Controles del sistema y de la organización (SOC) 3
Introducción a SOC 3
Los controles del sistema y de la organización (SOC) para las organizaciones de servicios son informes de control interno creados por el Instituto Estadounidense de Contadores Públicos Certificados (AICPA). Están diseñados para examinar los servicios proporcionados por una organización de servicios para que los usuarios finales puedan evaluar y abordar el riesgo asociado a un servicio subcontratado.
SOC 3 for Service Organizations: Trust Services Criteria for General Use Report es un resumen breve y accesible públicamente del informe de atestación soc 2 de tipo 2 para los usuarios que necesitan garantías sobre los controles de la organización del servicio, pero no necesitan un informe completo de SOC 2 o no son aptos en SOC 2 para recibir uno. Dado que los informes de SOC 3 son informes de uso general, se pueden distribuir libremente.
Un informe SOC 3 contiene una aserción escrita por parte de la administración de la organización de servicios con respecto a la eficacia del control para lograr compromisos basados en los criterios de servicios de confianza aplicables, y la opinión del auditor de servicios sobre si la aserción de la administración se declara justamente.
Servicios y plataformas en la nube dentro del ámbito de Microsoft
Las servicios de Microsoft en el ámbito se muestran en el informe de atestación SOC 2 tipo 2 de Azure.
- Azure (para obtener información detallada, consulte las Ofertas de cumplimiento de Microsoft Azure o el informe de certificación de tipo 2 de Azure SOC 2)
- Dynamics 365 (para obtener información detallada, consulte el informe de atestación SOC 2 tipo 2 de Azure)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender para punto de conexión
- Microsoft Defender for Identity
- Microsoft Forms Pro
- Microsoft Intune
- Escritorio administrado de Microsoft
- Microsoft Stream
- Expertos en amenazas de Microsoft
- Portal de nominación
- Office 365, Office 365 Administración Pública para Estados Unidos, Office 365 Administración Pública para Estados Unidos - Alto, Office 365 Administración Pública para Estados Unidos Departamento de Defensa
- Power Apps
- Power Automate
- Power BI
- Power Virtual Agents
- Update Compliance
Azure, Dynamics 365 y SOC 3
Para obtener más información sobre Azure, Dynamics 365 y el cumplimiento de otros servicios en línea, consulte la oferta SOC 3 de Azure.
Office 365 y SOC 3
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
| Aplicabilidad | Servicios incluidos |
|---|---|
| Comercial | Administrador de cumplimiento, Caja de seguridad del cliente, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Caja de seguridad (Torus), Microsoft Teams, MyAnalytics, Office 365 Customer Portal, Office 365 Microservicios (incluidos, entre otros, Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office Online, Office Services Infrastructure, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, Project Online, Cifrado de servicio con clave de cliente de Microsoft Purview, SharePoint Online, Skype Empresarial |
| GCC | Microsoft Entra ID, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Cumplimiento avanzado de Office 365 add-on, Office 365 Centro de cumplimiento de seguridad &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, Stream |
| GCC High | Microsoft Entra id., Exchange Online, Flow, Microsoft Defender para Office 365, Microsoft Teams, complemento Cumplimiento avanzado de Office 365, Office 365 Centro de cumplimiento de seguridad &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial |
| DoD | Microsoft Entra id., Exchange Online, Microsoft Defender para Office 365, Microsoft Teams, complemento Cumplimiento avanzado de Office 365, Office 365 Centro de cumplimiento de seguridad &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, Power Automate, Power BI, SharePoint Online, Skype Empresarial |
Informes de auditoría de Office 365
Debe tener una suscripción existente o una cuenta de evaluación gratuita en Office 365 u Office 365 Administración Pública para descargar los informes de atestación de SOC 1 y SOC 2 y las cartas puente según sea necesario.
Preguntas más frecuentes
¿Con qué frecuencia se emiten los informes SOC de Office 365?
Microsoft encarga un examen completo de SOC 1 tipo 2 y SOC 2 tipo 2 de Office 365 anualmente. Los informes del auditor sobre estos exámenes (también conocidos como auditorías) se emiten tan pronto como estén listos después de esa auditoría. El informe SOC 3, que se basa en el examen soc 2, se emite al mismo tiempo.
Dado que Microsoft no controla el ámbito de investigación del examen ni el período de tiempo de finalización del auditor, no hay un plazo establecido cuando se emiten estos informes. Por lo general, los informes se emiten unos meses después del final del período objeto de examen. Microsoft no permite lagunas en los períodos consecutivos de examen de un examen al siguiente.
Microsoft también encarga a mediados de año un examen soc 1 tipo 1 y SOC 2 tipo 1 de Office 365 para los nuevos servicios de Microsoft que se han emitido desde la última auditoría soc tipo 2. Las auditorías de tipo 1 no miran atrás durante un período de rendimiento.
Debido a la naturaleza sofisticada de Office 365, el ámbito del servicio es grande si se examina como un todo. Esto puede provocar retrasos en la finalización del examen debido a la escala. Microsoft organiza todos los exámenes descritos anteriormente en dos categorías: Core Services y Microservicios. Los informes de problemas de Microsoft se limitan a cada examen.
Las auditorías soc tipo 2 examinan un período de ejecución gradual de 12 meses (también conocido como período de auditoría o período más formal de rendimiento) con exámenes realizados anualmente para el período del 1 al 30 de octubre al 30 de septiembre del año natural siguiente. El examen se inicia rápidamente una vez completado el período de rendimiento.
Microsoft también emite letras puente (también conocidas como letras de separación). Son autoatestaciones de Microsoft, no informes basados en exámenes del auditor. Las cartas puente se emiten durante el período actual de rendimiento que aún no está completo y listo para el examen de auditoría. Microsoft emite cartas puente al final de cada trimestre para atestiguar nuestro rendimiento durante el período de tres meses anterior. Debido al período de rendimiento de las auditorías soc tipo 2, las cartas puente se emiten normalmente en diciembre, marzo, junio y septiembre del período operativo actual.
¿Dónde puedo obtener la documentación de auditoría Office 365 SOC, incluidas las cartas puente de Microsoft?
Para obtener vínculos a la documentación de auditoría, consulte la sección informe de auditoría del Portal de confianza de servicios. Debe tener una suscripción existente o una cuenta de evaluación gratuita en Office 365 u Office 365 U.S. Government para iniciar sesión. A continuación, puede descargar certificados de auditoría, informes de evaluación y otros documentos aplicables para ayudarle con sus propios requisitos normativos.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.
Recursos
- Informes de auditoría del Portal de confianza de servicios
- SOC de AICPA para organizaciones del servicio
- SSAE N.º 18, Estándares de atestación: Aclaración y recodificación (Estándares profesionales de AICPA)
- Creación de informes SOC 2 en un examen de controles de una organización de servicio relevante para la seguridad, la disponibilidad, la integridad de procesamiento, la confidencialidad o la privacidad (Guía de AICPA) (disponible para su compra)
- Sección 100 de TSP (Criterios de servicios de confianza de AICPA, 2017)
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de