Certificados TLS de servidor
Tráfico web seguro a gran escala
Inventario de certificados
Descubrir y rastrear todos los certificados
Certificados DevOps
Automatizar para pipelines CI/CD
Cifrado de correo electrónico
S/MIME para correo electrónico empresarial
El marco de Control de Organización de Servicios de AICPA' que requiere una gestión demostrable del ciclo de vida de claves, políticas de rotación de certificados, uso de HSM y registro de auditoría integral durante un período prolongado.
SOC 2 Type II, desarrollado por la AICPA, evalúa los controles de una organización de servicios's durante un período prolongado (normalmente de 6 a 12 meses) contra cinco criterios de servicios de confianza: Seguridad, Disponibilidad, Integridad del procesamiento, Confidencialidad y Privacidad.
Para PKI, el Criterios de Seguridad y Confidencialidad son los más relevantes, exigiendo a las organizaciones demostrar una gestión robusta de claves criptográficas, políticas de rotación de certificados, controles de acceso y registros de auditoría exhaustivos. A diferencia del Tipo I (que evalúa el diseño en un momento dado), el Tipo II requiere evidencia de que los controles operaron eficazmente durante todo el período de auditoría.
Los informes SOC 2 son cada vez más requeridos por clientes empresariales que evalúan proveedores de SaaS y nube. Las organizaciones que pueden demostrar una gestión madura del ciclo de vida de los certificados y la gobernanza de claves obtienen una ventaja competitiva significativa en los procesos de adquisición.
Las organizaciones deben implementar controles de acceso lógicos y físicos, incluyendo autenticación basada en certificados, para restringir el acceso a sistemas y datos sensibles.
Datos transmitidos a través de redes deben estar cifrados usando TLS con certificados gestionados adecuadamente, requiriendo evidencia de rotación de certificados y gestión de configuración.
Los datos sensibles en reposo deben estar protegidos con cifrado fuerte, requiriendo prácticas adecuadas de gestión de claves, incluyendo almacenamiento seguro de claves y procedimientos de rotación.
Las organizaciones deben monitorear los sistemas en busca de anomalías y eventos de seguridad, incluyendo alertas de expiración de certificados, cambios no autorizados de certificados y anomalías en el uso de claves.
Todos los cambios en la infraestructura, incluidos los despliegues, rotaciones y revocaciones de certificados, deben seguir procedimientos documentados de gestión de cambios con registros de auditoría.
Los sistemas deben mantener la disponibilidad mediante redundancia y procedimientos de recuperación, incluidos los autoridades de certificación de respaldo y la conmutación por error automatizada para los servicios PKI.
La AICPA introduce el marco de informes SOC 2, estableciendo los Criterios de Servicios de Confianza para evaluar los controles de la organización de servicios.
Revisión importante de los Criterios de Servicios de Confianza, alineándose con COSO 2013 e introduciendo requisitos más granulares para los controles criptográficos.
La migración acelerada a la nube impulsa una adopción generalizada de SOC 2, con clientes empresariales que exigen cada vez más informes de todos los proveedores de servicios.
La guía actualizada enfatiza la gestión de claves criptográficas, la evidencia de rotación de certificados y la documentación del uso de HSM dentro del alcance de la auditoría.
Los auditores evalúan cada vez más la automatización del ciclo de vida de los certificados y la madurez de la gestión de claves como parte de las evaluaciones SOC 2 Tipo II.
Los auditores SOC 2 Tipo II evalúan los controles PKI no solo por su diseño, sino por su operación constante durante el período de auditoría. Aquí están las áreas críticas:
La gestión del ciclo de vida de la clave debe demostrarse durante todo el período de auditoría, con evidencia de generación, distribución, almacenamiento, rotación y destrucción adecuados de las claves criptográficas.
Los auditores requieren evidencia de que las políticas de rotación de certificados no solo estén documentadas, sino que se ejecuten de manera constante, con marcas de tiempo y registros de auditoría para cada evento de rotación.
Para el criterio de confidencialidad, los auditores evalúan el uso de HSM y los mecanismos de protección de claves, requiriendo documentación de las configuraciones del módulo de seguridad de hardware y los controles de acceso.
Cada operación de certificado — emisión, renovación, revocación y uso de claves — debe registrarse con rastros de auditoría inmutables que los auditores puedan revisar durante todo el período de evaluación.
Evidencia de auditoría continua — Horizon proporciona rastros de auditoría continuos e inmutables para todas las operaciones de certificados, proporcionando a los auditores la evidencia que necesitan para todo el período de evaluación.
Rotación automatizada con registro completo de auditoría — La rotación automatizada de certificados cumple los requisitos CC6.6 y CC6.7 con evidencia completa y con marca de tiempo de cada evento de rotación.
Aplicación de políticas a lo largo del tiempo — Demostrar la efectividad del control durante el período de auditoría con políticas de certificados aplicadas, verificaciones de cumplimiento automatizadas y seguimiento de excepciones.
Paneles listos para auditoría & informes — Paneles diseñados a medida e informes exportables diseñados para la revisión del auditor SOC 2, reduciendo el tiempo de preparación y la fricción de auditoría.
