Hub México · SOC 2
SOC 2 en México · Guía completa del informe y los Trust Services Criteria
SOC 2 es el estándar de confianza que el mercado estadounidense pide a los proveedores de software y servicios. Pero hay un matiz que casi todo el mundo confunde: SOC 2 no es una certificación. Es un atestiguamiento —un informe emitido por un despacho de contadores públicos (CPA) independiente bajo las normas del AICPA— que evalúa qué tan bien operan tus controles frente a los Trust Services Criteria. Entender esa diferencia es el primer paso para no perder tiempo ni credibilidad.
Para una empresa mexicana de SaaS, tecnología, BPO o fintech, SOC 2 se ha vuelto el pasaporte al mercado de Estados Unidos. En pleno auge del nearshoring, el comprador enterprise estadounidense exige un informe SOC 2 —idealmente Type II— en su proceso de evaluación de proveedores antes de firmar. Sin él, el trato se detiene en la revisión de seguridad.
Este hub te entrega el panorama completo: qué es SOC 2 y cómo se diferencia de una certificación, Type I frente a Type II, los cinco Trust Services Criteria, la diferencia entre SOC 1, SOC 2 y SOC 3, y el ángulo propio de QMA —el sistema integrado SOC 2 + ISO 27001 que implementa los controles una sola vez para servir a Estados Unidos y a Europa a la vez, mantenido audit-ready de forma continua.
5 Trust Services Criteria Security obligatoria + 4 opcionales Type I vs Type II Atestiguamiento AICPA (CPA)
Qué es SOC 2 (y por qué no es una “certificación”)
SOC 2 —System and Organization Controls 2— es un marco de atestiguamiento desarrollado por el AICPA (el instituto de contadores públicos de Estados Unidos). Un despacho CPA independiente examina los controles de una organización de servicios frente a los Trust Services Criteria y emite un informe SOC 2: un documento de uso restringido que el proveedor comparte con sus clientes y prospectos como evidencia de que gestiona la información de forma responsable.
La gente suele buscar “certificación SOC 2”, y se entiende el atajo, pero el término correcto importa: no existe un organismo que “certifique” SOC 2 ni un sello oficial. Lo que existe es la opinión de un CPA sobre tus controles, plasmada en un informe. QMA no es despacho CPA y no emite el informe; lo que hace QMA es preparar a tu organización para esa auditoría: diseño de controles, recolección de evidencia, remediación de brechas y acompañamiento durante todo el proceso. El informe lo firma el despacho CPA independiente.
Esa separación no es un tecnicismo: es lo que da valor al informe. Un atestiguamiento independiente vale precisamente porque quien prepara no es quien opina.
Type I vs Type II
Un informe SOC 2 puede ser de dos tipos, y la diferencia define cuánto pesa ante un comprador:
Type I — diseño en un punto en el tiempo
El CPA evalúa si los controles están diseñados adecuadamente en una fecha determinada. Es una foto. Sirve para arrancar y demostrar avance, pero no dice nada sobre si los controles realmente operaron en el tiempo.
Type II — eficacia operativa sobre un periodo
El CPA evalúa el diseño y la eficacia operativa de los controles a lo largo de un periodo, típicamente de 6 a 12 meses. Es una película. Es lo que el comprador enterprise serio pide, porque demuestra que los controles funcionan de forma sostenida, no solo el día de la auditoría.
La consecuencia práctica: la mayoría de las organizaciones obtiene primero un Type I para mostrar tracción y, sobre el mismo programa de controles, acumula el periodo de evidencia que sustenta el Type II. Mantener esa evidencia viva durante 6 a 12 meses es el verdadero reto operativo —y donde una plataforma de cumplimiento continuo marca la diferencia.
Los 5 Trust Services Criteria
SOC 2 se evalúa contra los Trust Services Criteria del AICPA (criterios 2017, con los points of focus revisados en 2022). Son cinco categorías; la organización elige cuáles incluir según el servicio que presta y los datos que maneja —con una excepción obligatoria:
Security — obligatoria
El criterio común (Common Criteria, CC1 a CC9): gobierno, gestión de riesgo, control de acceso lógico y físico, operación de sistemas, gestión de cambios y monitoreo. Es la base de todo informe SOC 2 y siempre está dentro del alcance.
Availability — opcional
Disponibilidad del sistema según los compromisos de servicio: capacidad, monitoreo, recuperación ante incidentes. Relevante para quien promete uptime contractual.
Processing Integrity — opcional
Que el procesamiento del sistema sea completo, válido, exacto, oportuno y autorizado. Clave para plataformas de transacciones o procesamiento de datos críticos.
Confidentiality — opcional
Protección de la información designada como confidencial (clasificación, cifrado, restricción de acceso, eliminación segura). Relevante cuando se manejan datos sensibles de clientes.
Privacy — opcional
Tratamiento de información personal conforme a aviso, consentimiento, uso, retención y disposición. Aplica solo cuando se maneja información personal.
Los points of focus de 2022 no cambiaron los criterios de 2017; añadieron consideraciones para reflejar la evolución de las amenazas y la tecnología. La organización diseña sus propios controles para satisfacer los criterios dentro del alcance elegido.
SOC 1, SOC 2 y SOC 3: no son lo mismo
Los tres informes pertenecen a la familia SOC del AICPA, pero responden a preguntas distintas:
- SOC 1 — controles relevantes para el reporte financiero del cliente (ICFR). Lo piden los auditores financieros de quienes te contratan. No evalúa seguridad de TI como tal.
- SOC 2 — controles frente a los Trust Services Criteria (seguridad y, opcionalmente, disponibilidad, integridad, confidencialidad y privacidad). Informe de uso restringido: se comparte bajo NDA con clientes y prospectos. Es el que el mercado tech de EE.UU. pide.
- SOC 3 — un resumen de uso general, publicable en abierto (por ejemplo, en tu sitio), basado en el mismo examen de los TSC pero sin el detalle del informe SOC 2.
Para la empresa mexicana que vende software o servicios a EE.UU., el informe relevante casi siempre es SOC 2 (con un SOC 3 público opcional como vitrina comercial).
SOC 2 y la venta a Estados Unidos: el pasaporte del nearshoring
El ángulo que más importa para México: SOC 2 es la moneda de confianza del SaaS y la tecnología que vende al norte. El comprador enterprise estadounidense lo incorpora a su vendor due diligence y a sus procesos de procurement; para muchos contratos, sin un informe SOC 2 —y a menudo específicamente Type II— el proceso de homologación de proveedor no avanza.
En pleno auge del nearshoring, esto convierte a SOC 2 en una palanca comercial directa para las empresas mexicanas de SaaS, tecnología, BPO y fintech que quieren venderle a Estados Unidos. No es un trámite de cumplimiento abstracto: es el documento que abre (o cierra) la puerta del mercado más grande. Y a diferencia de un proveedor que opera lejos del huso horario y del idioma de tu equipo, el acompañamiento se hace en español, con contexto local y en la misma franja horaria.
Para sectores regulados en México, los controles SOC 2 conviven con las obligaciones locales aplicables —si aplican a tu industria—; el programa se diseña para no duplicar esfuerzo entre lo que pide el comprador de EE.UU. y lo que pide el regulador mexicano.
Sistema integrado SOC 2 + ISO 27001
SOC 2 e ISO 27001 son, en el fondo, dos formas de demostrar lo mismo: que gestionas la seguridad de la información con seriedad. Sus controles solapan fuertemente. Muchas organizaciones terminan haciendo las dos —ISO 27001 porque es el lenguaje internacional y europeo, SOC 2 porque es lo que pide el comprador estadounidense.
El error caro es hacerlas por separado, como dos proyectos. El enfoque QMA es implementar el conjunto de controles una sola vez y mapear la evidencia a ambos marcos: el mismo control de acceso, la misma gestión de cambios, el mismo monitoreo sirven al SGSI de ISO 27001 y a los Trust Services Criteria de SOC 2. Se diseña una vez, se atiende a dos auditorías distintas.
| Dimensión | SOC 2 | ISO 27001 |
|---|---|---|
| Qué es | Atestiguamiento (informe de un CPA) | Certificación (organismo acreditado) |
| Marco | AICPA · Trust Services Criteria | ISO/IEC · SGSI + Anexo A |
| Mercado típico | Estados Unidos | Internacional / Europa |
| Resultado | Informe Type I o Type II (uso restringido) | Certificado vigente 3 años |
| Quién lo emite | Despacho CPA independiente | Organismo de certificación acreditado |
SOC 2 también admite el formato “SOC 2+”, que mapea los controles a marcos adicionales como NIST o HIPAA en el mismo examen. La evidencia compartida entre marcos se administra de forma continua con QMA Certeza.
Cross-framework · una implementación, varios marcos
Los Trust Services Criteria mapean a los marcos que reguladores, auditores y clientes corporativos también solicitan. Diseñar el programa con visibilidad cross-framework desde el inicio evita duplicar evidencia:
| Si preparas SOC 2, avanzas también en… | Relación |
|---|---|
| ISO 27001 — Seguridad de la información (SGSI) | Solape fuerte de controles · sistema integrado directo |
| NIST Cybersecurity Framework / NIST 800-53 | Mapeo formal de los TSC (crosswalk AICPA) |
| HIPAA / HITRUST | Vía SOC 2+ en el mismo examen |
| PCI DSS 4.0 — datos de tarjetas | Controles comunes; alcance específico aparte · ver PCI DSS en México |
Para sectores regulados, este enfoque conecta con el marco de gobernanza: Gobernanza, Riesgo y Cumplimiento (GRC) integral.
Cómo elegir: plataforma sola vs entrega gestionada
El mercado de SOC 2 está dominado por plataformas de software self-serve que automatizan la recolección de evidencia. Son buenas herramientas, pero dejan el trabajo difícil del lado del cliente: decidir el alcance, diseñar los controles, remediar las brechas, sostener la evidencia durante el periodo Type II y dialogar con el despacho CPA. Para un equipo mexicano que además está construyendo producto y vendiendo, eso es mucho.
El enfoque de QMA es de entrega gestionada (done-with-you): plataforma de cumplimiento continuo (Certeza) más acompañamiento humano experto, en español, con contexto de México y del comprador estadounidense, y coordinación con el despacho CPA que emite el informe. No es “te damos un software y suerte”; es “recorremos el camino contigo hasta el informe”.
- Alcance y selección de Trust Services Criteria definidos con criterio, no por defecto.
- Controles diseñados a tu operación real, no plantillas genéricas.
- Evidencia recolectada y mapeada de forma continua para sostener el Type II.
- Brechas remediadas con acompañamiento, no solo señaladas en un dashboard.
- Coordinación con el despacho CPA independiente que emite el informe.
Type II es continuo · y continuo es QMA Certeza
El Type II no se gana con una foto: exige evidencia de que los controles operaron a lo largo de 6 a 12 meses. Eso es exactamente lo que hace QMA Certeza: monitoreo continuo del estado de los controles, recolección y mapeo de evidencia entre marcos, y preparación permanente para la auditoría. En lugar de una carrera de última hora antes de la ventana del CPA, llegas con la evidencia ya acumulada y ordenada.
Para organizaciones que integran SOC 2 con ISO 27001, Certeza administra ambos sobre el mismo conjunto de controles, evitando duplicar evidencia. Es la diferencia entre “preparar un informe una vez” y “estar siempre listo para el siguiente”.
Cómo empezamos
Empezar bien evita rehacer trabajo, sobre-dimensionar el alcance y sostener evidencia que no servía. Estos son los primeros pasos del acompañamiento QMA:
- Diagnóstico SOC 2 (sin costo). Sesión para entender tu servicio, los datos que manejas, el comprador que te pide SOC 2 y el alcance candidato (qué Trust Services Criteria y si Type I o Type II). Salida: lectura honesta del punto de partida y del esfuerzo real.
- Definición de alcance y plan de readiness. Selección de criterios, diseño de controles a tu operación, identificación de brechas y plan de remediación. Si conviene, se diseña integrado con ISO 27001 desde el inicio.
- Acompañamiento hasta el informe. Implementación, recolección de evidencia continua, remediación y preparación para el examen del despacho CPA independiente que emite el informe SOC 2.
Preguntas frecuentes sobre SOC 2
¿SOC 2 es una certificación?
No. SOC 2 es un atestiguamiento: un informe que emite un despacho de contadores públicos (CPA) independiente bajo las normas del AICPA, evaluando tus controles frente a los Trust Services Criteria. No existe un organismo que “certifique” SOC 2 ni un sello oficial; existe la opinión del CPA en un informe.
¿Cuál es la diferencia entre SOC 2 Type I y Type II?
El Type I evalúa si los controles están diseñados adecuadamente en un punto en el tiempo (una foto). El Type II evalúa el diseño y la eficacia operativa de los controles a lo largo de un periodo, típicamente de 6 a 12 meses (una película). El comprador enterprise serio suele pedir Type II porque demuestra operación sostenida.
¿Qué diferencia hay entre SOC 1, SOC 2 y SOC 3?
SOC 1 cubre controles relevantes para el reporte financiero del cliente. SOC 2 evalúa controles frente a los Trust Services Criteria y es de uso restringido (se comparte bajo NDA). SOC 3 es un resumen de uso general publicable, basado en el mismo examen que SOC 2. Para vender tecnología a EE.UU., el relevante suele ser SOC 2.
¿Cuáles son los 5 Trust Services Criteria?
Security (obligatoria, criterio común CC1 a CC9), Availability, Processing Integrity, Confidentiality y Privacy. Security siempre está dentro del alcance; los otros cuatro se incluyen según el servicio que prestas y los datos que manejas.
¿El informe SOC 2 lo emite QMA?
No. El informe lo emite un despacho de contadores públicos (CPA) independiente; QMA no es despacho CPA. QMA prepara a tu organización para esa auditoría: definición de alcance, diseño de controles, recolección de evidencia, remediación de brechas y acompañamiento, y trabaja en coordinación con el despacho que firma el informe.
¿Por qué SOC 2 es clave para venderle a Estados Unidos?
Porque el comprador enterprise estadounidense lo exige en su evaluación de proveedores. Para muchos contratos, sin un informe SOC 2 —a menudo Type II— el proceso de homologación no avanza. Para una empresa mexicana de SaaS, tecnología, BPO o fintech, SOC 2 funciona como pasaporte al mercado de EE.UU.
¿Qué Trust Services Criteria debo incluir en mi alcance?
Security siempre. Los demás dependen de tu servicio y tus compromisos: Availability si prometes uptime, Processing Integrity si procesas transacciones o datos críticos, Confidentiality si manejas información sensible de clientes, y Privacy si manejas información personal. Un alcance bien elegido evita costo y evidencia innecesarios.
¿Cuánto cuesta y cuánto tarda un SOC 2?
Depende del alcance (qué criterios), del tipo (Type I o Type II) y de la madurez de partida. El costo combina la preparación, el tiempo del propio equipo y los honorarios del despacho CPA que emite el informe. No publicamos rangos fuera de contexto porque inducen error; el diagnóstico inicial sin costo cierra un rango realista para tu caso.
¿Cómo se relaciona SOC 2 con ISO 27001?
Ambos demuestran gestión seria de la seguridad de la información y sus controles solapan fuertemente. Muchas organizaciones hacen las dos: ISO 27001 para el mercado internacional y europeo, SOC 2 para el estadounidense. Implementando los controles una sola vez y mapeando la evidencia a ambos marcos se atienden las dos auditorías sin duplicar trabajo.
¿Qué significa que el Type II exige evidencia continua?
Significa que el CPA revisa que los controles operaron de forma efectiva durante todo el periodo (6 a 12 meses), no solo en una fecha. Eso obliga a recolectar y conservar evidencia de manera continua. Una plataforma de cumplimiento continuo como QMA Certeza mantiene esa evidencia viva y ordenada para llegar a la auditoría sin carreras de última hora.
Continúa en el cluster de cumplimiento QMA
ISO 27001 en México
El marco hermano de seguridad de la información; SOC 2 e ISO 27001 se implementan integrados sobre los mismos controles.
QMA Certeza
La plataforma de cumplimiento gestionado que sostiene la evidencia continua que exige el Type II.
Gobernanza, Riesgo y Cumplimiento (GRC)
El marco de gobernanza que unifica SOC 2, ISO 27001 y los demás programas de cumplimiento.
ISO 9001 en México
El sistema de gestión de calidad, parte de la misma familia de guías de cumplimiento de QMA.
PCI DSS 4.0 en México
Requisitos para quien procesa datos de tarjetas; comparte controles con SOC 2.