O que é o SOC 2?
SOC 2 (System and Organization Controls 2) é um relatório de auditoria, conduzido por uma firma de contabilidade independente segundo os padrões definidos pelo AICPA (o instituto americano de contadores), que avalia os controles de uma empresa de tecnologia contra os Critérios de Serviços de Confiança: segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. É a forma como um fornecedor de software ou de nuvem prova a um cliente que protege os dados que recebe, sem revelar segredo de arquitetura.
Como funciona uma auditoria SOC 2
O SOC 2 não é um selo que se compra, é um relatório emitido depois de uma auditoria independente. O caminho tem etapas claras.
Escolha o escopo (os Critérios)
Segurança é obrigatória em todo relatório SOC 2; disponibilidade, integridade de processamento, confidencialidade e privacidade entram conforme o que o cliente da empresa auditada exige.
Implante e opere os controles
Controle de acesso, monitoramento, gestão de mudança, resposta a incidente, backup: os controles técnicos e organizacionais que atendem os Critérios escolhidos.
Um contador independente audita
Diferente da ISO 27001 (organismo certificador), o SOC 2 é emitido por uma firma de contabilidade licenciada, seguindo os padrões da AICPA.
Receba o relatório, não um certificado
O resultado é um relatório detalhado, geralmente compartilhado sob acordo de confidencialidade com clientes e prospects, não um selo público.
Fonte: AICPA, Trust Services Criteria (2017, com pontos de foco revisados em 2022).
SOC 2 Tipo I e Tipo II: qual é qual
- Tipo I Avalia se os controles estão desenhados corretamente num único ponto no tempo. Mais rápido de obter, mas prova só que o desenho existe, não que funciona no dia a dia.
- Tipo II Avalia se os controles realmente operaram de forma eficaz ao longo de um período de observação. É o relatório que a maioria dos clientes enterprise pede, porque prova operação real, não intenção.
Por que o SOC 2 virou pré-requisito de venda B2B
Para vender software ou serviço de nuvem para clientes corporativos e setores regulados, não ter um relatório SOC 2 tende a travar o negócio antes mesmo da proposta chegar à mesa. Segurança é o único dos cinco Critérios obrigatório em todo relatório, o que já revela a prioridade do mercado: antes de discutir disponibilidade ou privacidade, o comprador quer saber se o fornecedor protege o que recebe. O relatório Tipo II, que observa a operação ao longo de um período, é o padrão que instala confiança porque não depende da palavra do fornecedor, depende do que um auditor independente verificou de fato.
Como uma empresa se prepara para o SOC 2
A jornada até o primeiro relatório costuma seguir esta ordem:
- Defina o escopo com o cliente em mentePergunte que Critérios os clientes e prospects mais exigem antes de assumir custo com Critérios que ninguém vai cobrar.
- Feche as lacunas antes da auditoriaUma pré-auditoria (readiness assessment) mapeia o que falta antes de pagar pela auditoria formal, que é cara para refazer.
- Rode um Tipo I antes do Tipo II, se o prazo apertarEmpresas sob pressão comercial às vezes usam o Tipo I como prova provisória enquanto acumulam o período de observação do Tipo II.
- Trate o relatório como um processo, não um eventoO SOC 2 se renova, geralmente a cada 12 meses. A operação dos controles precisa continuar entre um relatório e outro.
Na prática
A pergunta que revela se uma empresa está pronta: se um auditor pedisse hoje para ver o registro de quem aprovou o acesso de um funcionário específico três meses atrás, esse registro existiria?
Como a Zamak apoia a jornada para o SOC 2
A Zamak Technologies entrega os controles técnicos que um relatório SOC 2 exige (controle de acesso, monitoramento, gestão de mudança, backup, resposta a incidente) e apoia o mapeamento de evidência sobre uma plataforma de conformidade, dentro da Governança e Conformidade do Método Zamak. O Compliance Audit Express é o primeiro passo gratuito para ver onde a empresa está.