Partos ha completado su auditoría SOC 2 Type II. El informe cubre los Trust Services Criteria de Seguridad, Disponibilidad y Confidencialidad durante un periodo de observación continuo, auditada por una firma CPA independiente conforme a los estándares de atestación AT-C 105 y AT-C 205 del AICPA. Es la verificación de terceros más rigurosa de disciplina de seguridad operativa que una empresa SaaS privada puede tener, y la base adecuada para una plataforma que existe para informar decisiones dentro de la base industrial de defensa.
Publicamos esto no como un hito de marketing, sino como una declaración de postura operativa. Los clientes que usan Partos AI para mapear sus cadenas de suministro lo hacen porque la información que introducen en la plataforma es operativamente sensible. SOC 2 Type II es el piso que creíamos que esa responsabilidad exigía. El periodo de auditoría está cerrado; los controles permanecen.
Lo que significa Type II y no significa Type I
Los informes SOC 2 vienen en dos formas, y la diferencia es la duración. Un informe Type I atestigua el diseño de un entorno de control en un único punto en el tiempo. Un informe Type II atestigua la efectividad operativa de esos mismos controles a lo largo de un periodo de observación de varios meses, típicamente de seis a doce, durante el cual el auditor muestrea de forma independiente la evidencia de que cada control se activó correctamente cada vez que debía hacerlo. Las revisiones de acceso realmente ocurrieron en el calendario que la política afirmaba. Los tickets de cambio realmente llevaron las aprobaciones que el flujo de trabajo requería. Las copias de seguridad realmente se ejecutaron, y las pruebas de restauración realmente las verificaron.
La distinción importa porque es la diferencia entre una carpeta de políticas y una disciplina. Muchas organizaciones pueden aprobar el Type I redactando los documentos correctos el día correcto. El Type II prueba si esos documentos reflejan lo que la empresa hace realmente, cada día, cuando nadie está mirando el calendario.
Es una prueba significativa. En un periodo de auditoría Type II no hay lugar para flujos de trabajo ad hoc que compensen una automatización ausente, ni para documentación retrospectiva, ni para esa clase de "lo arreglamos antes del próximo trimestre" que los calendarios de auditoría a veces toleran. O los controles operan de forma continua, o no lo hacen.
Por qué este umbral, en concreto
La plataforma Partos agrega y analiza información que, tomada de forma aislada, no está clasificada, pero que, tomada en conjunto, dibuja un cuadro de dependencias de programa que los clientes responsables no compartirán sin un rastro de auditoría limpio. Los clientes que dependen de Partos para mapear la exposición de nivel 2 y nivel 3 dentro de sus programas son los mismos clientes que redactan requisitos de seguridad rigurosos en sus propias relaciones con proveedores. Esperan que sus proveedores SaaS operen con el mismo estándar que exigen de sí mismos.
SOC 2 Type II es el marco reconocido del AICPA para esa expectativa. Lo que establece, sin ambigüedad, es que los controles de seguridad, disponibilidad y confidencialidad que protegen el entorno de Partos han sido verificados de forma independiente para operar según su diseño, de forma continua, a lo largo del periodo de auditoría.
Qué cubrió realmente la auditoría
El informe Type II cubre los tres Trust Services Criteria más relevantes para una plataforma de inteligencia de cadena de suministro de defensa.
Seguridad, la base común de todas las auditorías SOC 2, aborda los controles de acceso, la gestión de cambios, la gestión de vulnerabilidades, la respuesta a incidentes, la defensa de red y las salvaguardas lógicas y físicas más amplias que protegen contra el acceso no autorizado. Para una plataforma como la nuestra, esto incluye autenticación multifactor en todas las rutas de producción, asignaciones de rol con principio de mínimo privilegio, segregación de entornos de producción y no producción, y registro continuo de las acciones administrativas.
Disponibilidad aborda los compromisos operativos de los que dependen los clientes: monitoreo, planificación de capacidad, pruebas de recuperación ante desastres y preparación de respuesta a incidentes. Para una plataforma SaaS cuyos clientes pueden usar Partos AI dentro de decisiones de adquisición sensibles al tiempo, el compromiso de disponibilidad es operativo, no aspiracional.
Confidencialidad aborda cómo se identifica, restringe y elimina la información no pública compartida con la plataforma cuando su propósito se ha completado. Para un sistema diseñado en torno a datos suministrados por el cliente sobre relaciones con proveedores, estado de calificación y dependencias de programa, la confidencialidad no es una característica. Es el producto.
El cumplimiento como restricción de diseño, no como papeleo
Un tema recurrente en este blog es que el ecosistema de defensa estadounidense con habilitación de seguridad se ha alejado decididamente de tratar el cumplimiento como una carpeta guardada en un estante. ITAR se ha convertido en una restricción de diseño de software. CMMC se ha convertido en una puerta de adquisición. FOCI se ha convertido en un asesino de transacciones en las fusiones y adquisiciones de defensa. Tanto los clientes como los reguladores esperan ahora que la seguridad y el cumplimiento estén integrados en cómo se construyen y operan los sistemas, no añadidos a última hora antes de una auditoría.
Estamos de acuerdo con esa postura, y construimos en consecuencia. La disciplina de control que mereció el informe Type II — incluyendo la recopilación automatizada de evidencia, el monitoreo continuo, la gestión de cambios que opera sin excepciones, la remediación de vulnerabilidades en plazo y las revisiones de acceso que realmente ocurren — no es un punto de control superado y olvidado. Es cómo funciona la plataforma.
El estándar al que nos sometemos
El software de la base industrial de defensa vive o muere por la pregunta de si los clientes pueden confiar sus datos a la plataforma. No hay atajo para esa pregunta. SOC 2 Type II es la respuesta que les debemos a los clientes que la han planteado, y se verifica de forma independiente, a lo largo del tiempo, no se afirma sin más.
Por ahora, el informe está en el archivo. La recertificación anual comienza de inmediato. Los clientes, socios y prospectos que deseen revisar el informe SOC 2 Type II bajo NDA pueden solicitarlo a través de su punto de contacto en Partos.
La auditoría está hecha. La disciplina continúa.

