.
¿Cuáles son los requisitos de logging más importantes para SOC2?
Cada login exitoso (usuario, IP, timestamp, user-agent), cada login fallido, cambios de privilegios, acceso a datos sensibles, cambios de configuración en producción. Los logs tienen que guardarse, pero además necesitás alertas automáticas y revisión periódica documentada. Logging sin monitoreo activo no vale.
¿Cuánto tiempo tarda obtener certificación SOC2 Type II?
Entre 6 y 9 meses típicamente. Dos meses de setup y documentación, seis a doce meses de período de auditoría, dos meses finales de validación y emisión del reporte. Si apurás mucho, puede ser más rápido, pero lo sufres.
¿Cuáles son los 5 criterios de confianza de SOC2?
Security (obligatorio), Availability (común en SaaS), Processing Integrity (menos común), Confidentiality (si procesás datos sensibles) y Privacy (si tenés usuarios en GDPR/CCPA). La mayoría de startups apunta a Security + Availability como mínimo.
¿Cuáles son los errores más comunes en SOC2?
Documentación incompleta (procesos que no están escritos), logging sin monitoreo real, no involucrar a otros departamentos, offboarding deficiente (gente con acceso meses después de irse) y no tener claro quién es responsable de cada control. La mayoría son evitables con un poco de diligencia.
Conclusión
SOC2 Type II cambió de ser un requerimiento de “grandes empresas” a ser una barrera mínima de entrada para cualquier SaaS que apunte a clientes B2B serios. Si tus clientes incluyen empresas medianas o grandes, si planeas capturar contratos enterprise, SOC2 es ahora casi obligatorio.
La inversión es significativa — tiempo, plata, cambios operativos. Pero el ROI es claro: desbloquea deals que de otra forma no cierras, da credibilidad, reduce fricción en vendidos. La clave es no esperanza hasta el último minuto. Arrancá con documentación, implementá logging y monitoreo, capacitá al equipo, y luego traé el auditor. Hacerlo “rápido pero sin plan” es como ir al médico la víspera de un viaje — termina siendo más caro y más lento.
