GH GambleHub

SOC 2: criterios de control de seguridad

1) SOC 2 en dos palabras

SOC 2 es una evaluación independiente de cómo la organización diseña (Design) y ejecuta (Operating) los controles de acuerdo con los Servicios de Confianza Crítica (TSC) de AICPA.
En iGaming, esto aumenta la confianza de los reguladores/bancos/PSP/socios y simplifica la TPRM.

Tipos de informes:
  • Tipo I - un estado instantáneo (en una fecha específica): si los controles están diseñados correctamente.
  • Tipo II - para el período (generalmente 6-12 meses): si los controles funcionan en la práctica de forma estable (con muestras).

2) Trust Services Criteria (TSC) y cómo leerlos

El dominio base es Seguridad (Common Criteria). El resto se agrega opcionalmente al área:
CriterioObjetivoEjemplos de preguntas del auditor
Security (CC)Protección contra acceso no autorizadoMFA, RBAC/ABAC, SoD, registros, gestión de vulnerabilidades
AvailabilityDisponibilidad por objetivosDR/BCP, RTO/RPO, monitoreo de SLO, gestión de incidentes
ConfidentialityProtección de datos confidencialesClasificación, cifrado, enmascaramiento, control de exportación
Processing IntegrityIntegridad/precisión/puntualidad del procesamientoControl de calidad de datos, conciliaciones, pruebas de extremo a extremo
PrivacyCiclo de privacidad para PIIBases legítimas, RoPA, DSAR, Retén, CMP

3) Modelo de control y elementos obligatorios (Seguridad - CC)

Governance & Risk: políticas de IB, registro de riesgos, objetivos, roles/RACI, capacitación.
Control de acceso: RBAC/ABAC, SoD, JIT/PAM, contraseñas/MFA, provisión de SCIM/IGA, offboarding ≤ 15 min.
Change & SDLC: DevSecOps, SAST/DAST/DS, escaneo IaC, AMB, registros de deployes, retrocesos.
Logging & Monitoring: logs centralizados (WORM + firma), SIEM/SOAR, alertas por KRI.
Vuln & Patch: proceso de identificación/clasificación, SLA en High/Critical, confirmación de implementación.
Incident Response: playbook, RACI, war-room, post mortem y CAPA.
Vendor/TPRM: due diligence, DPA/SLA, derecho de auditoría, supervisión de vendedores.

4) Criterios ampliados (A, C, PI, P)

Availability (A)

SLO/SLA y dashboards; DR/BCP (RTO/RPO), pruebas anuales; capacidad/región de cross; proceso de incidentes por accesibilidad.

Confidentiality (C)

Clasificación de datos; encriptación en tránsito/en tránsito (KMS/HSM); tokenización PII; Control de las exportaciones (firma, diario); Retiro.

Processing Integrity (PI)

Control de calidad de datos: esquemas/validación, deduplicación, reconciliación; controlar el inicio de las tareas; control de cambios en pipelines.

Privacy (P)

Política de privacidad; RoPA/motivos legítimos; CMR/Consentimiento; DPIA/DSAR; enmascaramiento/retiro; auditoría de rastreadores/SDK.

5) Mupping SOC 2 ↔ sus políticas/controles

ISO 27001/ISMS → cubre la base de CC (gestión de riesgos, políticas, registros, vulnerabilidades).
ISO 27701/PIMS → cierra muchos criterios de privacidad.
Secciones internas: RBAC/Privilegio Least, Política de Contraseña y MFA, Política de Registro, Incidentes, TPRM, DR/BCP - Muppped directamente en TSC.

💡 Se recomienda elaborar una matriz de conformidad: «Artículo TSC → Política/Procedimiento → Control de → métrica → Prevence».

6) Catálogo de controles y evidencias de ejemplo

Para cada control: ID, objetivo, propietario, frecuencia, método (auto/manual), fuentes de evidencia.

Ejemplos (fragmento):
  • 'SEC-ACCESS-01' - MFA en los accesos administrativos → informe de IdP, miniaturas de configuración, muestreo de registros.
  • 'SEC-IGA-02' - Offboarding ≤ 15 min → registros SCIM, tickets de despido, registro de bloqueo.
  • 'SEC-LOG-05' - Registros inmutables (WORM) → confecciones, cadenas hash, exportación de muestras.
  • 'AVAIL-DR-01' - Prueba anual de DR → protocolo de prueba, RTO/RPO reales.
  • 'AMB-ENC-03' - KMS/HSM administración de claves → política de rotación, auditoría de KMS.
  • 'PI-DATA-02' - Reconciliación de pagos → informes de conciliación, incidentes, CAPA.
  • 'PRIV-DSAR-01' - SLA por DSAR → registro de solicitudes, tiempos de espera, plantillas de respuesta.

7) Procedimientos (SOP) para mantener SOC 2

SOP-1 Incidentes: Niño → triage → containment → RCA → CAPA → informe.
SOP-2 Gestión del cambio: PR→CI/CD→skany→CAB→deploy→monitoring→otkat/fiksy.
SOP-3 Vulnerabilidades: intake→klassifikatsiya→SLA→verifikatsiya fiksa→vypusk del informe.
SOP-4 Accesos: JML/IGA, re-certificación trimestral, unidades SoD, JIT/PAM.
SOP-5 DR/BCP: pruebas anuales, ejercicios parciales, publicación de hechos RTO/RPO.
SOP-6 Exportaciones/confidencialidad: listas blancas, firma/registro, retiro/eliminación.

8) Preparación para la auditoría: Tipo I → Tipo II

1. Análisis Gap TSC: matriz de recubrimientos, lista de controles faltantes.
2. Políticas y procedimientos: actualizar, asignar propietarios.
3. Almacenamiento único de información: registros, informes IdP/SIEM, tickets, exportación de muestras (con firmas).
4. Auditoría de lectura interna: ejecución del cuestionario del auditor, fijación de muestras.
5. Tipo I (fecha X): muestra el diseño de los controles y el hecho del lanzamiento.
6. Período de observación (6-12 meses): recogida continua de artefactos, cierre de hallazgos.
7. Tipo II: proporcionar muestras para el período, informe de rendimiento operativo.

9) Métricas (KPI/KRI) para SOC 2

KPI:
  • MFA adoption (admiradores/roles críticos) = 100%
  • Offboarding TTR ≤ 15 minutos
  • Patch SLA High/Critical cerrado ≥ 95% a tiempo
  • Pruebas de RD: ejecución de un plan-gráfico = 100%, RTO/RPO reales normalmente
  • Coverage por lógica (WORM) ≥ el 95% de los sistemas críticos
KRI:
  • Acceso a PII sin 'purpose' = 0
  • Violaciones de SoD = 0
  • Incidentes notificados más tarde de los reglamentos = 0
  • Vulnerabilidades repetidas de High/Critical> 5% - Escalamiento

10) RACI (ampliado)

ActividadBoard/CEOCISO/ISMSSecurityPrivacy/DPOSRE/ITData/BIProduct/EngLegal/ComplianceInternal Audit
Área SOC 2A/RRCCCCCCI
Directorio de controlIA/RRCRRRCI
Almacenamiento de información EvidenceIA/RRRRRRCI
Lectura/interior. auditoríaIRRRRRRCA/R
Auditoría externaIRRRRRRCI
SARAH/RemediaciónIA/RRRRRRCC

11) Hojas de cheques

11. 1 Lectura (antes de Tipo I)

  • Scope (TSC y sistemas) fijo
  • Las políticas y los procedimientos son pertinentes y están aprobados
  • Propietarios de controles y métricas designados
  • El prototipo de almacenamiento de información evidence está listo (registros, informes IdP/SIEM, tickets)
  • Se realizó una píldora de incidente y una mini prueba DR
  • Los riesgos y la matriz SoD están confirmados

11. 2 Período de observación (entre I y II)

  • Recogida semanal de muestras/exportaciones de registros
  • Informe mensual sobre KPI/KRI
  • Cierre de vulnerabilidades en SLA
  • Certificación trimestral de derechos
  • Prueba DR/BCP según el plan

11. 3 Antes de Type II

  • El conjunto completo de la evolución por período (por cada control)
  • Registro de incidentes/vulnerabilidades y CAPA
  • Informe de revisión de gestión (resultados del período)
  • Matriz de mapeo actualizada TSC↔kontroli

12) Errores frecuentes y cómo evitarlos

«Políticas sin práctica»: mostrar registros, tickets, protocolos de DR/incidentes - no sólo documentos.
Lógica débil: sin WORM/firmas y una clara semántica de eventos, la auditoría es más difícil.
No hay re-certificación de derechos: el riesgo de accesos «colgantes» es un negativo crítico.
Scope incompleto de los vendedores: SOC 2 ve la cadena - añadir TPRM, DPA/SLA, derechos de auditoría.
Una sola vez sin rutina: implemente SSM/dashboards y reportes mensuales.

13) Hoja de ruta (12-16 semanas → Tipo I, otros 6-12 meses → Tipo II)

Semanas 1-2: análisis gap TSC, Scope, propietarios, plan de trabajo.
Semanas 3-4: actualizar las políticas/procedimientos, recopilar el catálogo de controles y la matriz de mapping.
Semanas 5-6: configurar registros (WORM/firma), SIEM/SOAR, vulnerabilidades/parches SLA, IdP/MFA, IGA/JML.
Semanas 7-8: pruebas mínimas DR/BCP, actualizaciones TPRM (DPA/SLA), ensayo del incidente.
Semanas 9-10: almacenamiento de información, informes KPI/KRI, auditorías internas de lectura.
Semanas 11-12: revisiones finales, blindaje del auditor, tipo I.
Siguiente: recolección semanal de artefactos, rugido trimestral → Tipo II al final del período.

TL; DR

SOC 2 = nítido Scope TSC → catálogo de controles con propietarios y métricas de → de evidencia por Diseño y Operación → registros continuos/SIEM/IGA/DR/TPRM → Lectura → Tipo I → período de observación → Type II. Haga «comprobable por defecto» - y la auditoría se llevará a cabo sin sorpresas.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.