Trabajo para una pequeña empresa que comienza a explorar la realización de una auditoría SOC 2 (Seguridad, Disponibilidad, Confidencialidad). El auditor con el que estamos trabajando cree que tendremos que realizar pruebas de penetración anualmente para satisfacer algunos de los criterios de servicios de confianza.
Nos preocupa el costo de realizar estas pruebas anualmente (además de los costos de auditoría). ¿Normalmente se requiere una prueba de penetración anualmente para satisfacer un SOC 2? ¿Es posible hacer pruebas de pluma en casa?