SOC 2 — ¿Estás listo para auditar?

¿Tenés política de seguridad de la información formalmente documentada y comunicada al staff?

ISMS / SOC 2 CC1.1

¿Existe un programa de gestión de riesgos con assessments periódicos?

CC3.x

¿Implementaste control de acceso basado en roles (RBAC) en todos los sistemas críticos?

CC6.1

¿Tenés MFA / 2FA habilitado para accesos privilegiados y cuentas admin?

CC6.6

¿Tenés un programa de awareness/training de seguridad para empleados al menos anual?

CC1.4

¿Hay monitoreo continuo de superficie de ataque externa (EASM)?

CC7.1

¿Tenés respuesta a incidentes documentada con roles, escalación, postmortem?

CC7.4

¿Patcheás vulnerabilidades críticas en SLA <= 14 días desde detección?

CC7.1

¿Tenés vendor risk management (TPRM) con assessments de proveedores críticos?

CC9.2

¿Logging centralizado de eventos de seguridad con retención >= 1 año?

CC7.2

¿Tenés SLA público de uptime para tus servicios productivos?

A1.1

¿Estrategia de backup probada con RTO/RPO documentados?

A1.2

¿Plan de Disaster Recovery (DRP) testeado al menos anual?

A1.3

¿Monitoreo de availability con alertas automatizadas?

A1.2

¿Tenés controles de input validation en aplicaciones cliente-facing?

PI1.x

¿Audit logs de cambios a datos críticos (quién, qué, cuándo)?

PI1.5

¿Reconciliación de datos entre sistemas con detección de inconsistencias?

PI1.5

¿Clasificación de datos formal (público / interno / confidencial / restringido)?

C1.1

¿Encryption at-rest (AES-256+) para datos confidenciales?

C1.1

¿Encryption in-transit (TLS 1.2+) para TODO tráfico externo?

C1.1

¿NDAs firmados con todos los empleados + contractors antes de acceso a datos?

C1.2

¿Tenés política de privacidad pública + DPA disponible para clientes?

P1.x

¿Programa de data subject rights (acceso, rectificación, eliminación)?

P5.x

¿Data retention policies documentadas + cronjobs de purge automático?

P4.x