Controles del sistema y de la organización (SOC) 1 tipo 2
Introducción a SOC 1 tipo 2
Los controles del sistema y de la organización (SOC) para las organizaciones de servicios son informes de control interno creados por el Instituto Estadounidense de Contadores Públicos Certificados (AICPA). Están diseñados para examinar los servicios proporcionados por una organización de servicios para que los usuarios finales puedan evaluar y abordar el riesgo asociado a un servicio subcontratado.
Se realiza una atestación SOC 1 tipo 2 en:
- SSAE No. 18, Attestation Standards: Clarification and Recodification, which includes AT-C section 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control over Financial Reporting (AICPA, Professional Standards).
- SOC 1 Informes sobre un examen de controles en una organización de servicio relevante para el control interno de las entidades de usuario sobre los informes financieros (Guía de AICPA).
Aparte de la Declaración de AICPA sobre estándares para compromisos de atestación 18 (SSAE 18), la auditoría Office 365 SOC 1 tipo 2 se lleva a cabo de acuerdo con la Norma Internacional sobre compromisos de garantía nº 3402 (ISAE 3402). La atestación de SOC 1 ha reemplazado a SAS 70 y es adecuada para informar sobre los controles en una organización de servicio pertinentes para los controles internos de las entidades de usuario sobre los informes financieros. Un informe de tipo 2 incluye la opinión del auditor sobre la eficacia del control para lograr los objetivos de control relacionados durante el período de supervisión especificado.
Servicios y plataformas en la nube dentro del ámbito de Microsoft
Las servicios en línea de Microsoft en el ámbito se muestran en el informe de atestación soc 1 tipo 2 de Azure:
- Azure (para obtener información detallada, consulte Ofertas de cumplimiento de Microsoft Azure).
- Azure DevOps (consulte el informe independiente de atestación de SOC 1 de Azure DevOps de tipo 2)
- Dynamics 365 (para obtener información detallada, consulte El informe de atestación de Tipo 2 de SOC 1 de Azure)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender para punto de conexión
- Microsoft Defender for Identity
- Microsoft Forms Pro
- Microsoft Intune
- Escritorio administrado de Microsoft
- Microsoft Stream
- Expertos en amenazas de Microsoft
- Portal de nominación
- Office 365, Office 365 Administración Pública para Estados Unidos, Office 365 Administración Pública para Estados Unidos - Alto, Office 365 Administración Pública para Estados Unidos Departamento de Defensa
- Power Apps
- Power Automate
- Power BI
- Power Virtual Agents
- Update Compliance
Azure, Dynamics 365 y SOC 1
Para obtener más información acerca del cumplimiento de Azure, Dynamics 365 y otros servicios en línea, consulte la oferta SOC 1 de Azure.
Office 365 y SOC 1
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
Aplicabilidad | Servicios incluidos |
---|---|
Comercial | Administrador de cumplimiento, Caja de seguridad del cliente, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Caja de seguridad (Torus), Microsoft Teams, MyAnalytics, Office 365 Customer Portal, Office 365 Microservicios (incluidos, entre otros, Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office Online, Office Services Infrastructure, OneDrive para la Empresa, Planner, PowerApps, Power BI, Project Online, Cifrado de servicio con clave de cliente de Microsoft Purview, SharePoint Online, Skype Empresarial |
GCC | Microsoft Entra ID, Administrador de cumplimiento, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, complemento Cumplimiento avanzado de Office 365, Office 365 Centro de cumplimiento de seguridad &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, Stream |
GCC High | Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Cumplimiento avanzado de Office 365 complemento, Office 365 Centro de cumplimiento de seguridad &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial |
DoD | Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Cumplimiento avanzado de Office 365 complemento, Office 365 Centro de cumplimiento de seguridad &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, Power BI, SharePoint Online, Skype Empresarial |
Informes de auditoría de Office 365
- Informe SOC 1 SSAE 18 de Office 365 Core
- Ver cartas puente y otros informes de auditoría
Debe tener una suscripción existente o una cuenta de evaluación gratuita en Office 365 u Office 365 Administración Pública para descargar los informes de atestación de SOC 1 y SOC 2 y las cartas puente según sea necesario.
Preguntas más frecuentes
¿Con qué frecuencia se emiten los informes SOC de Office 365?
Microsoft encarga un examen completo de SOC 1 tipo 2 y SOC 2 tipo 2 de Office 365 anualmente. Los informes del auditor sobre estos exámenes (también conocidos como auditorías) se emiten tan pronto como estén listos después de esa auditoría. El informe SOC 3, que se basa en el examen soc 2, se emite al mismo tiempo.
Dado que Microsoft no controla el ámbito de investigación del examen ni el período de tiempo de finalización del auditor, no hay un plazo establecido cuando se emiten estos informes. Por lo general, los informes se emiten unos meses después del final del período objeto de examen. Microsoft no permite lagunas en los períodos consecutivos de examen de un examen al siguiente.
Microsoft también encarga a mediados de año un examen soc 1 tipo 1 y SOC 2 tipo 1 de Office 365 para los nuevos servicios de Microsoft que se han emitido desde la última auditoría soc tipo 2. Las auditorías de tipo 1 no miran atrás durante un período de rendimiento.
Debido a la naturaleza sofisticada de Office 365, el ámbito del servicio es grande si se examina como un todo. Esto puede provocar retrasos en la finalización del examen debido a la escala. Microsoft organiza todos los exámenes descritos anteriormente en dos categorías: Core Services y Microservicios. Microsoft emite un informe con ámbito para cada examen.
Las auditorías soc de tipo 2 examinan un período de ejecución gradual de 12 meses (también conocido como período de auditoría o período más formal de rendimiento) con exámenes realizados anualmente para el período del 1 al 30 de octubre al 30 de septiembre del año natural siguiente. El examen se inicia rápidamente una vez completado el período de rendimiento.
Microsoft también emite letras puente (también conocidas como letras de separación). Son autoatestaciones de Microsoft, no informes basados en exámenes del auditor. Las cartas puente se emiten durante el período actual de rendimiento que aún no está completo y listo para el examen de auditoría. Microsoft emite cartas puente al final de cada trimestre para atestiguar nuestro rendimiento durante el período de tres meses anterior. Debido al período de rendimiento de las auditorías soc tipo 2, las cartas puente se emiten normalmente en diciembre, marzo, junio y septiembre del período operativo actual.
¿Cómo pueden beneficiarse los clientes de la atestación SOC 1 tipo 2 de Office 365?
Los clientes pueden usar la atestación SOC 1 tipo 2 de Office 365 al cumplir sus propios requisitos de cumplimiento específicos del sector financiero, como Sarbanes-Oxley (SOX), el Consejo federal de examen de instituciones financieras (FFIEC), la ley Gramm-Leach-Bliley (GLBA) y otros.
¿Dónde puedo obtener la documentación de auditoría Office 365 SOC, incluidas las cartas puente de Microsoft?
Para obtener vínculos a la documentación de auditoría, consulte la sección informe de auditoría del Portal de confianza de servicios. Debe tener una suscripción existente o una cuenta de evaluación gratuita en Office 365 o Office 365 gobierno de EE. UU. para iniciar sesión. A continuación, puede descargar certificados de auditoría, informes de evaluación y otros documentos aplicables para ayudarle con sus propios requisitos normativos.
¿Dónde puedo ver las respuestas de administración a las excepciones anotadas?
La mayoría de los exámenes tienen algunas observaciones sobre uno o varios de los controles específicos examinados. Es de esperar cierta cantidad de observaciones. Las respuestas de administración a las excepciones se encuentran al final del informe de atestación de SOC. Busque "Respuesta de administración" en el documento.
¿Dónde puedo ver las responsabilidades de las entidades de usuario?
Las responsabilidades de las entidades de usuario son sus responsabilidades de control necesarias si el sistema en su conjunto debe cumplir los estándares de control de SOC 2. Se encuentran al final del informe de atestación de SOC. Busque "Responsabilidades de entidad de usuario" en el documento.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.
Recursos
- Informes de auditoría del Portal de confianza de servicios
- N.º 18 de SSAE, Estándares de atestación: aclaración y recodificación
- SOC 1 Informes sobre un examen de controles en una organización de servicio relevante para el control interno de las entidades de usuario sobre los informes financieros (Guía de AICPA) (disponible para su compra)