Saltar al contenido principal

Cómo Cumplir con SOC 2 CC6 Controles de Acceso Privilegiado — Una Guía Práctica

· 7 minutos de lectura
VaultPAM Team
Security Engineering

La preparación de SOC 2 Type II es una maratón. La mayoría de las organizaciones superan la documentación de políticas, los cuestionarios de riesgo de proveedores y los diagramas de segmentación de red sin demasiado dolor. Entonces llegan a CC6 — Controles de Acceso Lógico y Físico — y la auditoría se vuelve difícil.

CC6 es donde los auditores pasan más tiempo y donde las empresas reciben excepciones con más frecuencia. Cubre quién tiene acceso a sus sistemas, cómo se controla ese acceso, cómo se monitorea y cómo se revisa. Si su respuesta de gestión de acceso privilegiado es "usamos VPN más RDP con credenciales de administrador compartidas", no va a pasar.

Aquí está exactamente qué requiere CC6, qué preguntan los auditores y cómo producir la evidencia.

CC6.1, CC6.2, CC6.3, CC6.6 — Lo Que Cada Uno Requiere en Lenguaje Simple

CC6.1 — Seguridad de Acceso Lógico

El requisito: el acceso lógico a sus sistemas, infraestructura y datos está restringido a usuarios autorizados.

En la práctica, esto significa:

  • Todo usuario que accede a un sistema de producción tiene una razón documentada para ese acceso
  • El acceso se aprovisiona a través de un proceso definido (no de forma ad hoc)
  • El acceso se elimina rápidamente cuando un usuario se va o cambia de rol
  • El acceso privilegiado (administrador, root, DBA) se rastrea por separado y se mantiene en un estándar más alto

La evidencia que los auditores quieren: un inventario completo de quién tiene acceso privilegiado a qué, cómo se aprovisionó y cuándo se revisó por última vez.

CC6.2 — Identificación y Autenticación

El requisito: los usuarios se autentican antes de acceder a sistemas, y la autenticación es suficientemente fuerte para la sensibilidad del recurso.

En la práctica, esto significa:

  • MFA es requerido en todas las cuentas con acceso privilegiado
  • Las contraseñas cumplen con requisitos de complejidad y rotación
  • Las cuentas compartidas (administrador compartido, root compartido) se eliminan o controlan estrictamente
  • Las cuentas de servicio se inventarían y se revisa el acceso

La evidencia que los auditores quieren: capturas de pantalla de inscripción en MFA, exportaciones de inventario de cuentas, evidencia de que las cuentas de administrador compartidas se han eliminado o tienen controles compensatorios.

CC6.3 — Eliminación de Acceso

El requisito: el acceso se elimina cuando ya no es necesario (terminación, cambio de rol, fin de proyecto).

En la práctica, esto significa:

  • Tiene un proceso de offboarding documentado que incluye la revocación del acceso privilegiado
  • La revocación del acceso ocurre dentro de un período de tiempo definido (24-48 horas para acceso de producción)
  • Puede demostrar que los usuarios terminados ya no tienen sesiones activas o credenciales

La evidencia que los auditores quieren: tickets de offboarding mostrando pasos de revocación de acceso, capturas de pantalla antes y después de derechos de acceso.

CC6.6 — Restricciones de Acceso Lógico

El requisito: la transmisión de datos está cifrada y se han implementado restricciones de acceso lógico para prevenir acceso no autorizado.

En la práctica, esto significa:

  • Todas las conexiones administrativas están cifradas en tránsito
  • El acceso a sistemas sensibles está restringido a puntos finales o redes autorizados
  • La actividad de sesión se monitorea y se registra

La evidencia que los auditores quieren: diagramas de red mostrando canales cifrados, registros de sesión mostrando actividad administrativa.

Lo Que los Auditores Realmente Preguntan

Cuando un auditor de SOC 2 examina CC6, generalmente solicita la siguiente evidencia:

Para CC6.1 (inventario de acceso):

  • Hoja de cálculo o exportación del sistema mostrando todos los usuarios con acceso privilegiado, los sistemas a los que pueden acceder y la justificación comercial
  • Evidencia de que el acceso fue aprobado (correo electrónico, ticket, captura de pantalla de flujo de aprobación)
  • Registros de revisión de acceso mostrando recertificación trimestral o anual

Para CC6.2 (autenticación):

  • Captura de pantalla de inscripción en MFA para cuentas administrativas
  • Documentación de política de contraseña y evidencia de que se aplica
  • Lista de cuentas de servicio y evidencia de inventario

Para CC6.3 (eliminación de acceso):

  • Tickets de offboarding de muestra (típicamente 3-5 ejemplos del período de auditoría)
  • Evidencia de que el acceso privilegiado se revocó dentro del SLA
  • Registros de integración del sistema de RR. HH. o verificación manual

Para CC6.6 (monitoreo de sesión):

  • Registros de sesión mostrando actividad administrativa (quién inició sesión, cuándo, en qué sistema, qué hicieron)
  • Evidencia de que las sesiones se registran
  • Diagrama de red mostrando cifrado en tránsito

La evidencia debe cubrir todo el período de auditoría (típicamente 12 meses para una auditoría Type II). Los auditores tomarán muestras de eventos durante ese período — no puede confiar en evidencia de las últimas dos semanas antes del trabajo de campo de auditoría.

Fallas Comunes en CC6 y Cómo Evitarlas

Credenciales de administrador compartidas El hallazgo más común en CC6. "Usamos la cuenta de administrador compartida porque algunos sistemas no admiten cuentas individuales" no es un control aceptable. VaultPAM resuelve esto: los usuarios se conectan a través de sesiones intermediadas sin recibir la credencial. La bóveda mantiene la contraseña; los registros de auditoría muestran exactamente qué usuario inició cada sesión.

MFA no aplicado en todas las cuentas privilegiadas Las organizaciones a menudo tienen MFA en su correo corporativo pero no en el acceso directo al servidor (RDP, SSH). Los auditores verifican esto específicamente. Toda sesión privilegiada debe requerir MFA.

Sin evidencia de revisión de acceso Muchas organizaciones realizan revisiones de acceso informalmente. Los auditores quieren evidencia documentada: quién revisó, qué se revisó, cuándo y qué acciones se tomaron. "Hicimos una revisión en Q3" sin un ticket, hoja de cálculo o informe no es evidencia.

Acceso no revocado rápidamente La brecha entre que un empleado se va y que su acceso se revoca es un hallazgo recurrente. Si su proceso de offboarding toma una semana y el acceso privilegiado está incluido en la misma cola, tiene un problema en CC6.3.

Registros de sesión que están incompletos o inaccesibles Retener registros de sesión es solo la mitad de la respuesta. Los auditores quieren ver que puede recuperar eventos específicos y que los registros están completos y resistentes a la manipulación. Los registros en silos dispares (Registro de Eventos de Windows en cada servidor, registros de autenticación SSH en cada máquina Linux) sin agregación central son difíciles de presentar como evidencia.

Cómo VaultPAM Produce Evidencia Auditable de CC6 Automáticamente

VaultPAM está diseñado con la suposición de que su auditor está leyendo sobre su hombro. La evidencia que produce se mapea directamente con lo que CC6 requiere:

Control CC6Lo Que VaultPAM Produce
CC6.1 — inventario de accesoInforme completo de todos los usuarios, sistemas de destino, políticas de acceso y aprobaciones — exportable como CSV o accesible vía API
CC6.2 — aplicación de MFATOTP y WebAuthn aplicados a nivel de sesión — toda sesión privilegiada requiere autenticación; estado de inscripción en MFA visible en el dashboard de administración
CC6.2 — sin credenciales compartidasIntermediación de sesión — los usuarios acceden a destinos sin recibir contraseñas; la bóveda mantiene la credencial, no el usuario
CC6.3 — eliminación de accesoRevocar un usuario en VaultPAM termina inmediatamente su capacidad de iniciar nuevas sesiones; las sesiones activas pueden terminarse forzosamente
CC6.6 — monitoreo de sesiónRegistro completo de sesión (vídeo + registro de actividad) para toda sesión RDP, SSH, VNC e HTTP; prueba de manipulación mediante cadena de hash BLAKE3; búsqueda por usuario, destino y rango de tiempo
CC6.6 — cifrado en tránsitoTodas las sesiones intermediadas sobre mTLS; sin puertos inbound directos en sistemas de destino

El proceso de revisión de acceso es soportado por las exportaciones del registro de auditoría de VaultPAM: puede producir un informe completo de toda sesión privilegiada en el último trimestre, ordenado por usuario y destino, en minutos. Presente eso a su auditor junto con la configuración de política de acceso y la captura de pantalla de inscripción en MFA — ese es su paquete de evidencia de CC6.


¿Construyendo hacia la preparación de SOC 2 Type II? VaultPAM produce evidencia auditable para controles de CC6 automáticamente — grabaciones de sesión, registros de acceso, aplicación de MFA y configuración de política son todos reportables desde un único dashboard.

Descargue nuestro resumen de cumplimiento SOC 2 para una asignación completa de controles de VaultPAM a los Criterios de Servicio de Confianza de SOC 2.