Pular para o conteúdo
Governança e Conformidade

O que é o SOC 2?

SOC 2 (System and Organization Controls 2) é um relatório de auditoria, conduzido por uma firma de contabilidade independente segundo os padrões definidos pelo AICPA (o instituto americano de contadores), que avalia os controles de uma empresa de tecnologia contra os Critérios de Serviços de Confiança: segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. É a forma como um fornecedor de software ou de nuvem prova a um cliente que protege os dados que recebe, sem revelar segredo de arquitetura.

Zamak TechnologiesAtualizado em 10 de julho de 2026

Como funciona uma auditoria SOC 2

O SOC 2 não é um selo que se compra, é um relatório emitido depois de uma auditoria independente. O caminho tem etapas claras.

1

Escolha o escopo (os Critérios)

Segurança é obrigatória em todo relatório SOC 2; disponibilidade, integridade de processamento, confidencialidade e privacidade entram conforme o que o cliente da empresa auditada exige.

2

Implante e opere os controles

Controle de acesso, monitoramento, gestão de mudança, resposta a incidente, backup: os controles técnicos e organizacionais que atendem os Critérios escolhidos.

3

Um contador independente audita

Diferente da ISO 27001 (organismo certificador), o SOC 2 é emitido por uma firma de contabilidade licenciada, seguindo os padrões da AICPA.

4

Receba o relatório, não um certificado

O resultado é um relatório detalhado, geralmente compartilhado sob acordo de confidencialidade com clientes e prospects, não um selo público.

Fonte: AICPA, Trust Services Criteria (2017, com pontos de foco revisados em 2022).

SOC 2 Tipo I e Tipo II: qual é qual

  • Tipo I Avalia se os controles estão desenhados corretamente num único ponto no tempo. Mais rápido de obter, mas prova só que o desenho existe, não que funciona no dia a dia.
  • Tipo II Avalia se os controles realmente operaram de forma eficaz ao longo de um período de observação. É o relatório que a maioria dos clientes enterprise pede, porque prova operação real, não intenção.

Por que o SOC 2 virou pré-requisito de venda B2B

5
Critérios de Serviços de Confiança possíveis (segurança, disponibilidade, integridade de processamento, confidencialidade, privacidade)
1
dos 5 Critérios é obrigatório em todo relatório SOC 2: segurança
9
categorias de Critérios Comuns (CC1-CC9), derivadas do framework COSO, que sustentam a base de todo relatório

Para vender software ou serviço de nuvem para clientes corporativos e setores regulados, não ter um relatório SOC 2 tende a travar o negócio antes mesmo da proposta chegar à mesa. Segurança é o único dos cinco Critérios obrigatório em todo relatório, o que já revela a prioridade do mercado: antes de discutir disponibilidade ou privacidade, o comprador quer saber se o fornecedor protege o que recebe. O relatório Tipo II, que observa a operação ao longo de um período, é o padrão que instala confiança porque não depende da palavra do fornecedor, depende do que um auditor independente verificou de fato.

Como uma empresa se prepara para o SOC 2

A jornada até o primeiro relatório costuma seguir esta ordem:

  1. Defina o escopo com o cliente em mentePergunte que Critérios os clientes e prospects mais exigem antes de assumir custo com Critérios que ninguém vai cobrar.
  2. Feche as lacunas antes da auditoriaUma pré-auditoria (readiness assessment) mapeia o que falta antes de pagar pela auditoria formal, que é cara para refazer.
  3. Rode um Tipo I antes do Tipo II, se o prazo apertarEmpresas sob pressão comercial às vezes usam o Tipo I como prova provisória enquanto acumulam o período de observação do Tipo II.
  4. Trate o relatório como um processo, não um eventoO SOC 2 se renova, geralmente a cada 12 meses. A operação dos controles precisa continuar entre um relatório e outro.

Na prática

A pergunta que revela se uma empresa está pronta: se um auditor pedisse hoje para ver o registro de quem aprovou o acesso de um funcionário específico três meses atrás, esse registro existiria?

Como a Zamak apoia a jornada para o SOC 2

A Zamak Technologies entrega os controles técnicos que um relatório SOC 2 exige (controle de acesso, monitoramento, gestão de mudança, backup, resposta a incidente) e apoia o mapeamento de evidência sobre uma plataforma de conformidade, dentro da Governança e Conformidade do Método Zamak. O Compliance Audit Express é o primeiro passo gratuito para ver onde a empresa está.

Perguntas frequentes sobre o SOC 2

SOC 2 é um certificado?
Não tecnicamente. É um relatório de auditoria, não um certificado emitido por um organismo credenciador como na ISO 27001. Mas o mercado costuma tratar “ter um SOC 2” como equivalente a estar certificado.
Toda empresa de tecnologia precisa de SOC 2?
Não por lei. É um requisito de mercado, mais comum entre fornecedores de SaaS e serviços de nuvem cujos compradores corporativos costumam exigir o relatório antes de assinar.
Qual a diferença entre SOC 1 e SOC 2?
SOC 1 avalia controles que afetam relatórios financeiros do cliente (relevante para provedores de folha de pagamento, por exemplo). SOC 2 avalia segurança, disponibilidade e os demais Critérios de Serviços de Confiança, o relatório que a maioria das empresas de tecnologia busca.
Quanto tempo dura um relatório SOC 2?
Não vence como um certificado, mas cobre um período específico (o Tipo II costuma observar vários meses) e o mercado espera renovação, geralmente anual, para manter a confiança atualizada.
Uma empresa pequena consegue um SOC 2?
Sim. O escopo e o esforço variam com o tamanho da operação, mas o framework não exige um porte mínimo.
O relatório SOC 2 é público?
Normalmente não. É compartilhado sob acordo de confidencialidade com clientes e prospects, ao contrário de um certificado ISO, que costuma ser mais aberto.

Termos relacionados

Continue explorando

Ver o índice completo →
Ameaças e Ataques
Endpoint e Identidade
MFAPAM (acesso privilegiado)SSO (login único)
Detecção e Resposta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operações)
Rede e Acesso
ZTNAFirewallVPNSASE
Governança e Conformidade
LGPDISO 27001SOC 2NIST CSFShadow ITAvaliação de maturidade cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestão de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidade)FedRAMPGRC (governança, risco, conformidade)vCIOvCISO
Conceitos e Fundamentos
Deep webZero TrustDefesa em profundidadeSuperfície de ataqueEndpointMenor privilégio
IA e Segurança
Shadow AIGovernança de IAInjeção de promptOWASP LLM Top 10Deepfake