A perspetiva da Cyber Academy
SOC 2 é o relatório de atestação da AICPA sobre os controlos de uma organização de serviços, abrangendo cinco critérios de confiança (segurança, disponibilidade, integridade do processamento, confidencialidade, privacidade). Referência canónica norte-americana para fornecedores SaaS; ISO 27001 é o equivalente europeu. Tipo I = ponto no tempo; Tipo II = eficácia operacional ao longo de 6 a 12 meses. Frequentemente exigido em processos de aquisição empresarial.
O que o SOC 2 realmente atesta
O SOC 2 não é uma certificação que se passa ou se reprova. É um relatório de atestação produzido por uma firma de CPA licenciada segundo as normas de atestação da AICPA, no qual um auditor independente expressa uma opinião sobre se os controlos de uma organização de serviços estão adequadamente concebidos e, no caso do Tipo II, operam eficazmente ao longo de um período. O âmbito é construído em torno dos Trust Services Criteria: segurança (a única categoria obrigatória, também chamada common criteria), disponibilidade, integridade de processamento, confidencialidade e privacidade. Você escolhe quais dos cinco se aplicam ao serviço que oferece, e o relatório é dimensionado de acordo com essa escolha.
Por se tratar de uma opinião sobre uma descrição que a gestão redige, dois relatórios SOC 2 raramente são idênticos. Um fornecedor pode delimitar o âmbito apenas à segurança; outro pode acrescentar disponibilidade e confidencialidade. Ler o relatório significa ler a descrição do sistema, os critérios incluídos no âmbito, os testes realizados e, sobretudo, quaisquer exceções que o auditor tenha assinalado. Um relatório sem ressalvas com um âmbito restrito pode constituir uma evidência mais fraca do que um relatório com exceções menores num âmbito amplo.
Tipo I face ao Tipo II
A distinção que mais importa aos profissionais é a do Tipo I face ao Tipo II. O Tipo I é um instantâneo: o auditor opina que os controlos estão adequadamente concebidos numa única data. Comprova que os controlos existem no papel e estavam implementados naquele dia. O Tipo II é o que os compradores empresariais realmente querem, porque o auditor testa se esses controlos operaram eficazmente ao longo de um período de revisão que normalmente abrange de seis a doze meses, amostrando evidência ao longo de todo ele. Um Tipo II responde à verdadeira pergunta das compras: o fornecedor fez isto de forma consistente, e não apenas no dia da auditoria?
| Dimensão | Tipo I | Tipo II |
|---|---|---|
| O que é testado | Conceção dos controlos | Conceção e eficácia operacional |
| Período de tempo | Um único ponto no tempo | Um período de revisão (habitualmente de 6 a 12 meses) |
| Evidência | Controlos implementados na data | Evidência amostrada ao longo do período |
| Uso típico | Primeiro relatório, fornecedores em fase inicial | O que as compras empresariais esperam |
SOC 2 ao lado da ISO 27001
O SOC 2 e a ISO 27001 respondem à mesma preocupação do comprador a partir de duas tradições. O SOC 2 é o sinal canónico norte-americano, uma atestação de auditor ligada aos Trust Services Criteria e renovada num período recorrente. A ISO 27001 é a norma internacional e certificável construída em torno de um sistema de gestão (o SGSI), com a certificação emitida por um organismo acreditado e mantida através de auditorias de acompanhamento. O SOC 2 reporta sobre os controlos face a critérios; a ISO 27001 certifica que você opera um sistema funcional com uma Declaração de Aplicabilidade e melhoria contínua. Muitos fornecedores que vendem em ambos os lados do Atlântico acabam por deter ambos, e a evidência de controlo sobrepõe-se fortemente, ainda que os entregáveis difiram.
Na prática, as equipas de GRC tratam os dois como complementares e não concorrentes. Os mesmos controlos de acesso, a gestão de alterações, o tratamento de vulnerabilidades e a resposta a incidentes alimentam tanto o conjunto de controlos do Annex A da ISO 27001 como os common criteria do SOC 2. O trabalho está em mapear uma vez e apresentar duas vezes.
Frequently asked questions
01O SOC 2 é uma certificação?
Não. O SOC 2 é um relatório de atestação com a opinião de um auditor, e não um certificado de aprovado/reprovado. Não há nenhum certificado para exibir; o que existe é um relatório que uma firma de CPA emite, que você partilha sob NDA com clientes e potenciais clientes.
02Devemos obter o Tipo I ou o Tipo II?
O Tipo I é um primeiro passo razoável para comprovar que os seus controlos estão corretamente concebidos, e pode ser emitido mais rapidamente. A maioria dos compradores empresariais espera, em última análise, o Tipo II, porque demonstra que os controlos operaram eficazmente ao longo de um período prolongado.
03Precisamos de todos os cinco Trust Services Criteria?
Não. A segurança (os common criteria) é a única categoria obrigatória. Você acrescenta disponibilidade, integridade de processamento, confidencialidade ou privacidade com base nos compromissos que assume perante os clientes e na natureza do seu serviço.
04Como é que o SOC 2 se relaciona com a ISO 27001?
Servem o mesmo propósito de confiança através de mecanismos diferentes. O SOC 2 é uma atestação centrada nos EUA face aos Trust Services Criteria; a ISO 27001 é uma certificação internacional de um sistema de gestão da segurança da informação. Os controlos subjacentes sobrepõem-se substancialmente, pelo que a evidência recolhida para um suporta em grande parte o outro.
05Com que frequência é renovado um relatório SOC 2?
Os relatórios SOC 2 Tipo II abrangem um período de revisão definido e são habitualmente atualizados num ciclo recorrente para que os clientes disponham sempre de uma cobertura atual. Os fornecedores planeiam o período de auditoria de modo a não existir lacuna entre relatórios consecutivos.