¿Qué es SOC 2 & y por qué es importante?
SOC 2 o Service Organization Controls 2 es un marco regulado por el Instituto Americano de Contadores Públicos Certificados (AICPA). En una auditoría SOC 2, un auditor de servicios independiente revisará las políticas, los procedimientos y las pruebas de una organización para determinar si sus controles están diseñados y funcionan de manera eficaz. Un informe SOC 2 comunica el compromiso de una empresa con la seguridad de los datos y la protección de la información de los clientes.
Mejora tu postura de seguridad
El cumplimiento de SOC 2 ejemplifica el compromiso de una organización con la confianza de sus clientes y supone un hito importante en la mejora de su postura general en materia de seguridad. Con el aumento de las amenazas a la ciberseguridad y las violaciones de datos, es fundamental que las organizaciones den prioridad a la seguridad de la información y a la protección de sus sistemas y datos. Al someternos a una auditoría SOC 2, nuestros controles y procesos fueron validados por un tercero que certifica el funcionamiento de los controles relevantes para nuestra aplicación.
Por qué hemos optado por SOC 2 ahora
Bonsai ha pasado de ser un conjunto de herramientas para autónomos a convertirse en una plataforma global de gestión empresarial con todas las funciones, utilizada por más de 200 000 profesionales. A medida que se incorporan agencias y equipos empresariales más grandes, las revisiones detalladas de la seguridad de los proveedores se han convertido en algo habitual en los ciclos de ventas. Al obtener la certificación SOC 2 Tipo II el 3 de julio de 2025, ahora podemos responder a esos cuestionarios con un único informe reconocido, lo que acelera los acuerdos y refuerza la confianza de las partes interesadas. A nivel interno, el proyecto se alinea perfectamente con nuestro objetivo para 2025 de «seguridad por defecto» en ingeniería y operaciones.
El camino de Bonsai hacia el cumplimiento de SOC 2
Socios de cumplimiento
Vanta : nos hemos asociado con Vanta, líder en el ámbito de la gestión de la confianza, para que nos ayude a automatizar la recopilación de nuestras pruebas de auditoría. Vanta nos proporciona la base de seguridad más sólida para proteger los datos de nuestros clientes.
Advantage Partners : nuestra empresa de auditoría, Advantage Partners, fue de gran ayuda para crear una experiencia de auditoría fluida. Con su orientación y apoyo, pudimos lograr el cumplimiento de SOC 2 de manera rápida y eficiente.
Proceso
Aunque SOC 2 puede ser una tarea ardua, nuestros socios de cumplimiento normativo han simplificado el proceso. Aprovechamos Vanta para integrar nuestros sistemas clave y guiarnos en la implementación de políticas y procedimientos para estar rápidamente preparados para la auditoría. Vanta nos proporcionó la orientación que necesitábamos para emprender nuestro camino hacia el cumplimiento normativo.
A continuación, Advantage Partners confirmó que estábamos preparados para la auditoría y comenzamos nuestra auditoría de tipo II. Para la auditoría, Advantage evaluó los controles que tenemos implementados y emitió su opinión sobre su estado. Poco después de que finalizara nuestro periodo de auditoría, Advantage Partners redactó y publicó nuestro informe.
Cronología
Una conclusión clave es comprender que mejorar nuestra postura de seguridad y lograr el cumplimiento normativo es una tarea monumental. Esto puede resultar más fácil con los socios adecuados en materia de cumplimiento normativo, pero requerirá una dedicación y un tiempo específicos por parte de su organización. El periodo de preparación puede ser el que más tiempo requiera, pero pudimos dar prioridad al cumplimiento normativo para estar listos para la auditoría en cuestión de semanas, en lugar de meses.
También consideramos importante revisar el calendario de la auditoría con Advantage Partners, fijar una fecha ideal para la misma y luego trabajar hacia atrás para estar listos a tiempo. Sin embargo, ahora que se han implementado controles y la seguridad es una prioridad para nuestro equipo, las próximas auditorías SOC 2 serán aún más fluidas.
Lecciones que aprendimos
Céntrate en mejorar la postura de seguridad, no en marcar casillas
Consideramos SOC 2 como el punto de partida, no como la meta final. Medidas como el cifrado de extremo a extremo, la autenticación multifactorial obligatoria y el acceso con privilegios mínimos permanecen activas en todo momento.
Comience el proceso temprano
Establecer políticas mientras el código base aún es ágil es mucho más sencillo que adaptar controles más adelante. Una inversión temprana en seguridad evita meses de correcciones futuras.
Contar con los socios adecuados es fundamental
Aprovechar la plataforma de automatización de Vanta y colaborar con una empresa de auditoría comprometida con nuestro éxito redujo el tiempo de preparación de meses a semanas, lo que permitió a nuestro equipo de ingeniería mantener la velocidad de desarrollo.
'%3e%3cg id='Final-Copy-2_2_' transform='translate(1275.000000, 200.000000)'%3e%3cpath class='st0' d='M7.4,12.8h6.8l3.1-11.6H7.4C4.2,1.2,1.6,3.8,1.6,7S4.2,12.8,7.4,12.8z'/%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg id='final---dec.11-2020'%3e%3cg id='_x30_208-our-toggle' transform='translate(-1275.000000, -200.000000)'%3e%3cg id='Final-Copy-2' transform='translate(1275.000000, 200.000000)'%3e%3cpath class='st1' d='M22.6,0H7.4c-3.9,0-7,3.1-7,7s3.1,7,7,7h15.2c3.9,0,7-3.1,7-7S26.4,0,22.6,0z M1.6,7c0-3.2,2.6-5.8,5.8-5.8 h9.9l-3.1,11.6H7.4C4.2,12.8,1.6,10.2,1.6,7z'/%3e%3cpath id='x' class='st2' d='M24.6,4c0.2,0.2,0.2,0.6,0,0.8l0,0L22.5,7l2.2,2.2c0.2,0.2,0.2,0.6,0,0.8c-0.2,0.2-0.6,0.2-0.8,0 l0,0l-2.2-2.2L19.5,10c-0.2,0.2-0.6,0.2-0.8,0c-0.2-0.2-0.2-0.6,0-0.8l0,0L20.8,7l-2.2-2.2c-0.2-0.2-0.2-0.6,0-0.8 c0.2-0.2,0.6-0.2,0.8,0l0,0l2.2,2.2L23.8,4C24,3.8,24.4,3.8,24.6,4z'/%3e%3cpath id='y' class='st3' d='M12.7,4.1c0.2,0.2,0.3,0.6,0.1,0.8l0,0L8.6,9.8C8.5,9.9,8.4,10,8.3,10c-0.2,0.1-0.5,0.1-0.7-0.1l0,0 L5.4,7.7c-0.2-0.2-0.2-0.6,0-0.8c0.2-0.2,0.6-0.2,0.8,0l0,0L8,8.6l3.8-4.5C12,3.9,12.4,3.9,12.7,4.1z'/%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)