Home Normas Sectores ✦ AI Assessment Get a Quote →
HomeNormas → SOC 2

SOC 2 Type I & II — Service Organisation Controls

The de facto security assurance standard for SaaS, cloud, and technology service providers serving US enterprise clients. BALTUM delivers SOC 2 readiness programmes and coordinates Type I and Type II audit delivery through AICPA-accredited CPA firms worldwide.

SOC 2 Type ISOC 2 Type IIAICPA TSCTrust Services Criteria

¿Qué es SOC 2?

SOC 2 (Controles de Sistemas y Organizaciones 2) es un estándar de auditoría desarrollado por el Instituto Americano de Contadores Públicos Certificados (AICPA). Evalúa los controles de una organización de servicios relevantes para los Criterios de Servicios de Confianza (TSC): Seguridad, Disponibilidad, Integridad del Procesamiento, Confidencialidad y Privacidad. La seguridad (Criterios Comunes) es obligatoria; los cuatro restantes son opcionales según el contexto empresarial.

SOC 2 Type I vs Type II

  • Type I — Point-in-time assessment confirming controls are suitably designed. Typical timeframe: 2–3 months. Useful as an interim report while pursuing Type II.
  • Type II — Assessment over an observation period (typically 6–12 months) confirming controls operated effectively throughout. Required by most enterprise and Fortune 500 procurement.

¿Quién necesita SOC 2?

  • SaaS and cloud software companies with US enterprise customers
  • Cloud infrastructure, hosting, and data centre providers
  • Managed security and IT service providers
  • HR, payroll, and benefits platform providers
  • Any technology vendor responding to enterprise security questionnaires

Trust Services Criteria — Common Criteria Overview

  • CC1 — Control Environment (governance, accountability)
  • CC2 — Communication and Information
  • CC3 — Risk Assessment
  • CC4 — Monitoring of Controls
  • CC5 — Control Activities (policies and procedures)
  • CC6 — Logical and Physical Acceso Controls
  • CC7 — System Operations (anomaly detection, incident response)
  • CC8 — Change Management
  • CC9 — Risk Mitigation

BALTUM SOC 2 Engagement

  • Readiness assessment against all applicable Trust Services Criteria
  • Gap register and remediation roadmap
  • Policy and procedure documentation aligned to TSC requirements
  • GRC platform implementation (Vanta, Drata, Sprinto, or similar)
  • CPA firm coordination for Type I and Type II audit delivery
  • Ongoing compliance maintenance and annual audit support

SOC 2 + ISO 27001 Integration

El marco de evidencias unificado de BALTUM mapea los Criterios de Servicios de Confianza de SOC 2 a los controles del Anexo A de ISO 27001:2022, permitiendo la certificación simultánea de SOC 2 + ISO 27001 con una única biblioteca de políticas, un único proceso de evaluación de riesgos y una reducción significativa de la duplicación de auditorías.