Compliance6 min de lectura8 de julio de 2026

ISAE 3402 vs SOC 2: no son intercambiables (aunque tu proveedor diga que sí)

Es una escena repetida: pedís evidencia de seguridad a un proveedor europeo y te llega un ISAE 3402 Tipo 2, con la aclaración de que "es el equivalente europeo del SOC 2". No lo es. Es el equivalente internacional del SOC 1, que es otra cosa. Aceptar uno cuando correspondía el otro deja huecos de cobertura que nadie detecta hasta que algo falla — y es un error que se comete todos los días en procesos de compras.

El mapa correcto de los estándares

ISAE 3402 es el estándar internacional emitido por el IAASB para reportes de aseguramiento sobre controles en organizaciones de servicios relevantes para el reporte financiero de los clientes. Su análogo estadounidense es el SOC 1 (bajo SSAE 18). Es decir: ISAE 3402 ≈ SOC 1, y su objeto es el control interno sobre reporte financiero (ICFR), no la seguridad de la información en general. El SOC 2, en cambio, se emite sobre los Trust Services Criteria de AICPA (seguridad, disponibilidad, confidencialidad, etc.) y su análogo internacional se emite bajo el estándar más general ISAE 3000. La confusión nace de que ambos comparten la lógica Tipo 1 / Tipo 2 y un formato de reporte parecido — pero el objeto de la auditoría es distinto.

Qué cubre un ISAE 3402 (y qué no)

Un ISAE 3402 evalúa los controles del proveedor que impactan en los estados financieros de sus clientes: procesamiento de transacciones, cálculo de montos, integridad de datos que alimentan la contabilidad, segregación de funciones en procesos financieros. Es el reporte correcto para un procesador de nómina, un custodio de activos, un procesador de pagos o un servicio de facturación. Lo que un ISAE 3402 no cubre de forma sistemática: gestión de vulnerabilidades, respuesta a incidentes de seguridad, cifrado de datos en general, controles de disponibilidad del servicio. Puede tocar controles de acceso y de TI (los ITGCs), pero solo en la medida en que afectan datos financieros — no como evaluación de seguridad integral.

La regla práctica para pedir el reporte correcto

La pregunta que ordena todo: ¿qué riesgo del proveedor te preocupa? Si el servicio procesa o alimenta información que termina en tus estados financieros, pedí ISAE 3402 (o SOC 1) Tipo 2. Si el servicio almacena, procesa o transmite datos cuya confidencialidad, integridad o disponibilidad te importan — o sea, prácticamente cualquier SaaS con datos tuyos — pedí SOC 2 Tipo II o su equivalente bajo ISAE 3000. Y hay proveedores que ameritan los dos: un procesador de pagos que además guarda datos de tus clientes cubre el riesgo financiero con el 3402 y el de seguridad con el SOC 2. Un solo reporte, del tipo que sea, no cubre ambos frentes.

Cómo detectar el reemplazo silencioso

Cuando un proveedor responde tu pedido de SOC 2 con un ISAE 3402, las explicaciones habituales son "es lo que usamos en Europa" o "cubre lo mismo". La respuesta correcta de tu lado es pedir el detalle del alcance: qué criterios o dominios de control cubre el reporte, sobre qué sistema, y bajo qué estándar exacto se emitió la opinión. Si el proveedor tiene un programa de seguridad real, va a tener SOC 2, ISO 27001 o un reporte ISAE 3000 sobre criterios de seguridad — y no va a tener problema en mostrarlo. Si lo único que existe es el 3402, la conclusión operativa es que la seguridad de la información nunca fue auditada por un tercero, y eso tiene que entrar en tu evaluación de riesgo del proveedor como lo que es: una ausencia, no una equivalencia.

El detalle de las versiones Tipo 1 y Tipo 2

Igual que en SOC, el ISAE 3402 Tipo 1 opina sobre el diseño de los controles a una fecha, y el Tipo 2 sobre diseño más efectividad operativa durante un período. Todo lo que aplica a la evaluación de un SOC 2 Tipo II aplica acá: período de observación (idealmente 12 meses), vigencia del reporte, opinión del auditor, excepciones con su severidad, y controles complementarios delegados al usuario. La estructura del reporte es prácticamente paralela, lo que facilita evaluar ambos con la misma metodología — siempre que tengas claro que estás mirando riesgo financiero en uno y criterios de confianza en el otro.

¿Te mandaron el reporte equivocado?

CompliProof identifica automáticamente el tipo de reporte, el estándar bajo el que se emitió y su alcance real, y te dice si cubre el riesgo que necesitás cubrir — antes de que firmes.

Probar CompliProof →
Compliance6 min
SOC 2 Tipo I vs Tipo II: cuál pedirle a tu proveedor (y por qué no dan lo mismo)
Compliance7 min
Cómo leer un reporte SOC 2 Tipo II sin ahogarte en 150 páginas
← Ver todos los artículos