O Controle SOC 2 é relativamente recente porém está em sendo exigido de maneira exponencial pelas organizações que contratam prestadores de serviços. É um assunto extenso, porém, apresento aqui os principais controles e definições para aqueles que conhecem pouco o tema. Espero que este artigo seja um porto para seu conhecimento. Mas não um porto de chegada e sim um porto de partida.
SOC 2 é o Controle de Organização e Serviços desenvolvido para ajudar as empresas de prestação de serviços terem uma estrutura de referência para demonstrarem que exercem segurança da informação, continuidade e proteção da privacidade quando do seu relacionamento com cliente e tratamento dos dados do mesmo.
SOC 2 foi desenvolvido pelo American Institute of Certified Public Accountants – AICPA – Associação Profissional Nacional dos Contadores Públicos Certificados. Lembram-se da Lei Sarbanes Oxley (SOX)? A AICPA teve forte atuação para a sua criação e definição de controles.
O SOC 2 é um procedimento de auditoria que busca garantir que os fornecedores de serviços tratem seus dados de forma segura para proteger os interesses da sua organização e a segurança e a privacidade dos dados dos seus clientes.
Existe o SOC 2 Tipo 1 e Tipo 2.
=> O SOC 2 Tipo 1 a auditoria é mais específica considerando (por exemplo) um sistema e principalmente em um momento de tempo, tipo uma fotografia.
=> O SOC 2 Tipo 2 faz uma auditoria com maior amplitude identificando e efetividade dos controles em um período e tempo, tipo um filme.
Normalmente as organizações começam a serem auditadas em Tipo 1 e melhorando a maturidade passam para o Tipo 2. Evidentemente empresas que são auditadas e aprovadas no SOC 2 Tipo 2 possuem maior maturidade e merecem uma maior confiança dos clientes.
As empresas que realmente estão internalizadas em relação a necessidade de segurança da informação e proteção da privacidade já exigem a conformidade com o SOC 2 como requisito mínimo para "iniciarmos a conversa". Se você é um prestador de serviço, muito em breve para você fazer a sua primeira reunião com o futuro Cliente, você já terá que levar evidências de conformidade com o SOC 2. Seja serviços SaaS ou em ambientes tradicionais. Em termos de tempo, já existem alguns comentários de consultorias e de organizações em que um tempo que tem ocorrido é de 6 meses para Tipo 1 e de 12 a 18 meses para o Tipo 2. Mas evidentemente este tempo depende muitos fatores e o principal deles é a Maturidade em Gestão da Segurança da Informação, Continuidade e Proteção da Privacidade.
O SOC 2 define critérios para a gestão de dados de clientes com base em cinco "princípios de serviço de confiança" – segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade.
- Segurança
Acesso à informação, ciclo de vida da informação, proteção contra vazamento (erro, roubo)
- Disponibilidade
Dados devem estar disponíveis para a prestação de serviços, registro (log), monitoramento e continuidade.
- Integridade
Processamento completo, válido, exato, não corrompido, uso em conformidade, exclusivo para os objetivos do serviço.
- Confidencialidade
Garantia do sigilo, respeito a outras classificações de informação.
- Privacidade
As informações pessoais são tratadas (coleta, uso, guarda, divulgação e eliminação) em conformidade com a legislação, regulamentos da organização e outros direcionadores obrigatórios.
O Controle SOC 2 é relativamente recente porém está sendo exigido de maneira exponencial pelas organizações que contratam prestadores de serviços. É um assunto extenso, porém, apresento aqui os principais controles e definições para aqueles que conhecem pouco o tema. Espero que este artigo seja um porto para seu conhecimento. Mas não um porto de chegada e sim um porto de partida.
Ah! E complementando se existe o SOC 2, existe o SOC 1? Sim e existe o SOC 3!
SOC 1: Foco nos controles financeiros.
SOC 2: Foco nos controles de segurança da informação.
SOC 3: Foco em publicidade, marketing e promessas.
Elaborei este artigo estudando muito material que já estou trabalhando. Ousei traduzir termos mas sempre buscando o "espírito da coisa" mais do que a tradução literal.
Com certeza, SOC 2 já faz parte do conjunto de Direcionadores de Referência que são exigidos das organizações. E pela minha experiencia, virão novas estruturas para cada tipo de segmento de negócio.
Edison Fontes, CISM, CISA, CRISC, Ms.
