Elevando el estándar de la confianza: cómo Fluid Attacks completó un ciclo de auditoría integrado en SOC, ISO, PCI DSS y GDPR

Más que un hito

Para Rafael Álvarez, asesor ejecutivo y cofundador de Fluid Attacks, este logro es motivo de orgullo por varias razones: el momento, la tecnología que lo respaldó, las mejoras internas que requirió y el estándar que establece para el futuro. Igual de importante, considera este resultado como el comienzo de una nueva etapa y no como el final de un proyecto. El verdadero desafío ahora es sostener el sistema de gestión, ayudarlo a evolucionar y seguir elevando el rigor de las operaciones de la compañía. Esa visión de más largo plazo ya está dando forma a conversaciones internas sobre posibles marcos futuros como ISO 22301 e ISO/IEC 42001.

Esa es la verdadera importancia del trabajo de aseguramiento cuando se hace bien. Los marcos de confianza no deberían funcionar como etiquetas decorativas. Deberían impulsar mejores decisiones: una definición más precisa del alcance, una asignación más clara de la propiedad de los controles, prácticas de evidencia más sólidas, mejor documentación y hábitos operativos más resilientes que reflejen autorregulación, madurez y disciplina institucional. En este ciclo, eso fue exactamente lo que ocurrió.

Lo que Fluid Attacks logró, exactamente

Al comunicar el cumplimiento y el aseguramiento, la precisión importa: ISO 27001 y 27701 son certificaciones; ISO 27017 y 27018 se describen mejor públicamente como controles alineados con esos estándares; SOC 2 es una atestación; GDPR es una cuestión de cumplimiento de requisitos legales, y PCI DSS es una validación.

Dentro de ese marco, Fluid Attacks obtuvo la certificación ISO/IEC 27001:2022 e ISO/IEC 27701:2019 para su sistema de gestión de la seguridad y la privacidad de la información. El certificado fue emitido por Kompleye Attestation LLC, que auditó el sistema y confirmó que este cumplía con los requisitos de los estándares aplicables. Este certificado, al igual que el de ISO/IEC 27017:2015 e ISO/IEC 27018:2019, muestra una fecha de registro original del 25 de febrero de 2026 y una fecha de vencimiento del 24 de febrero de 2029. La conformidad con estas últimas normas ISO revela la alineación de Fluid Attacks con las configuraciones estándar de seguridad en la nube y con la protección de la información personal identificable (PII) en servicios en la nube.

Fluid Attacks también obtuvo una atestación SOC 2 Type II y un informe SOC 3, ambos con Kompleye como auditor independiente de servicios. El informe SOC 2 evalúa la idoneidad del diseño y la efectividad operativa de los controles relacionados con la seguridad de las soluciones de seguridad de aplicaciones (AppSec) de Fluid Attacks. El informe SOC 3 cubre el mismo período y ofrece una declaración de aseguramiento dirigida al público sobre la efectividad de esos controles, sin divulgar los detalles sensibles contenidos en el informe SOC 2.

Para pagos, Fluid Attacks obtuvo la validación PCI DSS v4.0.1 mediante una Atestación de Cumplimiento vinculada al Cuestionario de Autoevaluación A-EP, con Internet Security Auditors (IsecAuditors) actuando como evaluador de seguridad calificado. El resultado registró una calificación general de COMPLIANT. El modelo de pago descrito en la documentación es intencionalmente limitado: los datos del titular de la tarjeta son capturados por proveedores de pago externos compatibles con PCI, y los sistemas de Fluid Attacks no almacenan, procesan ni transmiten por sí mismos datos de cuenta en bruto.

En paralelo, la empresa documentó y fortaleció los controles de privacidad y las estructuras de gobernanza que respaldan el cumplimiento del GDPR, incluidos un Sistema de Gestión de Privacidad de la Información, un Registro de Actividades de Tratamiento, procedimientos para los derechos de los titulares de datos, un Oficial de Protección de Datos designado, compromisos de notificación de brechas, gobernanza de subencargados y prácticas de privacidad desde el diseño.

Por qué importa esta combinación de marcos

Cada uno de estos marcos aborda una dimensión distinta de la confianza, pero en la práctica se refuerzan entre sí para formar un modelo de aseguramiento más coherente:

ISO/IEC 27001 establece el sistema de gestión de la seguridad de la información. Exige que una organización identifique riesgos, defina controles, asigne responsabilidades y opere un programa estructurado de mejora continua. ISO/IEC 27701 extiende esa lógica a la privacidad, añadiendo requisitos relevantes sobre cómo las organizaciones procesan datos personales como controladores y encargados. ISO/IEC 27017 y 27018 añaden orientación de control específica para la nube y la privacidad.

SOC 2 Type II proporciona un aseguramiento de terceros de que los controles no solo están bien diseñados, sino que también operan eficazmente a lo largo del tiempo — una validación operativa acotada en el tiempo que es especialmente valiosa para los clientes que desean evidencia de que los compromisos de seguridad se reflejan en la práctica diaria. SOC 3 lo complementa al proporcionar una declaración de aseguramiento de alto nivel para audiencias públicas más amplias.

PCI DSS se enfoca específicamente en proteger los datos de tarjetas de pago y los sistemas y procesos que respaldan las transacciones de pago. GDPR, por su parte, no es un marco de certificación en absoluto, sino una regulación legal que rige cómo las organizaciones manejan los datos personales y protegen los derechos de las personas. Juntos, estos marcos forman un modelo de confianza por capas: gobernanza, aseguramiento operativo, responsabilidad sobre la privacidad, seguridad de pagos y cumplimiento legal, trabajando en combinación y no de forma aislada.

Esa complementariedad también fue un habilitador clave de la auditoría integrada en sí. Como señala Diego, los auditores usaron un enfoque estratégico para mapear y reutilizar evidencia entre requisitos superpuestos de ISO 27001, SOC 2, GDPR y marcos relacionados, reduciendo las pruebas redundantes, disminuyendo la carga administrativa y ahorrando tiempo sin debilitar el rigor.

Los proveedores detrás del logro

La confianza en el aseguramiento depende no solo de lo que una empresa dice que logró, sino también de quién lo evaluó y bajo qué modelo de acreditación. Fluid Attacks completó este trabajo con el apoyo de tres proveedores clave: Vanta, Kompleye y IsecAuditors. Cada uno cumplió un papel distinto en la cadena de aseguramiento.

Vanta sirvió como la plataforma de automatización del cumplimiento que respaldó el esfuerzo. No fue el auditor, pero sí fue esencial para hacer manejable el proyecto. En particular, Vanta adoptó una de las recomendaciones de Fluid Attacks para gestionar auditorías que abarcan múltiples marcos — un detalle que subraya lo inusual que fue este proyecto. Como señala Diego, Vanta agilizó el trabajo al integrarse con herramientas que monitorean los controles de seguridad, aseguran que los documentos se mantengan actualizados y proporcionan a los auditores acceso a la evidencia. En la práctica, eso significó centralizar la recopilación de evidencia, reducir el trabajo manual y ayudar al equipo a reutilizar la información de controles en múltiples marcos.

Kompleye cumplió dos funciones distintas. Para SOC, actuó como auditor independiente de servicios, evaluando los controles frente a los Criterios de Servicios de Confianza del AICPA y emitiendo informes formales de atestación. Para ISO, Kompleye Attestation LLC actuó como organismo de certificación, auditando el sistema de gestión y emitiendo los certificados. Esa distinción importa porque “atestación” y “certificación” no son términos intercambiables. La actividad ISO de Kompleye está respaldada por la acreditación ANAB, lo que implica que el propio organismo de certificación está sujeto a supervisión externa. Esa capa adicional de verificación fortalece la credibilidad de los certificados emitidos bajo su autoridad.

IsecAuditors lideró la parte de PCI DSS del proyecto como evaluador de seguridad calificado. Ese rol existe dentro del ecosistema del PCI Security Standards Council específicamente para garantizar que las validaciones PCI sean realizadas por firmas independientes con competencia y autorización para evaluar si el entorno de pago y los controles cumplen los requisitos del SAQ aplicable y para emitir una validación formal de cumplimiento. En este compromiso, Isec se encargó del lado PCI, mientras que Kompleye se encargó de SOC e ISO, lo que permitió a Fluid Attacks adoptar una estructura de aseguramiento integrada en lugar de una fragmentada.

Cómo se desarrolló el proyecto

El esfuerzo fue ambicioso desde el principio. Según Diego, la fase de selección de proveedores consistió en evaluar los precios y la experiencia de los tres proveedores. Aunque Fluid Attacks ya había estado usando Vanta durante un par de años, el equipo aun así lo comparó con sus competidores antes de renovar. La directriz era clara: encontrar un esquema de proveedores capaz de respaldar un ciclo de auditoría integrado, no solo una serie de evaluaciones desconectadas. Esa estructura surgió a través de Isec y su socio Kompleye, con Vanta apoyando las operaciones diarias de cumplimiento.

Otro desafío temprano fue definir el alcance de la certificación. El alcance inicial de ISO cubría toda la empresa y todos sus procesos, lo cual resultaba demasiado amplio y no era estratégico para una primera certificación. Eso tuvo que reducirse a algo riguroso pero manejable. El alcance final se centró en la prestación segura de Continuous Hacking (planes Essential y Advanced), incluido el tratamiento relacionado de datos personales — una elección que mejoró el enfoque y la viabilidad sin diluir el valor de la certificación.

En cuanto a PCI, determinar si la ruta de autoevaluación apropiada era SAQ A o SAQ A-EP requirió análisis técnico y contractual y provocó retrasos. No se trataba de una distinción trivial. El cuestionario tenía que reflejar la arquitectura real, el flujo de información de pago y la distribución de responsabilidades entre Fluid Attacks y los proveedores de pago externos.

Una vez iniciada la ejecución, la colaboración interna se convirtió en uno de los factores clave para el éxito. Los colaboradores involucrados en las entrevistas de auditoría contribuyeron a mantener el proceso en marcha. Al mismo tiempo, la fase de auditoría interna expuso una debilidad común en los programas de certificación que a menudo se subestima: las omisiones en la documentación. La evidencia insuficiente y la documentación incompleta crearon obstáculos durante las auditorías y requirieron trabajo correctivo mientras el proyecto aún estaba en curso.

No todos los marcos exigieron el mismo tipo de esfuerzo. El proceso de recertificación SOC fue relativamente fluido porque gran parte de la evidencia y muchas de las prácticas subyacentes ya existían desde el ciclo anterior. La certificación ISO, en cambio, requirió mejoras más sustanciales en la documentación, la formalización de políticas, la gestión de la privacidad, la respuesta a incidentes y la gestión del cambio. Ese contraste es una de las ilustraciones más claras de cómo un solo proyecto integrado puede abordar simultáneamente tanto la recertificación de sistemas ya establecidos como el desarrollo de los de primer ciclo.

Lo que mejoró dentro de Fluid Attacks

Uno de los resultados más fuertes de este proyecto es que cambió las prácticas internas, no solo el estado externo. El equipo se volvió más disciplinado en la recopilación, preservación y mapeo de la evidencia. La definición del alcance se volvió más estratégica. Y la empresa mejoró su capacidad para reutilizar evidencia validada según múltiples estándares, en lugar de manejar cada marco de forma aislada.

El ciclo de auditoría también reforzó una realidad organizacional importante: el cumplimiento significativo no puede subcontratarse por completo. Las herramientas, los auditores y la acreditación importan, pero ninguno de ellos puede reemplazar la responsabilidad interna. Los líderes y los miembros del equipo aún deben participar activamente en las entrevistas, proporcionar evidencia, responder preguntas difíciles y asumir la responsabilidad de los controles en sus respectivas áreas. Diego lo deja especialmente claro: los esfuerzos de certificación integrada de esta magnitud requieren que la propia organización asuma un papel activo de coordinación en lugar de dejar por completo a los proveedores la estructura del proceso.

Esa responsabilidad interna es parte de lo que hace significativo este hito. Demuestra no solo que Fluid Attacks superó evaluaciones externas, sino también que fortaleció los hábitos y sistemas necesarios para mantener el aseguramiento con el tiempo.

Lecciones aprendidas

Varias lecciones de este esfuerzo destacan y vale la pena mantener visibles para futuros ciclos:

• Definir estratégicamente el alcance antes de que comience la auditoría. Un alcance demasiado amplio aumenta los costos, intensifica la presión sobre los plazos y eleva el riesgo de incumplimiento.

• Realizar auditorías internas con el mismo rigor que las externas. Un informe interno débil socava tanto la preparación del programa como su credibilidad.

• Tratar la experiencia con plataformas de automatización de GRC (gobernanza, gestión de riesgos y cumplimiento) como criterio explícito en la selección de proveedores. En proyectos de múltiples marcos, la tecnología de soporte determina con qué eficiencia puede recopilarse, mapearse y revisarse la evidencia.

• Identificar y remediar a tiempo las omisiones en la documentación. Es uno de los riesgos más frecuentes y controlables en los esfuerzos de certificación ISO.

• Asegurar la participación activa de los líderes y de las personas responsables de los procesos dentro del alcance, especialmente durante las entrevistas y la recopilación de evidencia.

La parte más difícil comienza ahora

Lograr estas certificaciones, atestaciones, validaciones y alineaciones es un hito importante para Fluid Attacks como compañía de AppSec. Pero el objetivo crucial de ahora en adelante es mantenerlas — sosteniendo el sistema de gestión, preservando la calidad de la evidencia, refinando continuamente las políticas y los controles, y manteniendo el compromiso con la seguridad al nivel de rigor que hizo posible este hito.

La confianza no se construye publicando una lista de marcos. Se construye realizando el trabajo necesario para merecerlos, eligiendo evaluadores independientes y acreditados, mejorando la disciplina interna y manteniendo ese estándar una vez concluido el ciclo de auditoría. Fluid Attacks ha elevado ahora su estándar de confianza. El siguiente desafío es mantenerlo y, potencialmente, adoptar marcos futuros, como ISO 22301 e ISO/IEC 42001, para fortalecer aún más la forma en que opera la empresa. Si te interesa revisar nuestros informes de certificación y acreditación, te invitamos a visitar nuestro Trust Center.