Cronograma SOC 2 Type II
Publicamos una hoja de ruta abierta hacia SOC 2 Type II para que los clientes puedan planificar sus compras alrededor de ella. Hitos honestos, sin teatro de cumplimiento — el Type II requiere un periodo de observación real de 6 meses, no una auditoría de un día.
Hitos
2026-Q1
Preparación de la arquitectura
AWS multi-AZ + AES-256 en reposo + TLS 1.2+ + Secrets Manager + IAM con privilegios mínimos. Todos los controles fundamentales ya en producción.
2026-Q2
Arquitectura preparada para GDPR
Auditoría de privacidad olas 1 a 4 completadas: minimización de datos, flujos de derecho al olvido, gestión de consentimientos y tratamiento biométrico bajo el artículo 9(2)(a).
2026-Q3
Logs de auditoría y respuesta a incidentes
Registro de auditoría centralizado (retención de 1 a 3 años según el plan), runbook de respuesta a incidentes, rotación on-call y protocolo de notificación de brechas.
2026-Q4
Selección de auditor — Vanta + A-LIGN
Seleccionamos Vanta para la automatización de cumplimiento (recogida continua de evidencias desde AWS, Stripe, Okta, GitHub, SES) y A-LIGN como auditora. SVDY se suma al mismo stack que usan Linear, Ramp, ClickUp y Loom.
2026-Q4
Evaluación de preparación
Análisis de brechas guiado por Vanta y revisión humana de A-LIGN. Cubre políticas, controles de acceso, gestión de cambios, gestión de proveedores y cifrado, e identifica cualquier brecha pendiente antes del periodo de observación de 6 meses.
2027-Q1
Inicio del periodo de auditoría
Empieza la ventana de observación de 6 meses. Recogida continua de evidencias — efectividad operativa de los controles a lo largo del tiempo, no en un único punto.
2027-Q2
Cierre del periodo de auditoría
El auditor finaliza la revisión de evidencias. Entrevista de cierre y respuesta de la dirección. Comienza la redacción del informe.
2027-Q3
Emisión del informe SOC 2 Type II
Informe final disponible para clientes bajo NDA. Comienza la cadencia de re-auditoría anual; el informe se renueva cada año con un nuevo periodo de observación Type II.
Selección de proveedores
Elegimos herramientas estándar del sector en vez de construir un pipeline de cumplimiento a medida. En la fase preclientes, esto cambia ~25 000 USD/año por tiempo de ingeniería que dedicamos a producto.
Vanta — plataforma de automatización de cumplimiento
Recogida continua de evidencias desde AWS, Stripe, Okta, GitHub y SES. Más de 1500 clientes, incluidos Linear, Ramp, ClickUp y Loom. Módulos SOC 2 + GDPR + ISO 27001 + HIPAA en una sola plataforma.
A-LIGN — firma auditora
El partner auditor más grande de Vanta; alrededor del 40% de los informes SOC 2 Type II generados con Vanta pasan por A-LIGN. Especialidad en SaaS para PYMES. Precio intermedio y alrededor de 3 semanas para entregar el informe tras cerrar el periodo de auditoría.
Por qué Type II y no Type I
El SOC 2 Type I certifica que los controles existían en un momento puntual; el Type II certifica que han funcionado de forma efectiva durante un periodo (habitualmente 6 meses). Los equipos de IT enterprise descartan el Type I — es prácticamente una foto fija. El Type II es el que realmente piden.
Saltamos el Type I y vamos directos al Type II para evitar la trampa del "hito inútil". Esto añade unos 6 meses al cronograma, pero genera un informe que los clientes sí utilizan.
¿Necesitas completar un cuestionario de seguridad hoy?
Hasta que el SOC 2 Type II se publique en Q3 2027, ofrecemos:
• Respuestas CAIQ-Lite a la matriz estándar CSA Cloud Controls Matrix.
• Respuestas personalizadas a cuestionarios específicos de cada proveedor (importaciones desde Vanta, Drata o SecurityScorecard — habitualmente 3 días hábiles).
• Diagramas de arquitectura y descripciones de flujo de datos firmados por el equipo de ingeniería.
