Lleva los insights a la acción: Bitwarden Access Intelligence ya está disponible Más información >

Recursos de Bitwarden

Logra el cumplimiento de contraseñas SOC 2 con Bitwarden

Las empresas que prestan servicios a otras organizaciones y buscan fortalecer su postura de seguridad de la información suelen completar una auditoría de Controles de Organización de Servicios 2 (SOC 2), con un enfoque cada vez mayor en cumplir con los requisitos de contraseñas. El proceso de certificación SOC 2 incluye demostrar controles adecuados de acceso a los sistemas para garantizar que los datos confidenciales permanezcan protegidos y seguros en todo momento. Los clientes y socios comerciales de proveedores de soluciones subcontratadas suelen solicitar informes SOC 2, lo que subraya la importancia del cumplimiento de SOC 2. Muchas empresas que buscan cumplir con SOC 2 aprovechan soluciones como un administrador de contraseñas compatible con SOC 2 para ayudar a cumplir con los requisitos.

Consulta el Centro de recursos para ver más guías sobre cómo lograr el cumplimiento de otros estándares de seguridad.

Resumen de los criterios de servicios de confianza de SOC 2

Los informes SOC 2 son relevantes para las organizaciones de servicios y se refieren a los controles relacionados con aspectos como la seguridad y la privacidad. El Instituto Estadounidense de Contadores Públicos Certificados (AICPA) presentó el informe de Control de Organización de Servicios o SOC 2 para ayudar a evaluar a las empresas de servicios, es decir, firmas financieras, proveedores de atención médica, proveedores de servicios en la nube y proveedores de SaaS, y su capacidad para mantener controles sólidos “relevantes para la seguridad, disponibilidad e integridad del procesamiento de los sistemas … para procesar los datos de los usuarios, así como la confidencialidad y privacidad de la información procesada por estos sistemas”. 

SOC 2 incluye dos tipos de informes:

  • Tipo 1: Informes sobre la descripción del sistema de una empresa y la idoneidad del diseño de sus controles.

  • Tipo 2: Informes sobre la descripción del sistema de una empresa y la idoneidad y eficacia operativa de sus controles.

Durante las auditorías SOC 2, se evalúan los controles de una organización de servicios para garantizar el cumplimiento del marco de seguridad. Ambos tipos de informes SOC 2 detallan cómo las empresas procesan los datos, pero SOC 2 Tipo 2 describe con mayor profundidad los controles de seguridad de datos implementados, incluida la gestión de credenciales. Ambos tipos de informes están restringidos a determinadas entidades (por ejemplo, clientes o auditores). Sin embargo, las empresas también pueden elaborar un informe SOC 3 disponible públicamente, que resume algunos de los criterios de seguridad de datos incluidos en el informe SOC 2.

Descripción general del proceso de certificación SOC 2

Las empresas que buscan la certificación SOC 2 deben aprobar una auditoría realizada por un representante acreditado de AICPA. Los cinco Criterios de Servicios de Confianza constituyen los componentes fundamentales del marco de cumplimiento de SOC 2, e incluyen Seguridad, Disponibilidad, Integridad del procesamiento, Confidencialidad y Privacidad. Desarrollados por primera vez en 2017 y actualizados por última vez a fines de 2022 para “reflejar un entorno de tecnologías, amenazas y vulnerabilidades en constante cambio … requisitos legales y regulatorios cambiantes y expectativas culturales relacionadas respecto de la privacidad”, y “abordar la gestión de datos, en particular cuando se relaciona con la confidencialidad”, los criterios son los siguientes:

  • Seguridad - La información y los sistemas están protegidos contra el acceso no autorizado, la divulgación no autorizada de información y los daños a los sistemas que podrían comprometer la disponibilidad, la integridad de los datos, la confidencialidad y la privacidad de la información o los sistemas, y afectar la capacidad de la entidad para lograr sus objetivos.

  • Disponibilidad - La información y los sistemas están disponibles para operar y se usan para cumplir los objetivos de la entidad.

  • Integridad del procesamiento - El procesamiento del sistema es completo, válido, preciso, oportuno y autorizado para cumplir los objetivos de la entidad.

  • Confidencialidad - La información designada como confidencial está protegida para cumplir los objetivos de la entidad.

  • Privacidad - La información personal se recopila, utiliza, conserva, divulga y elimina para cumplir los objetivos de la entidad.

Los controles internos desempeñan un papel crucial para garantizar el cumplimiento de los Criterios de Servicios de Confianza durante las auditorías.

Las empresas solo deben cumplir con los principios que les correspondan. Por ejemplo, el Principio de Disponibilidad suele aplicarse a empresas que ofrecen a sus clientes servicios de coubicación, centro de datos, basados en SaaS u hospedaje.

También te puede interesar:

El Principio de Seguridad: controles de seguridad de SOC 2 y requisitos de contraseñas

El Principio de Seguridad se aplica a la mayoría de las empresas que buscan cumplir con SOC 2 y se enfoca en proteger los datos de los clientes. La mayor parte de los requisitos del Principio de Seguridad se encuentra en la sección CC6 de los Criterios de Servicios de Confianza, que también detalla los requisitos de contraseñas de SOC 2. Las siguientes secciones demuestran cómo un administrador de contraseñas puede respaldar muchos requisitos clave.

Los controles SOC 2 son importantes para mitigar las filtraciones de datos y proteger la información confidencial.

Gestión de credenciales de infraestructura para proteger los datos de los clientes

“La entidad implementa software, infraestructura y arquitecturas de seguridad de acceso lógico sobre activos de información protegidos para protegerlos de eventos de seguridad y cumplir con los objetivos de la entidad”. - CC6.1 (Págs. 34-35)

Las empresas deben demostrar cómo gestionan las credenciales de infraestructura y software, incluida la eliminación del acceso cuando ya no es necesario o requerido. Con un administrador de contraseñas, los administradores pueden automatizar fácilmente el acceso, asignar roles y restringir a los usuarios al acceso de solo lectura para las credenciales del sistema. El control de acceso granular permite a los administradores ocultar credenciales para evitar que se copien contraseñas, semillas TOTP o campos personalizados.

Durante una auditoría SOC 2, un contador público certificado (CPA) acreditado evalúa el diseño y la efectividad operativa de los controles de una organización para garantizar que se ajusten a los estándares requeridos para proteger datos confidenciales.

Las empresas deben cifrar sus datos y proteger las claves de cifrado en todo momento. Con un administrador de contraseñas con cifrado de extremo a extremo y de conocimiento cero al 100 % que usa cifrado AES de 256 bits, las empresas protegen sus credenciales e información confidencial que puede compartirse entre empleados, como documentos financieros. Además, PBKDF2 SHA-256 refuerza la protección de las claves de cifrado al limitar la recuperación de claves únicamente al usuario que inicia sesión con su contraseña maestra.

Incorporación y baja de usuarios

“Antes de emitir credenciales del sistema y conceder acceso al sistema, la entidad registra y autoriza a nuevos usuarios internos y externos cuyo acceso es administrado por la entidad. En el caso de esos usuarios cuyo acceso es administrado por la entidad, las credenciales de usuario del sistema se eliminan cuando el acceso del usuario deja de estar autorizado”. - CC6.2 (Pág. 36)

Las empresas deben mostrar cómo registran y autentican a nuevos usuarios, incluidos los niveles de acceso. Con un administrador de contraseñas, los administradores pueden vincular su servicio de directorio (LDAP) para optimizar la incorporación y baja de usuarios. Los usuarios y grupos en el LDAP de tu empresa se sincronizan con la organización de tu administrador de contraseñas, replicando la misma estructura. Mejor aún, cada vez que se agrega un nuevo usuario al LDAP, también se crea en el administrador de contraseñas y, a la inversa, se elimina cuando se desaprovisiona del LDAP.

Las empresas deben autorizar el acceso a activos protegidos. Un administrador de contraseñas con inicio de sesión único permite que tu Identidad proveedor existente ofrezca autenticación para los usuarios del administrador de contraseñas. Los administradores pueden establecer políticas de contraseñas que exijan a los usuarios iniciar sesión mediante el método de inicio de sesión único para acceder a las credenciales.

Control de acceso granular

“La entidad autoriza, modifica o elimina el acceso a datos, software, funciones y otros activos de información protegidos en función de roles, responsabilidades o del diseño y los cambios del sistema, teniendo en cuenta los conceptos de privilegio mínimo y segregación de funciones, para cumplir con los objetivos de la entidad”. - CC6.3 (pág. 36)

Las empresas deben demostrar controles de acceso basados en roles (RBAC). Con un administrador de contraseñas, los administradores pueden establecer tipos de usuario y crear roles personalizados para asignar control granular y permisos de usuario para los componentes del administrador de contraseñas. Los controles de acceso basados en roles se pueden configurar para funciones como quién puede gestionar usuarios, acceder a registros de eventos o importar/exportar datos.

¿Quieres saber de qué otra manera impulsar la seguridad de tu empresa? Consulta Bitwarden Administrador de secretos para proteger los secretos de tus desarrolladores.

Explora Bitwarden para apoyar el cumplimiento de SOC 2 y los requisitos de contraseñas

Agregar un administrador de contraseñas, como Bitwarden, puede demostrar a los auditores SOC 2 el compromiso de los proveedores de servicios con la protección de los datos de los clientes. Bitwarden ofrece seguridad de nivel empresarial, realiza auditorías de seguridad periódicas de terceros y cumple con los principales estándares de privacidad y seguridad, incluido SOC 2. 

Bitwarden ayuda a las organizaciones de servicios a cumplir con los requisitos de cumplimiento de SOC 2 al garantizar que existan controles eficaces para proteger los datos.

Aprovecha una prueba Enterprise gratuita con acceso completo para ver cómo Bitwarden puede ayudar a los proveedores de servicios a prepararse para una auditoría de seguridad SOC 2 y cumplir con los requisitos de contraseñas de SOC 2.

Leer más:

Obtén ahora una seguridad de contraseñas potente y confiable. Elige tu plan.

Equipos

Protección resistente para equipos en crecimiento

$4
por mes/por usuario facturado anualmente
Comenzar prueba gratuita
Sin concesionesComparta datos sensibles de manera segura con compañeros de trabajo, entre departamentos o con toda la empresa.
  • Comparte credenciales de forma segura
  • Seguimiento de actividad con registros de eventos
  • Sincronice su directorio existente
  • Automatizar el aprovisionamiento con SCIM
Incluye funcionalidades premium para todos los usuarios

Empresa

Funciones avanzadas para grandes organizaciones

$6
por mes/por usuario facturado anualmente
Comenzar prueba gratuita
Máxima protecciónUtilice funcionalidades avanzadas como las políticas de empresa, el SSO sin contraseña y la recuperación de cuentas.
  • Control de acceso granular
  • Integración de SSO sin contraseña
  • Fácil recuperación de cuenta
  • Flexibilidad para auto hospedarse
  • Corrección de riesgos de Access Intelligencenuevo
  • Plan familiar gratuito para todos los usuarios
Incluye funcionalidades premium y un plan familiar gratuito para todos los usuarios

Habla con Ventas

Para empresas con cientos o miles de empleados, póngase en contacto con ventas para obtener un presupuesto personalizado y ver cómo Bitwarden puede:

  • Reducir el riesgo de ciberseguridad
  • Aumentar la productividad
  • Integrarse perfectamente
Bitwarden se adapta a empresas de cualquier tamaño para garantizar la seguridad de las contraseñas en su organización.
Habla con Ventas

Los precios se indican en USD y se basan en una suscripción anual. Impuestos no incluidos.