El informe de controles de organización y servicio (SOC) 1 se basa en el SSAE 18 de la Junta de Normas de Auditoría del Instituto Estadounidense de Contadores Públicos Certificados (AICPA), que evalúa los controles internos de la organización de servicios relevantes para la presentación de informes financieros. Este informe es beneficioso para las organizaciones que dependen de los servicios de Google Cloud para respaldar su proceso de elaboración de informes financieros.
¿Buscas informes SOC 1 de Google Cloud y Google Workspace? Los clientes pueden solicitar los informes cuando lo deseen a través del Administrador de informes de cumplimiento.
Google Cloud se somete a auditorías externas periódicas de nuestros productos, sistemas y la infraestructura relacionada con este estándar. Los informes SOC 1 los genera un tercero objetivo que valida un conjunto de afirmaciones que realizó Google Cloud sobre sus controles. La evaluación de la firma de auditoría incluye pruebas exhaustivas del diseño y la eficacia operativa de los controles durante el período de auditoría.
Los clientes pueden usar el informe SOC 1 para evaluar los riesgos que surgen de las interacciones con los servicios evaluados de Google Cloud y Google Workspace durante el período.
Los informes principales de Google Cloud y Google Workspace SOC 1 de tipo II se emiten semestralmente y se pueden descargar a través del Administrador de informes de cumplimiento. Los períodos de cobertura y las fechas de emisión de estos informes son las siguientes:
Emitimos informes SOC 1 Tipo II separados para un subconjunto pequeño de productos de Google Cloud, incluidos AppSheet, Copia de seguridad y Recuperación ante desastres, Google Cloud VMware Engine, solución Bare Metal, Google Security Operations SOAR y Looker (Google Cloud core). Estos informes se emiten anualmente y los clientes pueden obtenerlos comunicándose con ventas o asistencia.
Las cartas de puente son certificaciones realizadas por la administración del proveedor de servicios (en este caso, Google Cloud) y están diseñadas para "cerrar" la brecha entre la fecha de finalización del informe del SOC y la del período del cliente. Las cartas de puente resumen los problemas o cambios materiales identificados en el entorno de control interno después de la fecha de finalización del período del informe de SOC más reciente. Las cartas de puente solo están disponibles para los informes de SOC 1 y SOC 2.
Google Cloud crea cartas de puente mensuales con cada carta diseñada para cubrir el período desde el informe SOC más reciente. Por ejemplo, Google Cloud emite una carta de puente a principios de enero para cubrir el período de revisión del 1 de noviembre al 31 de diciembre, lo que extiende el período de cobertura del informe del SOC emitido anteriormente con una fecha de finalización del período del 31 de octubre.
Las cartas de transición de SOC para los informes principales de Google Cloud y Google Workspace SOC 1 están disponibles en el Administrador de informes de cumplimiento para los períodos que finalizan el 31 de marzo, el 30 de junio, el 30 de septiembre y el 31 de diciembre, y se pueden descargar directamente. Si se requiere una carta de puente que cubra una fecha de finalización de un período o un alcance de producto diferente, comunícate con Ventas o Asistencia.
Los auditores independientes de Google Cloud son Ernst & Young LLP y Coalfire.
El informe SOC 1 tipo I abarca el diseño de los controles de la organización de servicios en un momento específico. Un informe SOC 1 de tipo II abarca el diseño y la eficacia operativa de los controles de la organización de servicios durante un período. Por ejemplo, un SOC 1 tipo I puede evaluar los controles de la organización de servicios a partir de hoy, pero un SOC 1 tipo II evalúa los controles de la organización de servicios en los últimos seis meses. Google Cloud solo emite informes SOC 1 de tipo II.
A continuación, se muestran los servicios de Google Cloud que están dentro del alcance de SOC 1.
Los servicios con nombres nuevos incluyen, además, su nombre anterior entre paréntesis.
Contenedor de aprendizaje profundo de AI Platform
Neural Architecture Search (NAS) de AI Platform
AI Platform Training and Prediction
IA para la prevención del lavado de dinero (AML)
Servicio de transferencia de datos de BigQuery
Cloud External Key Manager (Cloud EKM)
Cloud Hardware Security Module (HSM)
Intrusion Detection System (IDS) de Cloud
Cloud Key Management Service (KMS)
Cloud Life Sciences (antes Google Genomics)
Cloud NAT (Traducción de direcciones de red)
Cloud Run (completamente administrado)
Red privada virtual (VPN) de Cloud
IA generativa en Vertex AI (antes Compatibilidad con la IA generativa en Vertex AI)
Administrador de Config de GKE Enterprise
Google Cloud Identity-Aware Proxy
Google Cloud VMware Engine (GCVE)
Identity & Access Management (IAM)
Key Access Justifications (KAJ)
Managed Service for Microsoft Active Directory (AD)
Migrate to Virtual Machines (antes Migrate for Compute Engine)
Notebooks (antes AI Platform Notebooks)
Sensitive Data Protection (incluida Cloud Data Loss Prevention)
Servicio de transferencia de almacenamiento
Threat Intelligence para Google Security Operations
Vertex AI Conversation (antes Generative AI App Builder)
Vertex AI Search (antes Gen App Builder - Enterprise Search)
Comienza a desarrollar en Google Cloud con el crédito gratis de $300 y los más de 20 productos del nivel Siempre gratuito.