¿Qué son los criterios de servicios de confianza?

Los criterios de servicios de confianza (TSC) son un conjunto de estándares utilizados para evaluar la eficacia de los controles de una organización relacionados con la seguridad, el procesamiento integridad, confidencialidad y disponibilidad.

¿Qué son los criterios de servicios de confianza?

El término "criterios de servicios de confianza" se refiere a un marco integral desarrollado para evaluar la idoneidad y eficacia de los controles de una organización en diversos aspectos de la protección de datos y el rendimiento del sistema. Específicamente, los criterios de servicios de confianza se centran en los principios de seguridad, disponibilidad y procesamiento. integridad, confidencialidad y privacidad. Se utiliza principalmente en el contexto de auditorías, como SOC 2 (Controles del sistema y la organización), para garantizar que las organizaciones de servicios cumplan con requisitos estrictos en cuanto a la protección de la información confidencial y la confiabilidad de sus servicios. sistemas operativos.

Al evaluar estos criterios, las organizaciones demuestran su compromiso con el mantenimiento de altos estándares de protección de datos, resiliencia operativa y privacidad, esenciales para generar confianza con los clientes y las partes interesadas. TSC ofrece un enfoque estructurado para evaluar los controles internos de una organización, garantizando que no solo cumplan con los estándares del sector, sino que también minimicen los riesgos asociados. violaciones de datossistema el tiempo de inactividad, y otros vulnerabilidades.

¿Cuáles son los cinco criterios de los servicios de confianza?

Los cinco criterios de los servicios de confianza son:

• Seguridad. Este criterio se centra en la protección de los sistemas y datos contra accesos no autorizados, ataques y filtraciones. Garantiza la implementación de las medidas de seguridad adecuadas para evitar daños a los activos de la organización y preservar la confidencialidad, integridad y disponibilidad de la información.
• Disponibilidad. Este criterio evalúa si los sistemas y servicios proporcionados por la organización están disponibles para su funcionamiento y uso según lo acordado. Implica evaluar la capacidad de la organización para mantener el tiempo de actividad y cumplir acuerdos de nivel de servicio (SLA).
• Integridad de procesamientoEste criterio garantiza que los procesos del sistema sean completos, precisos y oportunos. Evalúa si el sistema puede procesar datos consistentemente, de acuerdo con los objetivos del negocio y las expectativas del usuario.
• Confidencialidad. Este criterio se centra en garantizar que la información clasificada como confidencial esté protegida según su sensibilidad. Implica proteger los datos sensibles del acceso y la divulgación no autorizados.
• PrivacidadEste criterio garantiza que los datos personales se recopilen, utilicen, conserven, divulguen y eliminen de conformidad con las leyes y normativas de privacidad pertinentes. Evalúa la capacidad de la organización para mantener la privacidad de la información personal de forma que cumpla con sus obligaciones legales y contractuales.

Criterios de servicios de confianza e integración de COSO

Los criterios de servicios de confianza y el marco del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) son esenciales para evaluar los controles internos de una organización, pero se centran en diferentes aspectos de la gobernanza y la gestión de riesgos. La integración de TSC con COSO puede ayudar a las organizaciones a garantizar un enfoque integral para la gestión de riesgos, el cumplimiento normativo y la eficacia del control interno.

El criterios de servicios de confianza, Como se mencionó, incluyen cinco áreas clave: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Estos criterios se utilizan principalmente en auditorías como SOC 2 para evaluar si los controles de una organización están diseñados y funcionan eficazmente para proteger los datos y garantizar la fiabilidad del sistema. Estos criterios ayudan a las organizaciones a demostrar su compromiso con la protección de datos sensibles, la alta disponibilidad de los sistemas y la protección de la privacidad, entre otras cosas.

El Marco COSOPor otro lado, el marco COSO proporciona un conjunto más amplio de principios y prácticas para un control interno eficaz. Incluye cinco componentes: entorno de control, evaluación de riesgos, actividades de control, información y comunicación, y seguimiento. El marco COSO se utiliza comúnmente para evaluar los controles internos en áreas como la información financiera y el cumplimiento de las leyes y regulaciones, y es un estándar ampliamente adoptado para la gobernanza y la gestión de riesgos.

Integración de los criterios de servicios de confianza y el marco COSO

La integración de TSC y COSO crea un entorno de control interno más sólido para una organización, al garantizar que se aborden adecuadamente los aspectos técnicos y organizativos de la gestión de riesgos. Esto incluye:

• Control medioambientalEl entorno de control COSO implica marcar la pauta desde la alta dirección, garantizando el compromiso de la dirección con la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad. Esto se alinea con el TSC, que exige la supervisión de alto nivel de los controles diseñados para proteger los sistemas y los datos.
• Evaluación del riesgoTanto TSC como COSO enfatizan la importancia de las evaluaciones de riesgos. Los criterios de seguridad y privacidad de TSC exigen que las organizaciones identifiquen y mitiguen los riesgos para la información confidencial, mientras que el componente de evaluación de riesgos de COSO garantiza que los riesgos (financieros, operativos y de cumplimiento) se identifiquen, evalúen y gestionen adecuadamente.
• Actividades de control. Las actividades de control de COSO garantizan la implementación de políticas y procedimientos para abordar los riesgos identificados. Esto apoya directamente al TSC, en particular en áreas como la integridad y la confidencialidad del procesamiento, donde se deben diseñar procesos detallados para garantizar el procesamiento preciso de los datos y la protección de la información confidencial.
• Información y comunicación. Ambos marcos enfatizan la importancia de garantizar que la información relevante se comunique eficazmente en toda la organización. Los criterios de privacidad y seguridad de TSC exigen que la información sobre las prácticas de manejo de datos se comunique de forma clara y transparente, mientras que el componente de COSO enfatiza el papel de la comunicación en la gestión de los controles internos y la rendición de cuentas.
• MonitoringEl componente de monitoreo de COSO garantiza la evaluación y mejora continua de los controles internos. Esto se alinea con los requisitos del TSC para el monitoreo continuo de los controles, especialmente en áreas como seguridad y disponibilidad, para garantizar que los sistemas permanezcan seguros, accesibles y libres de vulnerabilidades.

Criterios de servicios de confianza en SOC 2

En el contexto de SOC 2, los TSC son los estándares utilizados para evaluar los controles implementados por las organizaciones de servicios para proteger datos confidenciales, garantizar la confiabilidad del sistema y mantener la privacidad.

SOC 2 es un marco utilizado principalmente para evaluar la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad de los sistemas y datos de una organización. Estos criterios ayudan a determinar si los controles de la organización cumplen con los requisitos específicos para proteger la información confidencial y satisfacer las expectativas de sus clientes y partes interesadas.

Los informes SOC 2 suelen ser utilizados por empresas de tecnología, en particular las que ofrecen cloudbasado o SaaS (software como servicio) soluciones, para demostrar su compromiso de mantener los más altos estándares de protección de datos, privacidad y seguridad.

Los cinco criterios de servicios de confianza en SOC 2 son:

• Seguridad. El criterio de seguridad se centra en la protección de los sistemas contra accesos no autorizados, Ataques ciberneticosy otras formas de intrusión. Evalúa si los sistemas y datos de una organización están protegidos contra amenazas internas y externas. Las medidas de seguridad clave pueden incluir cortafuegos, cifrado, sistema de deteccion de intrusos, y otros controles técnicos que evitan el acceso no autorizado o la modificación de datos.
• DisponibilidadEste criterio evalúa si los sistemas y servicios de la organización están disponibles para su funcionamiento y uso según lo previsto. Evalúa la capacidad de la organización para mantener el tiempo de actividad y cumplir con los acuerdos de nivel de servicio. Esto es fundamental para los clientes que dependen de la disponibilidad de los servicios para sus propias operaciones, como en cloud soluciones de hosting o SaaS.
• Integridad de procesamientoLa integridad del procesamiento garantiza que los sistemas procesen los datos de forma precisa, completa y oportuna. Este criterio evalúa si los procesos del sistema funcionan correctamente y ofrecen los resultados previstos, lo cual es esencial para los clientes que dependen de la fiabilidad de la información procesada. Esto podría incluir la validación de la precisión de las transacciones, el procesamiento oportuno y la gestión adecuada de errores.
• ConfidencialidadEl criterio de confidencialidad se centra en la protección de la información sensible contra el acceso o la divulgación no autorizados. Evalúa la capacidad de la organización para proteger datos confidenciales, como propiedad intelectual, secretos comerciales e información personal, de conformidad con las leyes de privacidad de datos y las obligaciones contractuales. Esto puede incluir cifrado, almacenamiento seguro y protocolos de acceso restringido.
• PrivacidadEl criterio de privacidad garantiza que la información personal se recopile, utilice, conserve, divulgue y elimine de conformidad con las leyes de privacidad pertinentes, como la RGPD o CCPAGarantiza que las organizaciones implementen prácticas que salvaguarden los datos personales, protegiendo los derechos de privacidad de las personas y cumpliendo con los requisitos legales y reglamentarios.

Criterios de servicios de confianza y otros marcos de cumplimiento

A continuación se muestra una comparación del TSC utilizado en SOC 2 con otros marcos de cumplimiento populares:

Ejemplos de criterios de servicios de confianza

A continuación se muestran algunos ejemplos de cómo se aplican los TSC en diferentes escenarios:

• Seguridad. Un procesador de pagos en línea implementa autenticación de múltiples factores Tanto para usuarios como para administradores. Esto garantiza que solo las personas autorizadas puedan acceder a la información confidencial de pago y a los sistemas de procesamiento, lo que reduce el riesgo de acceso no autorizado o ciberataques.
• Disponibilidad. A cloud El proveedor de alojamiento implementa un sistema automatizado backup y recuperación ante desastres Solución con un SLA de disponibilidad del 99.9 %. Esto garantiza que los sitios web y los datos de los clientes estén siempre disponibles, incluso durante interrupciones inesperadas del sistema o desastres, minimizando el tiempo de inactividad y la interrupción del servicio.
• Integridad del procesamiento. Un proveedor de software de atención al cliente garantiza que todas las consultas de los clientes se registren automáticamente y se dirijan al equipo de soporte correspondiente en cuestión de minutos. El sistema proporciona en tiempo real actualizaciones y confirmaciones, garantizando la precisión de los datos y el procesamiento oportuno de las solicitudes de los clientes.
• Confidencialidad. Un bufete de abogados utiliza cifrado para proteger la información confidencial de sus clientes almacenada en su base de datos. Además, el acceso a documentos confidenciales está restringido exclusivamente a empleados autorizados, lo que garantiza que los documentos legales y las comunicaciones con los clientes no queden expuestos a terceros no autorizados.
• Intimidad. Un proveedor de atención médica recopila información médica personal (PHI) de sus pacientes, pero implementa estrictos procedimientos de manejo de datos. Estos incluyen el cifrado de la PHI, tanto en tránsito como en reposo, y permiten a los pacientes acceder y eliminar sus datos, de conformidad con las regulaciones de privacidad como la HIPAA.

¿Por qué son importantes los criterios de los servicios de confianza?

Los criterios de servicios de confianza son importantes porque ofrecen a las organizaciones una forma estructurada y estandarizada de demostrar su compromiso con la seguridad y la gestión de datos, la garantía de servicios fiables y la protección de la privacidad de sus clientes. A continuación, se presentan varias razones clave por las que los criterios de servicios de confianza son cruciales:

• Genera confianza con los clientes y las partes interesadas. Las organizaciones que cumplen con los criterios de servicios de confianza demuestran su compromiso con la protección de la información confidencial y la fiabilidad operativa. Esto fomenta la confianza con clientes, socios y partes interesadas, lo cual es vital para el crecimiento y la retención del negocio.
• Mejora la protección y seguridad de los datos. Los criterios ayudan a las organizaciones a implementar medidas de seguridad robustas para proteger los datos del acceso no autorizado, ciberataques y filtraciones. Al centrarse en la seguridad y la confidencialidad, TSC garantiza la protección adecuada de la información sensible.
• Apoya el cumplimiento normativo. Muchos marcos regulatorios, como el RGPD, HIPAA y PCI DSSSe superponen con los criterios establecidos en el TSC. Adherirse a estos estándares ayuda a las organizaciones a cumplir con los requisitos legales y regulatorios, reduciendo el riesgo de incumplimiento y posibles sanciones.
• Mitiga los riesgos operacionales. Al centrarse en la disponibilidad y la integridad del procesamiento, TSC garantiza que los sistemas sean resilientes, precisos y estén disponibles cuando se necesiten. Esto minimiza el riesgo de fallos del sistema, errores de datos o interrupciones del servicio que podrían afectar las operaciones comerciales y la satisfacción del cliente.
• Mejora la eficiencia operativa. Implementar TSC ayuda a las organizaciones a optimizar sus procesos, identificar debilidades y mejorar su entorno de control. Esto conduce a una gestión de riesgos más eficiente y reduce... redundancias, y garantiza que los recursos se asignen adecuadamente para mantener la integridad del sistema.
• Proporciona una ventaja competitiva. Cumplir con los criterios de los servicios de confianza demuestra que una organización sigue las mejores prácticas del sector. Esto distingue a una empresa en mercados competitivos, ya que los clientes son más propensos a elegir proveedores de servicios que priorizan data security, privacidad y confiabilidad operativa.
• Reduce el riesgo de violaciones de datos y responsabilidades legales. Dado que la privacidad y la confidencialidad son componentes fundamentales del TSC, las organizaciones están mejor preparadas para proteger los datos de sus clientes contra filtraciones. Al seguir estos criterios, minimizan el riesgo de costosas filtraciones de datos, demandas judiciales o daños a la reputación.
• Permite la elaboración de informes transparentes. El cumplimiento del TSC suele verificarse mediante auditorías externas, como los informes SOC 2. Estas evaluaciones de terceros proporcionan transparencia y una validación independiente del compromiso de una organización con la protección de datos, ofreciendo seguridad a clientes e inversores.

¿Quién mantiene los criterios de los servicios fiduciarios?

Los criterios de los servicios fiduciarios son mantenidos por el Instituto Americano de Contadores Públicos Certificados (AICPA). El AICPA es una organización profesional que establece estándares para la auditoría, la contabilidad y la presentación de informes en Estados Unidos.

El AICPA desarrolló los criterios de servicios de confianza como parte del marco SOC, que incluye los informes SOC 1, SOC 2 y SOC 3. El AICPA revisa y actualiza periódicamente estos criterios para adecuarlos a los estándares cambiantes del sector, los avances tecnológicos y los requisitos regulatorios. El TSC sirve de base para evaluar los controles de las organizaciones de servicios en materia de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad, especialmente en el contexto de las auditorías SOC 2 y SOC 3.

AICPA garantiza que los criterios sigan siendo relevantes consultando con expertos de la industria y partes interesadas, lo que permite a las organizaciones demostrar el cumplimiento de las mejores prácticas y garantizar la protección de datos confidenciales y la integridad del sistema.

¿Con qué frecuencia deben actualizarse los controles de los criterios de servicios de confianza?

Los controles de los criterios de servicios de confianza deben actualizarse periódicamente para garantizar su eficacia y su conformidad con las normas de seguridad, privacidad y normativas en constante evolución. Sin embargo, la frecuencia de las actualizaciones depende de diversos factores, como los cambios en los sistemas de la organización, las amenazas emergentes y las modificaciones en los requisitos normativos. A continuación, se presentan algunas pautas sobre cuándo deben revisarse y actualizarse los controles:

• Monitoreo y actualizaciones continuas. Los controles deben supervisarse continuamente, y cualquier deficiencia o ineficiencia debe dar lugar a una revisión. Las auditorías internas periódicas, la monitorización automatizada y la recopilación de inteligencia sobre amenazas ayudan a identificar áreas donde los controles podrían necesitar una actualización más frecuente.
• Revisión anual. Se recomienda que las organizaciones revisen sus controles de TSC al menos una vez al año para garantizar que se ajusten a los estándares actuales de la industria y a las amenazas en constante evolución. Una revisión anual ayuda a las organizaciones a mantenerse proactivas y adaptarse a nuevos riesgos, tecnologías y requisitos de cumplimiento. También garantiza que cualquier cambio en el entorno empresarial u operativo se refleje en los controles.
• Siguiendo cambios importantes. Si una organización se somete a una importante actualización del sistema, un cambio en la arquitectura (por ejemplo, Mudarse a la cloud) o una actualización de la infraestructura crítica, es importante revisar y posiblemente actualizar los controles. De igual manera, si la organización se fusiona o adquiere otra empresa, se deben revisar los controles existentes para garantizar su integración con los nuevos procesos de negocio.
• Después de cambios regulatorios o legales. Cambios en las leyes de protección de datos (por ejemplo, GDPR, CCPA) o las regulaciones de la industria (por ejemplo, HIPAA, PCI DSS) pueden requerir actualizaciones de los controles de la organización para garantizar el cumplimiento continuo con los nuevos marcos legales.
• En respuesta a vulnerabilidades identificadas o incidentes de seguridad. Si se descubre una vulnerabilidad o se produce una filtración de datos, se deben revisar los controles de inmediato para garantizar que se implementen las medidas adecuadas para prevenir incidentes similares en el futuro. Esta revisión podría resultar en el endurecimiento de las políticas de seguridad, la incorporación de nuevas herramientas de monitoreo o cambios en los procedimientos de gestión de datos.
• Como parte de las auditorías SOC 2. Si una organización se somete a una auditoría SOC 2 Tipo II, que evalúa la eficacia operativa de los controles durante un período (normalmente de 6 a 12 meses), es una buena práctica revisar y posiblemente actualizar los controles como preparación para la auditoría. La auditoría SOC 2 evalúa si los controles de la organización están diseñados y funcionan de manera eficaz, por lo que es esencial garantizar que los controles estén actualizados y sean completos antes de la auditoría.