SOC 2 – Service Organization Control 2. Exigência para Prestadores de Serviços!

0

O Controle SOC 2 é relativamente recente porém está em sendo exigido de maneira exponencial pelas organizações que contratam prestadores de serviços. É um assunto extenso, porém, apresento aqui os principais controles e definições para aqueles que conhecem pouco o tema. Espero que este artigo seja um porto para seu conhecimento. Mas não um porto de chegada e sim um porto de partida. 

SOC 2 é o Controle de Organização e Serviços desenvolvido para ajudar as empresas de prestação de serviços terem uma estrutura de referência para demonstrarem que exercem segurança da informação, continuidade e proteção da privacidade quando do seu relacionamento com cliente e tratamento dos dados do mesmo.

SOC 2 foi desenvolvido pelo American Institute of Certified Public Accountants – AICPA – Associação Profissional Nacional dos Contadores Públicos Certificados. Lembram-se da Lei Sarbanes Oxley (SOX)? A AICPA teve forte atuação para a sua criação e definição de controles.

O SOC 2 é um procedimento de auditoria que busca garantir que os fornecedores de serviços tratem seus dados de forma segura para proteger os interesses da sua organização e a segurança e a privacidade dos dados dos seus clientes.

Existe o SOC 2 Tipo 1 e Tipo 2. 

=> O SOC 2 Tipo 1 a auditoria é mais específica considerando (por exemplo) um sistema e principalmente em um momento de tempo, tipo uma fotografia. 

=> O SOC 2 Tipo 2 faz uma auditoria com maior amplitude identificando e efetividade dos controles em um período e tempo, tipo um filme. 

Normalmente as organizações começam a serem auditadas em Tipo 1 e melhorando a maturidade passam para o Tipo 2. Evidentemente empresas que são auditadas e aprovadas no SOC 2 Tipo 2 possuem maior maturidade e merecem uma maior confiança dos clientes. 

As empresas que realmente estão internalizadas em relação a necessidade de segurança da informação e proteção da privacidade já exigem a conformidade com o SOC 2 como requisito mínimo para "iniciarmos a conversa". Se você é um prestador de serviço, muito em breve para você fazer a sua primeira reunião com o futuro Cliente, você já terá que levar evidências de conformidade com o SOC 2. Seja serviços SaaS ou em ambientes tradicionais. Em termos de tempo, já existem alguns comentários de consultorias e de organizações em que um tempo que tem ocorrido é de 6 meses para Tipo 1 e de 12 a 18 meses para o Tipo 2. Mas evidentemente este tempo depende muitos fatores e o principal deles é a Maturidade em Gestão da Segurança da Informação, Continuidade e Proteção da Privacidade.

O SOC 2 define critérios para a gestão de dados de clientes com base em cinco "princípios de serviço de confiança" – segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade.

  1. Segurança 

Acesso à informação, ciclo de vida da informação, proteção contra vazamento (erro, roubo) 

  1. Disponibilidade

Dados devem estar disponíveis para a prestação de serviços, registro (log), monitoramento e continuidade.

  1. Integridade

Processamento completo, válido, exato, não corrompido, uso em conformidade, exclusivo para os objetivos do serviço.

  1. Confidencialidade

Garantia do sigilo, respeito a outras classificações de informação.

  1. Privacidade

As informações pessoais são tratadas (coleta, uso, guarda, divulgação e eliminação) em conformidade com a legislação, regulamentos da organização e outros direcionadores obrigatórios.

O Controle SOC 2 é relativamente recente porém está sendo exigido de maneira exponencial pelas organizações que contratam prestadores de serviços. É um assunto extenso, porém, apresento aqui os principais controles e definições para aqueles que conhecem pouco o tema. Espero que este artigo seja um porto para seu conhecimento. Mas não um porto de chegada e sim um porto de partida. 

Ah! E complementando se existe o SOC 2, existe o SOC 1? Sim e existe o SOC 3!

SOC 1: Foco nos controles financeiros.

SOC 2: Foco nos controles de segurança da informação.

SOC 3: Foco em publicidade, marketing e promessas. 

Elaborei este artigo estudando muito material que já estou trabalhando. Ousei traduzir termos mas sempre buscando o "espírito da coisa" mais do que a tradução literal.

Com certeza, SOC 2 já faz parte do conjunto de Direcionadores de Referência que são exigidos das organizações. E pela minha experiencia, virão novas estruturas para cada tipo de segmento de negócio.

Edison Fontes, CISM, CISA, CRISC, Ms.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.