ES Español FR Français DE Deutsch IT Italiano ZH 中文 JA 日本語 PT Português AR العربية
← Workspace

📄 Documento 26 de 95

SOC 2 — Readiness Package

Plan ejecutable de preparación SOC 2 Type 1 → Type 2 para Lawra, S.R.L. Inventario de controles, políticas requeridas, vendor selection, timeline, presupuesto.

⚠️ Documento interno. Borrador para revisión legal por abogado dominicano colegiado antes de notarización.

SOC 2 Readiness — Plan de Implementación

Documento operativo que traduce el plan estratégico de resources/move-6-soc2-dpa.md en un programa ejecutable de preparación para SOC 2. Necesario para que Lawra pueda entrar en la conversación con clientes Big Law / Fortune 500 / regulados.

1. Por qué SOC 2

1.1. SOC 2 es el estándar más demandado por clientes B2B en EE.UU. y, crecientemente, en LatAm. Sin SOC 2 (al menos Type 1), el techo enterprise está limitado a solos + small firms.

1.2. Diferenciación con ISO 27001: SOC 2 está más enfocado en SaaS y servicios cloud; ISO 27001 es un estándar más amplio de gestión de seguridad. Recomendado: SOC 2 primero, ISO 27001 después si la base de clientes lo justifica (~70% de controles compartidos).

1.3. — Type 1 vs Type 2: Type 1 audita el diseño de controles en un punto en el tiempo; Type 2 audita la operación de controles durante un período (mínimo 3 meses, típicamente 12). Estrategia recomendada: Type 1 primero (más rápido, ~3 meses); 9–12 meses después, Type 2.

2. Trust Services Criteria — Alcance del Audit

CriterioAplicaRazón
Security✅ ObligatorioBase de SOC 2
Availability✅ RecomendadoClientes enterprise lo esperan; ya damos SLA
Confidentiality✅ RecomendadoDatos legales son confidenciales
Processing Integrity🟡 Opcional Phase 2Para AI Suite avanzado donde la integridad del processing es central
Privacy🟡 Opcional Phase 2Cubierto sustancialmente por GDPR/Ley 172-13; redundante en R.D.

Recomendación: Type 1 con Security + Availability + Confidentiality en Q4 2026.

3. Vendor / Tooling

FunciónOpcionesRecomendación
Compliance automationVanta · Drata · Secureframe · SprintoVanta (más maduro, mejor integración con Firebase / GitHub / Google Workspace)
Monthly cost$300 – $700/mo~$400/mo
Onboarding30–60 díasAsumir 45 días
Auditor (CPA firm)Big 4 (Deloitte, EY, KPMG, PwC) · Mid-market (BPM, A-LIGN, Schellman, Prescient Assurance) · BoutiqueA-LIGN o Prescient Assurance (especializadas en startups)
Type 1 audit cost$8K – $15K$10–12K presupuesto
Type 2 audit cost (anual)$15K – $30K$20K presupuesto
Penetration test$5K – $15K (anual)$8K presupuesto

Costo total Year 1: ~$25K (~RD$ 1.5M) cubriendo: Vanta + Type 1 + pentest.

4. Políticas Requeridas

SOC 2 exige documentación formal. Vanta/Drata proveen plantillas, pero requieren personalización.

#PolíticaComplejidadEstado actual
1Information Security PolicyMedia🔴 Pendiente
2Access Control PolicyMedia🔴 Pendiente
3Incident Response PlanAlta🔴 Pendiente
4Business Continuity / Disaster Recovery PlanAlta🔴 Pendiente
5Vendor Management PolicyMedia🟡 Parcial (Anexo 1 del DPA)
6Acceptable Use Policy (AUP)Baja🟡 Borrador en Sprint 4 (aup)
7Data Classification + Handling PolicyMedia🟡 Parcial (Política Datos + DPA)
8Secure SDLC PolicyAlta🔴 Pendiente
9Change Management PolicyMedia🔴 Pendiente
10Backup & Recovery PolicyMedia🔴 Pendiente
11Encryption PolicyBaja🔴 Pendiente
12Password Policy / MFA PolicyBaja🔴 Pendiente
13Background Check Policy (empleados)Baja🔴 Pendiente
14Onboarding / Offboarding PolicyMedia🔴 Pendiente
15Risk Assessment PolicyAlta🔴 Pendiente
16Information Security Awareness Training PolicyBaja🔴 Pendiente

5. Controles Técnicos Requeridos

#ControlEstado actualAcción
1MFA enforcement en todas las cuentas administrativas✅ Google / Firebase soportanActivar para cuentas internas; documentar
2HTTPS / TLS 1.2+ en todo el sitioDocumentar
3Cifrado en reposo (Firestore: AES-256 por defecto)Documentar
4Audit logs de accesos a Datos Personales🟡 Firestore audit logs disponiblesActivar y configurar retención de 12 meses
5Backups verificados periódicamente🟡 Firebase backups automáticosDocumentar proceso de restauración + test trimestral
6Vulnerability scanning (dependencias)🟡 Dependabot en GitHubActivar + revisión mensual documentada
7Penetration testing anual🔴 No realizadoContratar Q2 2026
8Endpoint security en laptops del equipo🔴 Sin políticaAdoptar (CrowdStrike / SentinelOne / Microsoft Defender for Business)
9Inventory de assets🔴 Sin sistemaVanta lo provee automáticamente
10Vendor security questionnaires🔴 Sin procesoImplementar para nuevos vendors
11Background checks en empleados🔴 N/A (sin empleados aún)Adoptar antes del primer empleado
12Tabletop exercise de incident response🔴 No realizadoAnual (mínimo)
13Onboarding/offboarding workflows🔴 Sin proceso formalImplementar antes del primer empleado
14Data Loss Prevention (DLP)🔴 Sin sistemaConsiderar Google Workspace DLP rules
15Secrets management🟡 Variables de entorno + GCP Secret ManagerDocumentar; rotación trimestral

6. Sub-procesadores — Lista pública

Requerido por SOC 2 + GDPR Art. 28. Mantener actualizado en lawra.io/legal/sub-processors/.

Sub-procesadorFunciónJurisdicciónCobertura cumplimientoDPA firmado
Google LLC (Firebase, Cloud, Gemini)Auth, DB, AI, hosting fallbackEE.UU.SOC 2, ISO 27001, ISO 27017, ISO 27018, HIPAA-eligible✅ Estándar Google
Anthropic, PBCInferencia de IA (cuando integrado)EE.UU.SOC 2 Type 2🔴 Por firmar
GitHub, Inc. (Microsoft)Hosting estáticoEE.UU.SOC 1, SOC 2, ISO 27001✅ ToS Microsoft
Cloudflare, Inc. (cuando aplique)CDNGlobalSOC 2, ISO 27001🔴 Por firmar si aplica
Resend / SendGrid (newsletter)Email transaccionalEE.UU.SOC 2🔴 Por firmar cuando se adopte
OpenAI (cuando integrado)Inferencia de IAEE.UU.SOC 2 Type 2🔴 Por firmar

7. Roadmap

SemanaHitoResponsable
0Decisión de iniciar SOC 2 + presupuesto aprobadoAsamblea
1Contratación Vanta + onboarding técnicoGerente / CTO
2Vanta scan inicial — surface gapsVanta
3–4Redacción de políticas (con ayuda de plantillas Vanta)Gerente + abogado
5–6Implementación de controles técnicos faltantes (MFA, audit logs, DLP, etc.)Eng
7Adopción formal de políticas por la Asamblea (acta complementaria)Asamblea
8Capacitación interna de empleados / contratistasGerente
9Selección y contratación del auditor CPAGerente
10Pre-audit readiness review con Vanta + auditorVanta + auditor
11–12Audit fieldwork (Type 1)Auditor
13Type 1 report emitidoAuditor
13Publicar /about/security/soc2/ con cert details + report (bajo NDA)Gerente
+9 mesesRecolección continua de evidencia para Type 2Vanta automatiza
+12 mesesAudit Type 2Auditor
+15 mesesType 2 report emitidoAuditor
+15 mesesISO 27001 si justifica (reuso ~70% controles)Decisión Asamblea

8. Comunicación Pública

8.1. Mientras se trabaja hacia Type 1, publicar en /about/security/:

SOC 2 Type 1 in progress (target Q4 2026). DPA, sub-processor list, and incident response plan published. Customer-grade security from solo to enterprise — without enterprise procurement friction.”

8.2. Tras Type 1: enlazar el certificado y proveer el report bajo NDA estándar (NDA bilateral existente).

8.3. Trust center page con: SOC 2 status · Sub-processor list · DPA template · Privacy policy · Cookie policy · Security contact · Bug bounty (cuando se adopte).

9. Decisión Pendiente

Decisión que requiere aprobación de la Asamblea:

  • ¿Iniciar SOC 2 ahora? Costo Year 1: ~$25K. Ventaja: desbloquea pipeline enterprise. Riesgo: distracción si pre-revenue. Recomendación: iniciar cuando exista al menos un prospect enterprise concreto o cuando la Asamblea apruebe el budget como inversión proactiva.

Nota: Este documento es operativo, no jurídico. Las plantillas de políticas se adaptarán según el output de Vanta + revisión legal. La adopción formal por la Asamblea consta en el Libro de Actas.

Comments

Loading comments...

0/2000 Comments are moderated before appearing.
Ctrl+K

No results found