SOC 2 Tipo I vs Tipo II: cuál pedirle a tu proveedor (y por qué no dan lo mismo)
Tu proveedor te manda un PDF que dice "SOC 2" y asunto cerrado, ¿no? No. La diferencia entre un Tipo I y un Tipo II es la diferencia entre una foto y una película: uno describe cómo estaban diseñados los controles un día puntual, el otro demuestra si funcionaron durante meses. Confundirlos —o aceptar el que no corresponde— es uno de los errores más comunes en la evaluación de proveedores, y uno de los más caros.
Qué certifica cada tipo de reporte
Un SOC 2 Tipo I evalúa el diseño de los controles en un momento específico: el auditor mira si los controles descritos por la organización existen y están razonablemente diseñados a una fecha de corte. Un SOC 2 Tipo II evalúa además la efectividad operativa: el auditor prueba que esos controles funcionaron durante un período de observación, típicamente de 3 a 12 meses. La consecuencia práctica es directa: un Tipo I puede obtenerse en semanas armando documentación prolija; un Tipo II exige que los controles hayan operado de verdad, con evidencia, durante todo el período. Por eso el Tipo II es el estándar de facto que exigen los equipos de compras y seguridad maduros.
La trampa del período de observación
Dos reportes Tipo II no valen lo mismo. Un período de observación de 3 meses es el mínimo aceptado y suele ser la primera auditoría de una empresa joven; un período de 12 meses es la señal de un programa de compliance estable. Además del largo, mirá la fecha de fin del período: un reporte cuyo período terminó hace 14 meses te está contando historia antigua. Como regla práctica, un reporte con más de 12 meses desde el fin del período debería venir acompañado de una bridge letter (carta puente) donde la gerencia afirma que no hubo cambios materiales en los controles desde entonces. Si el proveedor no la tiene, pedila: es un pedido estándar y la resistencia a entregarla es en sí misma una señal.
Qué criterios de confianza cubre (y cuáles no)
SOC 2 se estructura sobre los Trust Services Criteria de AICPA: Seguridad (obligatorio, también llamado common criteria), Disponibilidad, Integridad de Procesamiento, Confidencialidad y Privacidad. El detalle que casi nadie revisa: el proveedor elige qué criterios incluir en el alcance. Un reporte que solo cubre Seguridad no dice nada sobre disponibilidad del servicio ni sobre cómo maneja datos personales. Si tu contrato tiene SLAs de uptime, necesitás que Disponibilidad esté en el alcance. Si el proveedor procesa datos personales de tus clientes, Confidencialidad y Privacidad dejan de ser opcionales. Alcance y criterios están declarados en las primeras páginas del reporte — es lo primero que hay que verificar, antes de leer una sola prueba de control.
La opinión del auditor: cuatro palabras que cambian todo
Todo reporte SOC 2 incluye la opinión del auditor, y no todas las opiniones son iguales. Una opinión sin salvedades (unqualified) es el resultado limpio. Una opinión con salvedades (qualified) significa que uno o más controles no operaron efectivamente y el auditor lo dice explícitamente — es un reporte "aprobado con observaciones graves". Una opinión adversa o una abstención de opinión son directamente descalificantes. El error frecuente: recibir el PDF, verificar que existe, y archivarlo sin leer la sección de opinión. Hay empresas operando con proveedores cuyo SOC 2 tiene opinión calificada sobre controles de acceso, y nadie en el equipo lo leyó.
Cuándo aceptar un Tipo I (y cuándo no)
Un Tipo I es aceptable en un escenario puntual: proveedor joven, primera auditoría, con compromiso contractual de entregar el Tipo II al cierre de su primer período de observación. En ese caso, documentá la excepción, fijá la fecha de entrega del Tipo II en el contrato y hacé seguimiento. Lo que no es aceptable es un proveedor establecido que solo ofrece Tipo I año tras año: o los controles no resisten un período de observación, o el programa de compliance es de vidriera. Para servicios que tocan datos críticos o producción, el Tipo II con período de 12 meses debería ser requisito de entrada, no aspiración.
El problema de escala: leerlos todos
Un reporte SOC 2 Tipo II tiene entre 60 y 200 páginas. Una empresa mediana con 30 o 40 proveedores críticos que renuevan reporte anualmente enfrenta miles de páginas de lectura técnica por año, con secciones de excepciones, controles complementarios y alcances que hay que cruzar contra el uso real que le das al servicio. En la práctica, la mayoría de los equipos verifica que el PDF existe y que la fecha es razonable — el contenido queda sin analizar. Ahí es donde los riesgos reales (excepciones en controles de acceso, criterios fuera de alcance, CUECs ignorados) pasan de largo.
¿Cuántos reportes SOC 2 tenés archivados sin leer?
CompliProof analiza reportes SOC 2 Tipo II e ISAE 3402, extrae la opinión, las excepciones, el alcance y los controles que te delegan, y te entrega un veredicto accionable en minutos.
Conocer CompliProof →