Saltar al contenido principal
SVDY Logo
Centro de confianza

/

Previsto Q1 2027

Cronograma SOC 2 Type II

Publicamos una hoja de ruta abierta hacia SOC 2 Type II para que los clientes puedan planificar sus compras alrededor de ella. Hitos honestos, sin teatro de cumplimiento — el Type II requiere un periodo de observación real de 6 meses, no una auditoría de un día.

Hitos

2026-Q1

Completado

Preparación de la arquitectura

AWS multi-AZ + AES-256 en reposo + TLS 1.2+ + Secrets Manager + IAM con privilegios mínimos. Todos los controles fundamentales ya en producción.

2026-Q2

Completado

Arquitectura preparada para GDPR

Auditoría de privacidad olas 1 a 4 completadas: minimización de datos, flujos de derecho al olvido, gestión de consentimientos y tratamiento biométrico bajo el artículo 9(2)(a).

2026-Q3

En progreso

Logs de auditoría y respuesta a incidentes

Registro de auditoría centralizado (retención de 1 a 3 años según el plan), runbook de respuesta a incidentes, rotación on-call y protocolo de notificación de brechas.

2026-Q4

En progreso

Selección de auditor — Vanta + A-LIGN

Seleccionamos Vanta para la automatización de cumplimiento (recogida continua de evidencias desde AWS, Stripe, Okta, GitHub, SES) y A-LIGN como auditora. SVDY se suma al mismo stack que usan Linear, Ramp, ClickUp y Loom.

2026-Q4

Planificado

Evaluación de preparación

Análisis de brechas guiado por Vanta y revisión humana de A-LIGN. Cubre políticas, controles de acceso, gestión de cambios, gestión de proveedores y cifrado, e identifica cualquier brecha pendiente antes del periodo de observación de 6 meses.

2027-Q1

Planificado

Inicio del periodo de auditoría

Empieza la ventana de observación de 6 meses. Recogida continua de evidencias — efectividad operativa de los controles a lo largo del tiempo, no en un único punto.

2027-Q2

Planificado

Cierre del periodo de auditoría

El auditor finaliza la revisión de evidencias. Entrevista de cierre y respuesta de la dirección. Comienza la redacción del informe.

2027-Q3

Planificado

Emisión del informe SOC 2 Type II

Informe final disponible para clientes bajo NDA. Comienza la cadencia de re-auditoría anual; el informe se renueva cada año con un nuevo periodo de observación Type II.

Selección de proveedores

Elegimos herramientas estándar del sector en vez de construir un pipeline de cumplimiento a medida. En la fase preclientes, esto cambia ~25 000 USD/año por tiempo de ingeniería que dedicamos a producto.

Vanta — plataforma de automatización de cumplimiento

Recogida continua de evidencias desde AWS, Stripe, Okta, GitHub y SES. Más de 1500 clientes, incluidos Linear, Ramp, ClickUp y Loom. Módulos SOC 2 + GDPR + ISO 27001 + HIPAA en una sola plataforma.

A-LIGN — firma auditora

El partner auditor más grande de Vanta; alrededor del 40% de los informes SOC 2 Type II generados con Vanta pasan por A-LIGN. Especialidad en SaaS para PYMES. Precio intermedio y alrededor de 3 semanas para entregar el informe tras cerrar el periodo de auditoría.

Por qué Type II y no Type I

El SOC 2 Type I certifica que los controles existían en un momento puntual; el Type II certifica que han funcionado de forma efectiva durante un periodo (habitualmente 6 meses). Los equipos de IT enterprise descartan el Type I — es prácticamente una foto fija. El Type II es el que realmente piden.

Saltamos el Type I y vamos directos al Type II para evitar la trampa del "hito inútil". Esto añade unos 6 meses al cronograma, pero genera un informe que los clientes sí utilizan.

¿Necesitas completar un cuestionario de seguridad hoy?

Hasta que el SOC 2 Type II se publique en Q3 2027, ofrecemos:

Respuestas CAIQ-Lite a la matriz estándar CSA Cloud Controls Matrix.

Respuestas personalizadas a cuestionarios específicos de cada proveedor (importaciones desde Vanta, Drata o SecurityScorecard — habitualmente 3 días hábiles).

Diagramas de arquitectura y descripciones de flujo de datos firmados por el equipo de ingeniería.

Escribe a security@svdy.com