BlogSalas de DatosCumplimiento SOC 2 Tipo II de Papermark en 2026: Alcance de la Auditoría y los 5 Criterios de Servicios de Confianza

Cumplimiento SOC 2 Tipo II de Papermark en 2026: Alcance de la Auditoría y los 5 Criterios de Servicios de Confianza

9 min de lectura
Marc Seitz

Marc Seitz

Papermark cumple con SOC 2 Tipo II. La auditoría abarca los Criterios de Servicios de Confianza de la AICPA (seguridad, disponibilidad, confidencialidad) en nuestra sala de datos virtual, plataforma de compartición de documentos y análisis. Para conocer la postura completa de seguridad y cumplimiento (cifrado, regiones de alojamiento, certificaciones, subprocesadores), consulta la página de seguridad de Papermark.

Interfaz de la sala de datos virtual de Papermark

Esta guía explica qué significa SOC 2 Tipo II, qué abarca nuestra auditoría y por qué es relevante para los equipos de adquisiciones que evalúan Papermark para fusiones y adquisiciones, rondas de financiación y flujos de trabajo regulados.

Resumen rápido

  • SOC 2 (Controles de Sistemas y Organizaciones 2) es un estándar de auditoría de la AICPA para organizaciones de servicios que evalúa los controles relacionados con los datos de los clientes.
  • SOC 2 Tipo II (frente a Tipo I) evalúa la eficacia operativa de los controles durante un período de tiempo (típicamente de 6 a 12 meses), no solo su diseño en un momento específico.
  • Cinco Criterios de Servicios de Confianza (TSC): seguridad, disponibilidad, integridad del procesamiento, confidencialidad, privacidad.
  • La auditoría SOC 2 Tipo II de Papermark abarca los criterios de seguridad (obligatorio), disponibilidad y confidencialidad como estándar, con privacidad abordada mediante controles alineados con el RGPD.
  • Frecuencia de auditoría: anual, con monitoreo continuo entre auditorías.
  • Disponibilidad del informe: el informe SOC 2 Tipo II está disponible para clientes empresariales bajo acuerdo de confidencialidad.
  • Relación con RGPD, HIPAA, ISO 27001: SOC 2 es una base sólida; se aplican marcos adicionales para industrias reguladas específicas.

¿Qué es el cumplimiento SOC 2 Tipo II?

SOC 2 (Controles de Sistemas y Organizaciones 2) es un riguroso procedimiento de auditoría desarrollado por el Instituto Americano de Contadores Públicos Certificados (AICPA). Evalúa cómo las organizaciones de servicios gestionan los datos de los clientes basándose en cinco Criterios de Servicios de Confianza: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Los informes Tipo II evalúan la eficacia operativa de los controles durante un período de auditoría de 6 a 12 meses, no solo su diseño en un momento específico.

SOC 2 es la certificación de seguridad y controles dominante para SaaS B2B en Norteamérica y es cada vez más esperada en Europa y Asia-Pacífico. Para las salas de datos virtuales que gestionan fusiones y adquisiciones, recaudación de fondos y diligencias reguladas, SOC 2 Tipo II es un requisito básico de adquisición, no un diferenciador.

Los cinco Criterios de Servicios de Confianza

Las auditorías SOC 2 se enmarcan en torno a cinco Criterios de Servicios de Confianza de AICPA. Cada auditoría SOC 2 incluye Seguridad (los Criterios Comunes); se añaden criterios adicionales según el alcance de la organización de servicios.

Seguridad. Protección contra el acceso no autorizado, divulgación, alteración y daño. Abarca controles de acceso, cifrado, seguridad de red, respuesta a incidentes y gestión de cambios. Requerida en cada auditoría SOC 2.

Disponibilidad. Disponibilidad del sistema para operación y uso según lo comprometido o acordado. Cubre tiempo de actividad, resiliencia, recuperación ante desastres y planificación de capacidad.

Integridad del procesamiento. El procesamiento del sistema es completo, válido, preciso, oportuno y autorizado. Relevante para sistemas que realizan cálculos o procesamiento automatizado (menos central para un VDR).

Confidencialidad. La información designada como confidencial está protegida. Abarca clasificación de datos, controles de acceso, retención y eliminación segura.

Privacidad. La información personal se recopila, usa, retiene, divulga y elimina de acuerdo con los Principios de Privacidad Generalmente Aceptados (GAPP) de AICPA. Se solapa con GDPR pero es un marco distinto.

Alcance de la auditoría SOC 2 Tipo II de Papermark

La auditoría SOC 2 Tipo II de Papermark cubre Seguridad (Criterios Comunes requeridos) más Disponibilidad y Confidencialidad. La Privacidad se aborda mediante controles alineados con GDPR documentados por separado en nuestro resumen de cumplimiento GDPR.

Controles de seguridad

Permisos de acceso granulares en una sala de datos de Papermark

  • Gestión de acceso: autenticación multifactor, controles de acceso basados en roles, tokens de API con alcance definido, revisiones periódicas de acceso.
  • Cifrado de datos: AES-256 en reposo en todos los documentos almacenados, metadatos y registros de auditoría; TLS 1.3 en tránsito para todas las comunicaciones cliente-servidor.
  • Seguridad de red: firewall de aplicaciones web, protección DDoS, limitación de velocidad, detección de intrusiones y monitoreo.
  • Seguridad de endpoints: políticas de dispositivos gestionados, detección y respuesta de endpoints (EDR) y autenticación segura para el acceso de empleados.
  • Seguridad física: centros de datos en la nube seguros (proveedores de infraestructura certificados SOC 2) con monitoreo 24/7, controles de acceso y medidas de protección ambiental.

Controles de disponibilidad

  • Tiempo de actividad: monitoreo operativo con SLA objetivo en los planes hospedados de Papermark.
  • Redundancia: copias de seguridad de bases de datos multirregión y redundancia a nivel de aplicación.
  • Recuperación ante desastres: procedimientos de DR documentados con objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO) probados anualmente.
  • Planificación de capacidad: escalado proactivo y monitoreo del rendimiento.

Controles de confidencialidad

  • Clasificación de datos: esquema de clasificación documentado para contenido cargado por clientes versus datos operativos de la plataforma.
  • Restricciones de acceso: datos confidenciales de clientes accesibles solo para sistemas y empleados autorizados bajo principio de necesidad de conocimiento.
  • Retención y eliminación: calendarios de retención documentados y procedimientos de eliminación segura alineados con los contratos de clientes.
  • Acuerdos de confidencialidad: NDAs y obligaciones de confidencialidad para empleados y contratistas.

Controles operacionales

  • Respuesta a incidentes: rotación de guardia 24/7, procedimientos de respuesta a incidentes documentados, flujos de notificación de brechas.
  • Gestión de cambios: ciclo de vida de desarrollo controlado (revisión basada en Git, despliegues en entorno de pruebas, aprobaciones de producción).
  • Gestión de proveedores: evaluaciones de seguridad para subprocesadores y proveedores externos.
  • Capacitación de empleados: formación en seguridad y privacidad para todo el personal con acceso a datos de clientes.

Por qué SOC 2 importa para las salas de datos virtuales

SOC 2 Tipo II es la certificación de cumplimiento más solicitada durante las evaluaciones de proveedores de VDR. Cuatro flujos de trabajo específicos dependen de ella.

Adquisiciones en industrias reguladas. Bancos, organizaciones de salud, seguros y entidades vinculadas al gobierno generalmente requieren SOC 2 Tipo II como línea base antes de contratar cualquier proveedor en la nube. Sin ella, el proveedor no supera el filtro de adquisición.

Diligencia debida de proveedores empresariales. Las grandes empresas que ejecutan procesos de gestión de riesgo de proveedores solicitan rutinariamente el informe SOC 2 Tipo II (bajo NDA) como parte de la incorporación. Esto es una práctica estándar de adquisición, no un requisito exigente.

Salas de datos para fusiones, adquisiciones y recaudación de fondos. Los LPs institucionales y adquirentes estratégicos preguntan cada vez más qué certificaciones de cumplimiento posee el proveedor de VDR de su objetivo. SOC 2 Tipo II es la respuesta que cierra la conversación.

Responsabilidad post-incidente. En caso de un incidente de seguridad, contar con un informe SOC 2 Tipo II vigente más un programa de monitoreo continuo reduce materialmente la responsabilidad y exposición regulatoria en comparación con no tener ninguna certificación.

SOC 2 Tipo II vs Tipo I: ¿cuál es la diferencia?

Un informe SOC 2 Tipo I evalúa si los controles están adecuadamente diseñados en un momento específico. Un informe SOC 2 Tipo II evalúa si los controles están adecuadamente diseñados y operan eficazmente durante un período de auditoría definido (generalmente 6-12 meses).

El Tipo I es más fácil de lograr pero más débil como certificación: confirma que los controles existen, no que funcionen de manera confiable a lo largo del tiempo. El Tipo II es la expectativa estándar de la industria para proveedores SaaS maduros que manejan datos sensibles de clientes. Papermark es auditado anualmente bajo SOC 2 Tipo II.

SOC 2 vs ISO 27001 vs GDPR vs HIPAA

Los marcos de cumplimiento no son intercambiables. La siguiente tabla compara los cuatro marcos más comunes para la adquisición de VDR.

MarcoAlcanceAuditoría/CertificaciónComún en
SOC 2 Type IICriterios de Servicios de Confianza de AICPAAuditoría anual, informe bajo NDACentrado en EE. UU., SaaS B2B
ISO 27001Sistema de gestión de seguridad de informaciónCertificación formal por organismo acreditadoEmpresas de la UE y globales
GDPRProtección de datos personales de la UECumplimiento legal, DPA, lista de subprocesadoresCualquier procesamiento de datos de residentes de la UE
HIPAAPHI de atención médica de EE. UU.BAA, programa de cumplimiento (sin certificación formal)Atención médica, biotecnología, dispositivos médicos

Muchos clientes empresariales solicitan múltiples marcos. Papermark mantiene el cumplimiento de SOC 2 Type II y GDPR como estándar, ofrece compatibilidad con ISO 27001 mediante implementación autohospedada en la infraestructura del cliente, y proporciona preparación para HIPAA a través de autohospedaje más BAA firmado en contratos empresariales.

Consulta los controles SOC 2 en el producto

El registro de auditoría de solo anexión captura cada visualización y descarga para el criterio de Confidencialidad de SOC 2:

Analíticas de documentos página por página

La marca de agua dinámica por sesión marca cada página con el correo electrónico del visualizador, IP y marca de tiempo:

Marca de agua dinámica en un documento de Papermark

Para consultar la lista actualizada de certificaciones, regiones de alojamiento, estándares de cifrado y el flujo de solicitud de NDA de SOC 2, visita la página de seguridad de Papermark.

Cómo obtener el informe SOC 2 Type II de Papermark

El informe SOC 2 Type II de Papermark está disponible para clientes empresariales y prospectos bajo NDA mutuo. Para solicitar el informe:

  1. Contacta a tu representante de cuenta de Papermark o envía un correo a security@papermark.com.
  2. Completa un NDA (se acepta NDA mutuo estándar o formulario proporcionado por el cliente).
  3. Recibe el informe SOC 2 Type II que cubre el período de auditoría actual.

El informe incluye la opinión del auditor independiente, descripción del sistema y sus controles, resultados de las pruebas de efectividad operativa y la declaración de la dirección.

Postura de cumplimiento de Papermark

Marco de trabajoEstado de Papermark
SOC 2 Type II✔️ Auditado anualmente
GDPR✔️ Conforme, DPA disponible
ISO 27001Mediante despliegue autoalojado en infraestructura del cliente
HIPAAMediante autoalojamiento + BAA firmado (plan empresarial)
CCPA✔️ Conforme
FDA 21 CFR Part 11Mediante despliegue autoalojado con exportación de registro de auditoría
Cifrado en reposoAES-256
Cifrado en tránsitoTLS 1.3
MFA✔️
Opción autoalojada✔️ (código abierto AGPL)

Comparte documentos seguros

No se requiere tarjeta de crédito

Análisis página por página
Requerir verificación de email
Requerir contraseña para ver
Permitir/Bloquear usuarios específicos
Aplicar marca de agua
Requerir NDA para ver
Mensaje de bienvenida personalizado

Preguntas frecuentes

Recursos relacionados

More useful articles from Papermark

¿Listo para crear tu sala de datos segura?