SOC 2
SOC 2 es un framework de auditoría de la AICPA que evalúa los controles operacionales de un proveedor SaaS en cinco trust principles: seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad.
Estado actual de Ministrium
| Audit | Status | Plazo |
|---|---|---|
| SOC 2 Type I | ✅ Aprobado (2025-Q4) | Auditor: BDO USA |
| SOC 2 Type II | 🔄 En curso (ventana 2025-Q4 a 2026-Q3) | Reporte esperado 2026-Q4 |
| ISO 27001 | 📋 Planeado | 2027 |
> Type I = los controles existen en un punto del tiempo. > Type II = los controles operaron efectivamente durante 6-12 meses.
Trust principles aplicados
Seguridad
- MFA obligatoria para personal Ministrium con acceso a producción.
- Control de cambios con revisión por pares (PR mandatorio).
- Pen test anual por terceros (último: 2025-09).
- Bug bounty público con HackerOne (en preparación).
- SAST + dependency scanning en cada PR.
- Detección de intrusión 24/7.
Disponibilidad
- SLA 99.9% (max ~ 8.7 h downtime/año).
- Multi-AZ por default; multi-region opcional.
- Runbook de incidentes, on-call rotativo.
- Restauración de backup mensual (test).
- DR exercise semestral.
Integridad de procesamiento
- Tests automatizados (CI) en cada PR.
- Smoke tests en staging y canary en prod.
- Reconciliation de transacciones financieras (Stripe vs Ministrium ledger).
- Auditoría de cálculos sensibles (recibos fiscales, payouts).
Confidencialidad
- Cifrado at-rest + in-transit (Cifrado).
- NDA obligatorio para personal y contratistas.
- Acceso por principio de mínimo privilegio.
- Tenant isolation enforced a múltiples capas.
Privacidad
- DPA con cada cliente.
- Procesos para responder a solicitudes DSAR (data subject access request) en plazo.
- Sub-procesadores con sus propios DPA y BAA donde aplique.
- Privacy by design en cada feature (GDPR/LGPD).
Cómo conseguir el reporte
El reporte SOC 2 es confidencial y se entrega bajo NDA:
- Solicítelo a
compliance@ministrium.comdesde un email corporativo. - Firme el NDA (DocuSign, < 5 min).
- Reciba el PDF + tabla de mapping a controles comunes (CIS, NIST CSF).
Iglesias con plan Business+ tienen acceso automático sin re-firma anual.
Sub-servicios incluidos
El audit cubre los sistemas controlados por Ministrium. Sub-servicios externos (AWS, Stripe) no están en el scope porque tienen sus propios SOC 2; usamos sus reportes como evidencia complementaria.
| Sub-servicio | Su SOC 2 |
|---|---|
| AWS | SOC 2 Type II actual |
| Stripe | SOC 2 Type II actual |
| SendGrid | SOC 2 Type II actual |
| Twilio | SOC 2 Type II actual |
| Datadog | SOC 2 Type II actual |
Nuestro reporte usa carve-out method para sub-servicios. Eso significa que el alcance se limita a Ministrium directamente, y los SOC 2 de los sub-servicios se referencian. Es el patrón estándar y aceptado por la mayoría de auditores cliente.
Excepciones conocidas
En el reporte Type I, hubo dos observaciones menores:
- Capacitación de seguridad: 2 contratistas no completaron el módulo en el plazo. Remediación: integración con LMS para enforcement automático. Cerrado en Q4 2025.
- Inventario de assets: discrepancia entre CMDB y herramienta de IT. Remediación: sync diario automatizado. Cerrado en Q4 2025.
Ningún hallazgo crítico ni recurrente.
Para su propia auditoría
Si su iglesia está bajo audit (ej. denominación grande con auditor externo), Ministrium puede:
- Llenar vendor security questionnaires estándar (CAIQ, SIG, etc.).
- Participar en llamada técnica con su auditor.
- Proveer evidencia adicional (logs específicos de su tenant, copia de DPA firmado).
Para iniciar: compliance@ministrium.com. SLA: respuesta en 5 días hábiles.