Edit My Preferences
Desarrollado para IA Centro de confianza Carreras
Desarrollado para IA Centro de confianza Carreras
Seleccione otra Region
Seleccione otra Region
Dismiss
Innovación
Una plataforma construida para la IA

Unificado, automatizado y listo para convertir los datos en inteligencia.

Averigüe cómo
Dismiss
16-18 juni, Las Vegas
Pure//Accelerate® 2026

Ontdek hoe u de ware waarde van uw gegevens kunt ontsluiten. 

Schrijf u nu in
Nuestra plataforma Productos Soluciones Asistencia Socios Recursos pure.ai
Contáctenos
Ventas 1-800-976-6494
Contáctenos
Main Menu
Nuestra plataforma
Productos
Soluciones
Asistencia
Socios
Recursos
pure.ai
Contáctenos
  1. Conocimiento sobre Pure
  2. ¿Qué es el cumplimiento SOC 2 tipo II?

¿Qué es el cumplimiento SOC 2 tipo II?

¿Qué es el cumplimiento SOC 2 tipo II?

El cumplimiento de SOC 2 tipo II es un marco para las organizaciones de servicios que demuestra controles adecuados para los criterios de seguridad de datos.

En el panorama actual impulsado por los servicios, los datos de una organización rara vez existen solo en su propio entorno de TI. A menudo, muchos proveedores y prestadores de servicios confían en esos datos. Una gran parte de elegir con qué proveedor confiar en esos datos se realiza con la ayuda de certificaciones, que pueden demostrar el cumplimiento de ciertos estándares de seguridad y confidencialidad. 

Las certificaciones de cumplimiento se incluyen en marcos y son verificadas por auditores externos. Pueden darles a los clientes un sello de aprobación de que un proveedor tiene todos los controles y protecciones necesarios para garantizar que sus datos sean lo más seguros posible. Uno de estos marcos se denomina marco de control de la organización de servicios (SOC, Service Organization Control).

Si usted es un proveedor o prestador de servicios, es posible que se le pida que proporcione informes de cumplimiento de datos SOC 2. Si es cliente, puede solicitar la certificación SOC para verificar que un vendedor o proveedor tenga los controles adecuados para el cumplimiento de datos. 

Aquí le mostramos más de cerca esta norma de cumplimiento específica del proveedor de servicios, lo que incluye y por qué es importante.

¿Qué es SOC 2 tipo II?

Descripción general de SOC 2 tipo II

Las certificaciones de cumplimiento de datos a menudo se requieren como requisito previo u obligación contractual para un compromiso. El cumplimiento de SOC 2 tipo II está específicamente diseñado para organizaciones de servicios. SOC 2 Tipo II incluye principios para la seguridad de datos, disponibilidad, confidencialidad, privacidad e integridad del procesamiento de transacciones. El tipo II indica que la auditoría se llevó a cabo durante un período prolongado, a menudo seis meses. 

Estos estándares son fundamentales para garantizar protecciones de seguridad de la información (InfoSec) de primer nivel en los sistemas de TI de los proveedores y cumplir con los contratos entre proveedores y clientes. 

¿Cuántos criterios de SOC existen?

Hay cinco criterios de servicio, o principios de confianza, en un informe de cumplimiento de SOC 2. La seguridad es obligatoria, mientras que los otros criterios pueden ser más específicos de la industria o del negocio. Cada uno de estos activará requisitos para diferentes tipos de controles.

  • Seguridad: Esta es la categoría de servicio de referencia más importante que se requiere para el cumplimiento de SOC 2.
  • Disponibilidad: Esto es importante para los proveedores de servicios que tienen SLA estrictos que cumplir para productos de software como servicio (SaaS ), plataforma como servicio (PaaS ) o infraestructura como servicio (IaaS ). Si el servicio de TI se considera de misión crítica para los clientes, la disponibilidad de datos es clave.
  • Integridad del procesamiento: Esto se aplica a los servicios que procesan transacciones para clientes financieros o de comercio electrónico.
  • Confidencialidad: Cuando los datos que está procesando para los clientes son sensibles (p. ej., propiedad intelectual), este es un pilar clave de su cumplimiento de SOC 2 tipo II.
  • Privacidad: No debe confundirse con la confidencialidad anterior, este principio es específico de la información de identificación personal (PII), como los registros médicos.

Criterios de servicio de confianza

Principios

Categorías

Seguridad

Disponibilidad

Integridad del procesamiento

Confidencialidad

Privacidad
  • Organización
  • Comunicación
  • Evaluación de riesgos y administración de controles
  • Monitoreo de controles
  • Control de acceso lógico y físico a datos y sistemas sensibles (p. ej., tarjetas clave o credenciales de inicio de sesión)
  • Operaciones y procedimientos del sistema (diarios, semanales, mensuales)
  • Administración del cambio
Slide

¿Qué se evalúa en un SOC 2 tipo II?

En una auditoría de cumplimiento SOC 2 tipo II, las políticas y los controles diseñados para cumplir con los criterios de servicio anteriores se evalúan para determinar su eficacia, generalmente durante un período de seis meses. ¿Son adecuados los controles para los criterios? ¿Su organización es consistente para llevarlas a cabo?

¿Qué es una certificación SOC 2 tipo II?

La certificación SOC 2 tipo II es una prueba de un auditor externo de que las políticas de una organización aprobaron la auditoría para el cumplimiento SOC 2 tipo II.

¿Cuáles son los beneficios del cumplimiento SOC 2 tipo II?

Los beneficios de SOC 2 tipo II son mejorar la salud general de la seguridad y protección de datos dentro de una organización y entre sus proveedores. Para los proveedores de servicios, la certificación SOC 2 Tipo II puede ayudar a mejorar las probabilidades de ganar una asociación o un cliente sobre la competencia. Para los clientes, es una prueba demostrable de que sus datos estarán en buenas manos con los controles y las medidas de seguridad adecuados.

¿Quién necesita cumplir con SOC 2 tipo II?

Cualquier proveedor que maneje datos de clientes o información confidencial que busque cumplir con las obligaciones contractuales con un cliente para el cumplimiento de SOC 2 tipo II puede beneficiarse de la certificación.

SOC 2 frente a otras certificaciones de cumplimiento

Diferencias entre SOC 1 y SOC 2

¿Cuál es la diferencia entre SOC 1 y SOC 2? SOC 1 no se centra en los criterios de seguridad, sino en los criterios de informes financieros. El SOC 1 también fue diseñado para organizaciones de servicios, pero específicamente para aquellas a las que se subcontrataron ciertas funciones financieras. Tenga en cuenta que las auditorías de SOC 1 generalmente se alinean con los años fiscales e incluyen cinco criterios de servicio, incluido el entorno de control, la evaluación de riesgos, las actividades de control, la comunicación y la información, y el monitoreo. 

Diferencias entre SOC 2 e ISO-27001

Tanto SOC 2 tipo II como ISO-27001 son marcos que se centran en la administración de InfoSec. Si bien SOC 2 tipo II evalúa la eficacia general de los controles de seguridad, ISO-27001 es un enfoque sistemático y prescriptivo para los sistemas de administración de seguridad de la información. El enfoque principal de ISO-27001 se centra en los sistemas y controles internos y es un estándar, mientras que SOC 2 tipo II es un marco para realizar una auditoría.

SOC 2 tipo II frente a PCI DSS, HIPAA, GDPR 

Hay varios marcos de cumplimiento: ¿cómo son diferentes y qué organizaciones los necesitan?

SOC 2 Tipo II y Norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS) son dos marcos de cumplimiento muy diferentes con poca o ninguna superposición. PCI DSS está específicamente relacionado con los controles sobre cómo se manejan la información y las transacciones de las tarjetas de crédito. PCI DSS también se aplica solo a los proveedores de servicios financieros, mientras que SOC 2 tipo II cubre una gama más amplia de industrias. Por último, PCI DSS se lleva a cabo anualmente, y no por una empresa de CPA.

SOC 2 tipo II y la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) también son diferentes en el área de enfoque de los datos que se protegen. La HIPAA se aplica solo a las organizaciones de atención de la salud y a los proveedores de servicios que manejan los datos de los pacientes (y la ley lo exige), mientras que SOC 2 tipo II puede incluir organizaciones de atención de la salud, pero no es obligatorio para ellas. Además, mientras que SOC 2 tipo II no es tan prescriptivo en la forma en que se cumplen los criterios de servicio, HIPAA lo es, con estándares muy específicos que deben cumplirse para el cumplimiento.

SOC 2 tipo II y el Reglamento General de Protección de Datos (GDPR) son marcos que abordan la seguridad y privacidad de los datos. El marco del GDPR solo se aplica a las organizaciones que manejan datos personales de residentes dentro de la Unión Europea y se centra en los derechos de privacidad y protección de datos. Esto requiere controles en torno a la transparencia de cómo se utilizan los datos, el “derecho a ser olvidado” y la minimización y el consentimiento de los datos. Si bien SOC 2 tipo II no es obligatorio, el GDPR sí lo es y el incumplimiento puede conllevar ramificaciones y multas legales.

Preparación para la evaluación SOC 2 tipo II

Prepararse para una auditoría SOC 2 tipo II es un esfuerzo de equipo y puede requerir bastantes horas de personal para despegar. Decidir implementar el cumplimiento de SOC 2 tipo II también puede requerir una cantidad justa de aceptación y asistencia interna para poner las cosas en marcha e incorporarlo en los procesos a largo plazo. 

Pasos para prepararse para la evaluación SOC 2 tipo II

  1. Conozca el “por qué” detrás de su solicitud de cumplimiento de SOC 2. Ya sea que se trate de una solicitud de un cliente u otro motivo, esto lo ayudará a comprender sus plazos para la certificación de cumplimiento, el alcance del trabajo involucrado y más. Esto también le ayudará a identificar las políticas existentes que pueda tener y también le proporcionará al auditor contexto y alcance.
  2. Reúna al equipo adecuado de personas dentro de su organización para incorporarlas al SOC 2 tipo II. Dependiendo de su plazo para poner en marcha el SOC 2 tipo II, es posible que necesite más personas para participar en ciertas tareas, recopilación de evidencia y desarrollo. Este grupo puede incluir:
    • Liderazgo, como el CEO, el CTO, el CISO y otros ejecutivos de alta gerencia.
    • Desarrollo y operaciones
    • Recursos humanos, ya que los empleados pueden llegar al alcance de las auditorías.
    • InfoSec
  3. InfoSecPrepárese para proporcionar alcance. Esté preparado para responder preguntas específicas sobre los datos, como dónde se aloja su servicio (nube pública, en las instalaciones), pronóstico de capacidad, ubicaciones de oficinas (¿es un entorno de confianza cero o los servidores deberán estar en la lista blanca?), si almacena datos confidenciales, etc.

Trabajar con auditores externos para el cumplimiento de SOC 2 tipo II

El marco SOC 2 fue desarrollado por el Instituto Estadounidense de Contadores Públicos Certificados (American Institute of Certified Public Accountants, AICPA) y una empresa de CPA debe completar una auditoría.

Cuando evalúe a una empresa para que lo audite en cuanto al cumplimiento de SOC 2 tipo II, considere la calidad y la experiencia junto con el costo, y si es una buena opción para trabajar junto a su equipo día a día durante semanas o meses, y conviértase en un asesor y socio a largo plazo para su organización.

Preguntas que debe hacer: ¿Tienen un gran historial de auditorías exitosas? ¿La empresa tiene experiencia en auditoría específica para su industria? No dude en solicitar revisiones de pares, revisiones de terceros requeridas de documentos para auditores y referencias.

Además, considere contratar a un auditor lo antes posible en el proceso, ya que puede ser valioso para ayudarlo a determinar el alcance del proyecto y alinear los recursos adecuados internamente para cumplir con su plazo (si tiene uno).

  • Una vez que haya elegido al auditor, realizará lo siguiente: 
  • Un ejercicio de determinación del alcance y descubrimiento para establecer expectativas
  • Una evaluación de preparación, para un análisis descendente de las brechas, lo que necesitará para comenzar, qué políticas ya están vigentes, etc.
  • Controles previos a la prueba final
  • El examen de certificación

Durante la auditoría, se le pedirá que proporcione las políticas, los controles y la evidencia de cada uno. 

Cómo mantener la certificación SOC 2 tipo II

Es importante tener en cuenta que el cumplimiento de SOC 2 tipo II no es uno y está listo. Requiere diligencia y esfuerzo continuo. Mantener la certificación SOC 2 tipo II requiere monitoreo constante, documentación, divulgación y respuesta a incidentes, capacitación de empleados y evaluaciones periódicas. Esto es para demostrar que una organización tiene un compromiso continuo con el cumplimiento y está realizando los cambios y actualizaciones necesarios en la política.

Como organización con certificación ISO 27001, Pure Storage ofrece una serie de productos y servicios diseñados para brindar a nuestros clientes un monitoreo y control integral sobre sus datos. Consulte nuestro conjunto de soluciones modernas de protección de datos para ver cómo podemos ayudarlo a cumplir con sus objetivos de cumplimiento de seguridad de datos.

Buscar recursos y eventos clave

FERIA COMERCIAL
Pure//Accelerate® 2026
June 16-18, 2026 | Resorts World Las Vegas

Prepárese para el evento más valioso al que asistirá este año.

Regístrese ahora
DEMOSTRACIONES DE PURE360
Explore, aprenda y experimente Everpure.

Acceda a videos y demostraciones según demanda para ver lo que Everpure puede hacer.

Mire las demostraciones
VIDEO
Vea: El valor de una Enterprise Data Cloud.

Charlie Giancarlo explica por qué la administración de datos, no el almacenamiento, es el futuro. Descubra cómo un enfoque unificado transforma las operaciones de TI de una empresa.

Mirar ahora
RECURSO
El almacenamiento heredado no puede impulsar el futuro.

Las cargas de trabajo modernas exigen velocidad, seguridad y escalabilidad listas para la AI. ¿Su pila está lista?

Realizar la evaluación
¡Su navegador ya no es compatible!

Los navegadores más antiguos a menudo representan riesgos de seguridad. Para brindar la mejor experiencia posible al utilizar nuestro sitio, actualice a cualquiera de estos navegadores más recientes.

safari
chrome
firefox
edge
Close
Personalize for Me
Steps Complete!
1
2
3
Edit My Preferences
Start a Chat
Personalize your Everpure experience
Select a challenge, or skip and build your own use case.
Estrategias de virtualización preparadas para el futuro

Opciones de almacenamiento para todas sus necesidades

Habilite proyectos de IA a cualquier escala.

Almacenamiento de alto rendimiento para procesamiento, capacitación e inferencia de datos

Protección contra la pérdida de datos

Soluciones de ciberresiliencia que protegen sus datos

Reduzca el costo de las operaciones en la nube

Almacenamiento rentable para Azure, AWS y nubes privadas

Acelere el rendimiento de las aplicaciones y las bases de datos

Almacenamiento de baja latencia para el rendimiento de las aplicaciones

Reduzca el consumo de energía y el espacio utilizado por los centros de datos

Almacenamiento eficiente en recursos para mejorar el uso de los centros de datos.

Build My Use Case
Confirm your outcome priorities
Your scenario prioritizes the selected outcomes. You can modify or choose next to confirm.
Primary
Reduce My Storage Costs
Lower hardware and operational spend.
Primary
Strengthen Cyber Resilience
Detect, protect against, and recover from ransomware.
Primary
Simplify Governance and Compliance
Easy-to-use policy rules, settings, and templates.
Primary
Deliver Workflow Automation
Eliminate error-prone manual tasks.
Primary
Use Less Power and Space
Smaller footprint, lower power consumption.
Primary
Boost Performance and Scale
Predictability and low latency at any size.
Start Over
Select an outcome priority
Select an outcome priority
Next
What’s your role and industry?
We've inferred your role based on your scenario. Modify or confirm and select your industry.
Select your industry
Financial services
Government
Healthcare
Education
Telecommunications
Automotive
Hyperscaler
Electronic design automation
Retail
Service provider
Transportation
Which team are you on?
Technical leadership team
Defines the strategy and the decision making process
Infrastructure and Ops team
Manages IT infrastructure operations and the technical evaluations
Business leadership team
Responsible for achieving business outcomes
Security team
Owns the policies for security, incident management, and recovery
Application team
Owns the business applications and application SLAs
Back
Select an industry
 Select a team
Select an industry
 Select a team
Next
Describe your ideal environment
Tell us about your infrastructure and workload needs. We chose a few based on your scenario.
Select your preferred deployment
Hosted
Dedicated off-prem
On-prem
Your data center + edge
Public cloud
Public cloud only
Hybrid
Mix of on-prem and cloud
Select the workloads you need
Databases
Oracle, SQL Server, SAP HANA, open-source

Key benefits:

  • Instant, space-efficient snapshots

  • Near-zero-RPO protection and rapid restore

  • Consistent, low-latency performance

 

AI/ML and analytics
Training, inference, data lakes, HPC

Key benefits:

  • Predictable throughput for faster training and ingest

  • One data layer for pipelines from ingest to serve

  • Optimized GPU utilization and scale
Data protection and recovery
Backups, disaster recovery, and ransomware-safe restore

Key benefits:

  • Immutable snapshots and isolated recovery points

  • Clean, rapid restore with SafeMode™

  • Detection and policy-driven response

 

Containers and Kubernetes
Kubernetes, containers, microservices

Key benefits:

  • Reliable, persistent volumes for stateful apps

  • Fast, space-efficient clones for CI/CD

  • Multi-cloud portability and consistent ops
Cloud
AWS, Azure

Key benefits:

  • Consistent data services across clouds

  • Simple mobility for apps and datasets

  • Flexible, pay-as-you-use economics

 

Virtualization
VMs, vSphere, VCF, vSAN replacement

Key benefits:

  • Higher VM density with predictable latency

  • Non-disruptive, always-on upgrades

  • Fast ransomware recovery with SafeMode™

 

Data storage
Block, file, and object

Key benefits:

  • Consolidate workloads on one platform

  • Unified services, policy, and governance

  • Eliminate silos and redundant copies

 

What other vendors are you considering or using?
Back
Select a deployment
 Select a workload
Select a deployment
 Select a workload
Finish
Thinking...
Your personalized, guided path
Get started with resources based on your selections.
Start a Chat