Compartir a través de

Controles del sistema y de la organización (SOC) 1 tipo 2

Introducción a SOC 1 tipo 2

Los controles del sistema y de la organización (SOC) para las organizaciones de servicios son informes de control interno creados por el Instituto Estadounidense de Contadores Públicos Certificados (AICPA). Están diseñados para examinar los servicios proporcionados por una organización de servicios para que los usuarios finales puedan evaluar y abordar el riesgo asociado a un servicio subcontratado.

Se realiza una atestación SOC 1 tipo 2 en:

  • SSAE No. 18, Attestation Standards: Clarification and Recodification, which includes AT-C section 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control over Financial Reporting (AICPA, Professional Standards).
  • SOC 1 Informes sobre un examen de controles en una organización de servicio relevante para el control interno de las entidades de usuario sobre los informes financieros (Guía de AICPA).

Aparte de la Declaración de AICPA sobre estándares para compromisos de atestación 18 (SSAE 18), la auditoría de Microsoft 365 SOC 1 Tipo 2 se lleva a cabo de acuerdo con la Standard Internacional sobre compromisos de garantía nº 3402 (ISAE 3402). La atestación de SOC 1 ha reemplazado a SAS 70 y es adecuada para informar sobre los controles en una organización de servicio pertinentes para los controles internos de las entidades de usuario sobre los informes financieros. Un informe de tipo 2 incluye la opinión del auditor sobre la eficacia del control para lograr los objetivos de control relacionados durante el período de supervisión especificado.

Servicios y plataformas en la nube dentro del ámbito de Microsoft

Las servicios en línea de Microsoft en el ámbito se muestran en el informe de atestación soc 1 tipo 2 de Azure:

A continuación se muestra Microsoft servicios en línea en el ámbito del informe de atestación de Microsoft 365 SOC 1 Tipo 2.

Azure, Dynamics 365 y SOC 1

Para obtener más información acerca del cumplimiento de Azure, Dynamics 365 y otros servicios en línea, consulte la oferta SOC 1 de Azure.

Microsoft 365 y SOC 1

Entornos de Microsoft 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Servicios de aplicabilidad y ámbito de Microsoft 365

Use la tabla siguiente para determinar la aplicabilidad de los servicios y la suscripción de Microsoft 365:

Aplicabilidad Servicios incluidos
Comercial Bing Teams (incluidos ObjectStore, Enterprise News – One Service y Semantic Fabric), la caja de seguridad del cliente, los servicios educativos (incluidos Insights, Microsoft LMS Gateway, OneDrive LTI, Reading Progress/Assignments, School Data Sync, Math Recognizer/Solver y Asistente educativo de búsqueda), Exchange Online, Exchange Online Protection, IDEAs Personalization Runtime Service, Loki, M365 Usage Reports, Microsoft Defender for Cloud Apps (App Governance), Microsoft Defender para Office 365 (incluida la búsqueda avanzada, la simulación y el entrenamiento de ataques y One Cyber Endpoint Protection), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview (incluidos Auditing, Communication Compliance, Compliance Manager, Data Lifecycle Management, Records Manager, Data Loss Prevention, eDiscovery, Information Protection, Unified Feedback Platform, Insider Risk Management, Data Classification Services, Exact Data Match, and ML Inference), Microsoft Sway, Microsoft Teams, Office Collaboration, Office for the Web (anteriormente denominado "Office Online"), OneNote Services, Outlook Web Application, PowerPoint Online Document Service, Service Encryption with Customer Key, Query Annotation Service, Real Time Channel, Ayuda remota, Search Content Service, SharePoint Online (incluido OneDrive, Copia de seguridad Microsoft 365, Project Online, Viva Topics y Viva Connections), Tasks Business Scenario Service, Viva Glint, Viva Goals, Viva Insights (incluidos Información personal, Información del administrador y líder e Información avanzada), Viva Learning, Viva Pulse, Whiteboard y Windows 365
GCC Bing Teams (incluido ObjectStore), Caja de seguridad del cliente, Exchange Online, Exchange Online Protection, IDEAs Personalization Runtime Service, Loki, M365 Usage Reports, Microsoft Defender for Cloud Apps (App Governance), Microsoft Defender para Office 365 (incluida la búsqueda avanzada, simulación y entrenamiento de ataques y one cyber endpoint protection), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview (incluidos Auditing, Communication Compliance, Compliance Manager, Data Lifecycle Management, Records Manager, Data Loss Prevention, eDiscovery, Information Protection, Unified Feedback Platform, Insider Risk Management, Data Classification Services, Exact Data Match e Ml Inference), Microsoft Teams, Office Collaboration, Office for the Web (anteriormente denominado "Office Online"), OneNote Services, Outlook Web Application, PowerPoint Online Document Service, Service Encryption with Customer Key, Query Annotation Service, Real Time Channel, Ayuda remota, Search Content Service, SharePoint Online (incluido OneDrive, Copia de seguridad Microsoft 365, Project Online, Viva Topics y Viva Connections), Tasks Business Scenario Service, Viva Insights (incluido Personal Insights), Whiteboard y Windows 365
GCC High Bing Teams (incluido ObjectStore), Caja de seguridad del cliente, Exchange Online, Exchange Online Protection, Loki, informes de uso de M365, Microsoft Defender for Cloud Apps (gobernanza de aplicaciones), Microsoft Defender para Office 365 (incluida la búsqueda avanzada, simulación y entrenamiento de ataques y one cyber endpoint protection), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview (incluidos Auditing, Communication Compliance, Compliance Manager, Data Lifecycle Management, Records Manager, Data Loss Prevention, eDiscovery, Information Protection, Unified Feedback Platform, Insider Risk Management, Data Classification Services, Exact Data Match e Ml Inference), Microsoft Teams, Office Collaboration, Office for the Web (anteriormente denominado "Office Online"), OneNote Services, Outlook Web Application, PowerPoint Online Document Service, Service Encryption with Customer Key, Query Annotation Service, Real Time Channel, SharePoint Online (incluidos OneDrive, Copia de seguridad Microsoft 365, Project Online, Viva Topics y Viva Connections), Tasks Business Scenario Service, Viva Insights (incluido Personal Insights), Whiteboard y Windows 365
DoD Bing Teams (incluido ObjectStore), Caja de seguridad del cliente, Exchange Online, Exchange Online Protection, Loki, informes de uso de M365, Microsoft Defender for Cloud Apps (gobernanza de aplicaciones), Microsoft Defender para Office 365 (incluida la búsqueda avanzada, simulación y entrenamiento de ataques y one cyber endpoint protection), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview (incluidos Auditing, Communication Compliance, Compliance Manager, Data Lifecycle Management, Records Manager, Data Loss Prevention, eDiscovery, Information Protection, Unified Feedback Platform, Insider Risk Management, Data Classification Services, Exact Data Match e Ml Inference), Microsoft Teams, Office Collaboration, Office for the Web (anteriormente denominado "Office Online"), OneNote Services, Outlook Web Application, PowerPoint Online Document Service, Service Encryption with Customer Key, Query Annotation Service, Real Time Channel, SharePoint Online (incluidos OneDrive, Copia de seguridad Microsoft 365, Project Online, Viva Topics y Viva Connections), Tasks Business Scenario Service, Viva Insights (incluido Personal Insights) y Whiteboard

Informes de auditoría de Microsoft 365

  • Los informes de Microsoft 365 SOC 1 tipo 2 para centrales y microservicios están disponibles para que los clientes puedan descargarlos a través del Portal de confianza de servicios.
  • Las cartas de puente y los informes de auditoría adicionales también están disponibles en el Portal de confianza de servicios.

Debe tener una suscripción existente o una cuenta de evaluación gratuita en Microsoft 365 o Microsoft 365 U.S. Government para descargar los informes de atestación de SOC 1 y SOC 2 y las cartas de puente según sea necesario.

Preguntas frecuentes

¿Con qué frecuencia se emiten los informes soc de Microsoft 365?

Microsoft encarga un examen completo de SOC 1 tipo 2 y SOC 2 tipo 2 de Office 365 anualmente. Los informes del auditor sobre estos exámenes (también conocidos como auditorías) se emiten tan pronto como estén listos después de esa auditoría. El informe SOC 3, que se basa en el examen soc 2, se emite al mismo tiempo.

Dado que Microsoft no controla el ámbito de investigación del examen ni el período de tiempo de finalización del auditor, no hay un plazo establecido cuando se emiten estos informes. Por lo general, los informes se emiten unos meses después del final del período objeto de examen. Microsoft no permite lagunas en los períodos consecutivos de examen de un examen al siguiente.

Microsoft también encarga a mediados de año un examen SOC 1 tipo 1 y SOC 2 tipo 1 de Microsoft 365 para los nuevos servicios de Microsoft que se han emitido desde la última auditoría soc tipo 2. Las auditorías de tipo 1 no miran atrás durante un período de rendimiento.

Debido a la naturaleza sofisticada de Office 365, el ámbito del servicio es grande si se examina como un todo. Esto puede provocar retrasos en la finalización del examen debido a la escala. Microsoft organiza todos los exámenes descritos anteriormente en dos categorías: Core Services y Microservicios. Microsoft emite un informe con ámbito para cada examen.

Las auditorías soc de tipo 2 examinan un período de ejecución gradual de 12 meses (también conocido como período de auditoría o período más formal de rendimiento) con exámenes realizados anualmente para el período del 1 al 30 de octubre al 30 de septiembre del año natural siguiente. El examen se inicia rápidamente una vez completado el período de rendimiento.

Microsoft también emite letras puente (también conocidas como letras de separación). Son autoatestaciones de Microsoft, no informes basados en exámenes del auditor. Las cartas puente se emiten durante el período actual de rendimiento que aún no está completo y listo para el examen de auditoría. Microsoft emite cartas puente al final de cada trimestre para atestiguar nuestro rendimiento durante el período de tres meses anterior. Debido al período de rendimiento de las auditorías soc tipo 2, las cartas puente se emiten normalmente en diciembre, marzo, junio y septiembre del período operativo actual.

¿Cómo pueden los clientes beneficiarse de la atestación de Microsoft 365 SOC 1 tipo 2?

Los clientes pueden usar la atestación de Microsoft 365 SOC 1 Tipo 2 al cumplir sus propios requisitos de cumplimiento específicos del sector financiero, como Sarbanes-Oxley (SOX), El Consejo Federal de Examen de Instituciones Financieras (FFIEC), gramm-leach-Bliley Act (GLBA) y otros.

¿Dónde puedo obtener la documentación de auditoría de SOC de Microsoft 365, incluidas las cartas puente de Microsoft?

Para obtener vínculos a la documentación de auditoría, consulte la sección informe de auditoría del Portal de confianza de servicios. Debe tener una suscripción existente o una cuenta de evaluación gratuita en Microsoft 365 o Microsoft 365 U.S. Government para iniciar sesión. A continuación, puede descargar certificados de auditoría, informes de evaluación y otros documentos aplicables para ayudarle con sus propios requisitos normativos.

¿Dónde puedo ver las respuestas de administración a las excepciones anotadas?

La mayoría de los exámenes tienen algunas observaciones sobre uno o varios de los controles específicos examinados. Es de esperar cierta cantidad de observaciones. Las respuestas de administración a las excepciones se encuentran al final del informe de atestación de SOC. Busque "Respuesta de administración" en el documento.

¿Dónde puedo ver las responsabilidades de las entidades de usuario?

Las responsabilidades de las entidades de usuario son sus responsabilidades de control necesarias si el sistema en su conjunto debe cumplir los estándares de control de SOC 2. Se encuentran al final del informe de atestación de SOC. Busque "Responsabilidades de entidad de usuario" en el documento.

Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo

El Administrador de cumplimiento de Microsoft Purview es una característica del portal de Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos