Cómo Cumplir con SOC 2 CC6 Controles de Acceso Privilegiado — Una Guía Práctica
La preparación de SOC 2 Type II es una maratón. La mayoría de las organizaciones superan la documentación de políticas, los cuestionarios de riesgo de proveedores y los diagramas de segmentación de red sin demasiado dolor. Entonces llegan a CC6 — Controles de Acceso Lógico y Físico — y la auditoría se vuelve difícil.
CC6 es donde los auditores pasan más tiempo y donde las empresas reciben excepciones con más frecuencia. Cubre quién tiene acceso a sus sistemas, cómo se controla ese acceso, cómo se monitorea y cómo se revisa. Si su respuesta de gestión de acceso privilegiado es "usamos VPN más RDP con credenciales de administrador compartidas", no va a pasar.
Aquí está exactamente qué requiere CC6, qué preguntan los auditores y cómo producir la evidencia.
CC6.1, CC6.2, CC6.3, CC6.6 — Lo Que Cada Uno Requiere en Lenguaje Simple
CC6.1 — Seguridad de Acceso Lógico
El requisito: el acceso lógico a sus sistemas, infraestructura y datos está restringido a usuarios autorizados.
En la práctica, esto significa:
- Todo usuario que accede a un sistema de producción tiene una razón documentada para ese acceso
- El acceso se aprovisiona a través de un proceso definido (no de forma ad hoc)
- El acceso se elimina rápidamente cuando un usuario se va o cambia de rol
- El acceso privilegiado (administrador, root, DBA) se rastrea por separado y se mantiene en un estándar más alto
La evidencia que los auditores quieren: un inventario completo de quién tiene acceso privilegiado a qué, cómo se aprovisionó y cuándo se revisó por última vez.
CC6.2 — Identificación y Autenticación
El requisito: los usuarios se autentican antes de acceder a sistemas, y la autenticación es suficientemente fuerte para la sensibilidad del recurso.
En la práctica, esto significa:
- MFA es requerido en todas las cuentas con acceso privilegiado
- Las contraseñas cumplen con requisitos de complejidad y rotación
- Las cuentas compartidas (administrador compartido, root compartido) se eliminan o controlan estrictamente
- Las cuentas de servicio se inventarían y se revisa el acceso
La evidencia que los auditores quieren: capturas de pantalla de inscripción en MFA, exportaciones de inventario de cuentas, evidencia de que las cuentas de administrador compartidas se han eliminado o tienen controles compensatorios.
CC6.3 — Eliminación de Acceso
El requisito: el acceso se elimina cuando ya no es necesario (terminación, cambio de rol, fin de proyecto).
En la práctica, esto significa:
- Tiene un proceso de offboarding documentado que incluye la revocación del acceso privilegiado
- La revocación del acceso ocurre dentro de un período de tiempo definido (24-48 horas para acceso de producción)
- Puede demostrar que los usuarios terminados ya no tienen sesiones activas o credenciales
La evidencia que los auditores quieren: tickets de offboarding mostrando pasos de revocación de acceso, capturas de pantalla antes y después de derechos de acceso.
CC6.6 — Restricciones de Acceso Lógico
El requisito: la transmisión de datos está cifrada y se han implementado restricciones de acceso lógico para prevenir acceso no autorizado.
En la práctica, esto significa:
- Todas las conexiones administrativas están cifradas en tránsito
- El acceso a sistemas sensibles está restringido a puntos finales o redes autorizados
- La actividad de sesión se monitorea y se registra
La evidencia que los auditores quieren: diagramas de red mostrando canales cifrados, registros de sesión mostrando actividad administrativa.
Lo Que los Auditores Realmente Preguntan
Cuando un auditor de SOC 2 examina CC6, generalmente solicita la siguiente evidencia:
Para CC6.1 (inventario de acceso):
- Hoja de cálculo o exportación del sistema mostrando todos los usuarios con acceso privilegiado, los sistemas a los que pueden acceder y la justificación comercial
- Evidencia de que el acceso fue aprobado (correo electrónico, ticket, captura de pantalla de flujo de aprobación)
- Registros de revisión de acceso mostrando recertificación trimestral o anual
Para CC6.2 (autenticación):
- Captura de pantalla de inscripción en MFA para cuentas administrativas
- Documentación de política de contraseña y evidencia de que se aplica
- Lista de cuentas de servicio y evidencia de inventario
Para CC6.3 (eliminación de acceso):
- Tickets de offboarding de muestra (típicamente 3-5 ejemplos del período de auditoría)
- Evidencia de que el acceso privilegiado se revocó dentro del SLA
- Registros de integración del sistema de RR. HH. o verificación manual
Para CC6.6 (monitoreo de sesión):
- Registros de sesión mostrando actividad administrativa (quién inició sesión, cuándo, en qué sistema, qué hicieron)
- Evidencia de que las sesiones se registran
- Diagrama de red mostrando cifrado en tránsito
La evidencia debe cubrir todo el período de auditoría (típicamente 12 meses para una auditoría Type II). Los auditores tomarán muestras de eventos durante ese período — no puede confiar en evidencia de las últimas dos semanas antes del trabajo de campo de auditoría.
Fallas Comunes en CC6 y Cómo Evitarlas
Credenciales de administrador compartidas El hallazgo más común en CC6. "Usamos la cuenta de administrador compartida porque algunos sistemas no admiten cuentas individuales" no es un control aceptable. VaultPAM resuelve esto: los usuarios se conectan a través de sesiones intermediadas sin recibir la credencial. La bóveda mantiene la contraseña; los registros de auditoría muestran exactamente qué usuario inició cada sesión.
MFA no aplicado en todas las cuentas privilegiadas Las organizaciones a menudo tienen MFA en su correo corporativo pero no en el acceso directo al servidor (RDP, SSH). Los auditores verifican esto específicamente. Toda sesión privilegiada debe requerir MFA.
Sin evidencia de revisión de acceso Muchas organizaciones realizan revisiones de acceso informalmente. Los auditores quieren evidencia documentada: quién revisó, qué se revisó, cuándo y qué acciones se tomaron. "Hicimos una revisión en Q3" sin un ticket, hoja de cálculo o informe no es evidencia.
Acceso no revocado rápidamente La brecha entre que un empleado se va y que su acceso se revoca es un hallazgo recurrente. Si su proceso de offboarding toma una semana y el acceso privilegiado está incluido en la misma cola, tiene un problema en CC6.3.
Registros de sesión que están incompletos o inaccesibles Retener registros de sesión es solo la mitad de la respuesta. Los auditores quieren ver que puede recuperar eventos específicos y que los registros están completos y resistentes a la manipulación. Los registros en silos dispares (Registro de Eventos de Windows en cada servidor, registros de autenticación SSH en cada máquina Linux) sin agregación central son difíciles de presentar como evidencia.
Cómo VaultPAM Produce Evidencia Auditable de CC6 Automáticamente
VaultPAM está diseñado con la suposición de que su auditor está leyendo sobre su hombro. La evidencia que produce se mapea directamente con lo que CC6 requiere:
| Control CC6 | Lo Que VaultPAM Produce |
|---|---|
| CC6.1 — inventario de acceso | Informe completo de todos los usuarios, sistemas de destino, políticas de acceso y aprobaciones — exportable como CSV o accesible vía API |
| CC6.2 — aplicación de MFA | TOTP y WebAuthn aplicados a nivel de sesión — toda sesión privilegiada requiere autenticación; estado de inscripción en MFA visible en el dashboard de administración |
| CC6.2 — sin credenciales compartidas | Intermediación de sesión — los usuarios acceden a destinos sin recibir contraseñas; la bóveda mantiene la credencial, no el usuario |
| CC6.3 — eliminación de acceso | Revocar un usuario en VaultPAM termina inmediatamente su capacidad de iniciar nuevas sesiones; las sesiones activas pueden terminarse forzosamente |
| CC6.6 — monitoreo de sesión | Registro completo de sesión (vídeo + registro de actividad) para toda sesión RDP, SSH, VNC e HTTP; prueba de manipulación mediante cadena de hash BLAKE3; búsqueda por usuario, destino y rango de tiempo |
| CC6.6 — cifrado en tránsito | Todas las sesiones intermediadas sobre mTLS; sin puertos inbound directos en sistemas de destino |
El proceso de revisión de acceso es soportado por las exportaciones del registro de auditoría de VaultPAM: puede producir un informe completo de toda sesión privilegiada en el último trimestre, ordenado por usuario y destino, en minutos. Presente eso a su auditor junto con la configuración de política de acceso y la captura de pantalla de inscripción en MFA — ese es su paquete de evidencia de CC6.
¿Construyendo hacia la preparación de SOC 2 Type II? VaultPAM produce evidencia auditable para controles de CC6 automáticamente — grabaciones de sesión, registros de acceso, aplicación de MFA y configuración de política son todos reportables desde un único dashboard.
Descargue nuestro resumen de cumplimiento SOC 2 para una asignación completa de controles de VaultPAM a los Criterios de Servicio de Confianza de SOC 2.