Compliance7 min de lectura7 de julio de 2026

Cómo leer un reporte SOC 2 Tipo II sin ahogarte en 150 páginas

Nadie lee un SOC 2 Tipo II de punta a punta, y está bien: no hace falta. Lo que sí hace falta es saber exactamente dónde mirar, porque el reporte está estructurado para que la información crítica esté repartida en secciones específicas. Esta es la ruta de lectura que usa un evaluador experimentado para sacar un veredicto en 30 minutos en lugar de 3 horas — y las trampas en las que cae el que lee sin método.

Primero: la opinión del auditor (Sección 1)

Empezá por el final lógico: la carta de opinión del auditor independiente. Buscá tres cosas. Uno, el tipo de opinión: sin salvedades, con salvedades, adversa o abstención. Dos, el período exacto de observación: fechas de inicio y fin. Tres, quién firma: una firma auditora reconocida con práctica establecida en SOC no vale lo mismo que un auditor desconocido — la auditoría es una opinión profesional, y la reputación de quien opina es parte del valor. Si la opinión tiene salvedades, la propia carta identifica sobre qué criterios o controles: eso te dice dónde profundizar antes de seguir.

Segundo: el alcance del sistema (Sección 3)

La descripción del sistema, escrita por la gerencia del proveedor, define qué está adentro y qué está afuera del reporte. Los dos cruces que tenés que hacer: primero, ¿el servicio que vos usás está dentro del sistema descrito? Un proveedor con varios productos puede auditar solo uno — y no necesariamente el que contrataste. Segundo, ¿qué Trust Services Criteria están en alcance? Seguridad siempre está; Disponibilidad, Confidencialidad, Integridad de Procesamiento y Privacidad son opcionales y tienen que coincidir con lo que el servicio hace con tus datos. Un mismatch acá invalida la relevancia del reporte para tu caso, por más limpio que esté.

Tercero: subservicios — carve-out vs. inclusive

Casi todo proveedor SaaS corre sobre otros proveedores (AWS, Azure, GCP, procesadores de pago). El reporte declara cómo trata a esos subservicios: método inclusive (los controles del subservicio están dentro de la auditoría, poco frecuente) o método carve-out (los controles del subservicio quedan excluidos, que es lo habitual). Con carve-out, el reporte lista los CSOCs — controles complementarios que se asume que el subservicio ejecuta. Traducción práctica: parte de la seguridad de tu proveedor depende de un tercero cuyo reporte no estás mirando. Para servicios críticos, la evaluación completa incluye verificar que el subservicio (típicamente el cloud provider) tenga su propio SOC 2 vigente — que en el caso de los hyperscalers es público y fácil de obtener.

Cuarto: los resultados de las pruebas (Sección 4)

Acá está la carne del Tipo II: la matriz de controles con las pruebas del auditor y sus resultados. No leas los cientos de controles que pasaron; buscá las excepciones (deviations / exceptions). Cada excepción describe qué control falló, en qué medida y sobre qué muestra. La evaluación tiene dos ejes: severidad del control afectado (una excepción en revocación de accesos de empleados dados de baja pesa infinitamente más que una en la revisión anual de una política) y patrón (una excepción aislada en una muestra de 25 es distinta de fallas sistemáticas en varios controles del mismo dominio). Muchos reportes incluyen una Sección 5 con la respuesta de la gerencia a cada excepción: leela, porque una respuesta con plan de remediación concreto y fecha vale más que un descargo genérico.

Quinto: los CUECs — lo que el reporte te delega a vos

Los Complementary User Entity Controls son la sección más ignorada y una de las más importantes: son los controles que el proveedor asume que VOS ejecutás para que su modelo de seguridad cierre. Típicos: gestionar los accesos de tus propios usuarios, configurar MFA, notificar bajas de personal, revisar logs que el servicio te expone. El punto crítico: si no implementás los CUECs, las conclusiones del reporte no aplican a tu relación con el proveedor — el auditor lo dice explícitamente. Un proceso de evaluación serio extrae la lista de CUECs de cada reporte y la cruza contra los controles internos propios. Prácticamente nadie lo hace de forma sistemática.

El costo real de hacerlo bien, a escala

Esta ruta de lectura toma entre 30 y 60 minutos por reporte para un evaluador con experiencia, más el tiempo de documentar hallazgos y cruzar CUECs contra controles internos. Multiplicalo por tu cartera de proveedores y por la renovación anual de cada reporte, y el análisis riguroso se vuelve un costo fijo importante — o directamente no se hace, que es lo que ocurre en la mayoría de las organizaciones. El resultado es una falsa sensación de cobertura: la carpeta de compliance está llena de PDFs que nadie analizó.

Automatizá la ruta de lectura completa

CompliProof aplica exactamente este método sobre cada reporte: opinión, alcance, subservicios, excepciones con severidad y CUECs extraídos y listos para cruzar contra tus controles.

Ver cómo funciona →
Compliance7 min
Excepciones en un SOC 2: cuáles te tienen que preocupar y cuáles son ruido
Compliance6 min
SOC 2 Tipo I vs Tipo II: cuál pedirle a tu proveedor (y por qué no dan lo mismo)
RFP & Assessments7 min
Due diligence de seguridad: cómo preparar tu empresa para ser evaluada
← Ver todos los artículos