O que é SOC 2: um guia para segurança de dados e compreensão da conformidade com SOC 2

Na sociedade atual baseada em dados, a segurança da informação está na vanguarda da mente da maioria das empresas. Entre preocupações internas e vulnerabilidades externas, como terceirizar funções de negócios para um fornecedor terceirizado (por exemplo, um SaaS ou provedor de computação em nuvem), há várias maneiras pelas quais os dados podem ficar em risco ou expostos. Isso pode deixar uma empresa de qualquer tamanho vulnerável a roubo de dados, ransomware, malware e vazamentos, mas organizações empresariais maiores são as que correm maior risco.

Se sua empresa está preocupada com a segurança e deseja trabalhar com um novo aplicativo ou fornecedor, ou simplesmente reavaliar sua pilha de tecnologia atual, considere usar a conformidade com SOC 2 como um requisito mínimo. A conformidade com SOC 2 é considerada um dos padrões de auditoria mais rigorosos e aceitos pelo setor estabelecidos pelo Instituto Americano de Contadores Públicos Certificados (AICPA) para ajudar os provedores de serviços a gerenciar dados na nuvem com segurança. Está rapidamente se tornando um requisito para empresas de SaaS que desejam permanecer competitivas ou para aquelas que trabalham com clientes de nível corporativo, muitos dos quais estão sujeitos a seus próprios controles de segurança e conformidade.

O que é SOC 2

Service Organization Control (SOC) 2 ou SOC 2, é um conjunto de critérios criados pelo AICPA para avaliar os sistemas, processos e controles em vigor para relatórios não financeiros de uma empresa e gerenciamento de dados de clientes. Esse procedimento de auditoria é baseado em cinco critérios de serviço de confiança (TSC) e é uma estrutura flexível exclusiva para cada empresa, suas práticas de negócios e controles correspondentes. Os cinco TSCs são segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade.

Uma certificação SOC 2 é obtida quando um auditor externo consegue concluir uma avaliação sobre como um fornecedor cumpre um ou mais desses TSCs. Quando essa auditoria for concluída, o fornecedor terminará com um relatório SOC Tipo I ou Tipo II descrevendo como seus controles internos abordam os riscos relacionados aos cinco critérios.

Uma certificação SOC 2 Tipo I significa que um auditor avaliou o escopo e o design dos processos de controle interno da organização em relação aos TSCs relevantes. Este relatório está avaliando os controles em um determinado momento, portanto, o desempenho consistente não está sendo avaliado e é uma etapa preliminar para obter uma certificação Tipo II. Pense no Tipo I como uma linha de base teórica, onde o projeto de controles de uma empresa é examinado e implementado, mas eles não foram “testados na estrada”.

Uma certificação SOC 2 Tipo II pode ser obtida após o auditor ter sido capaz de examinar a eficácia operacional desses controles durante um período de tempo especificado, normalmente de seis a 12 meses. Este é um passo acima do relatório Tipo I, pois confirma que os processos de controle não são apenas bem projetados e implementados, mas também executados de forma consistente. Pense no Tipo II como o mundo real, onde eles são construídos corretamente, no lugar e comprovadamente funcionam, proporcionando ainda mais confiança aos clientes.

O que compõe uma Certificação SOC 2

Como dissemos anteriormente, uma certificação SOC 2 é concedida quando um auditor externo considera um provedor de serviços compatível com um ou mais dos TSCs relevantes mencionados acima. Vamos mergulhar em cada um desses critérios e como eles podem se relacionar com um negócio:

1. Segurança: Este princípio refere-se aos recursos do sistema de uma organização e como eles são protegidos contra acesso não autorizado, seja físico ou lógico. Os controles de acesso impedem a remoção, alteração ou divulgação não autorizada de informações juntamente com roubo, abuso ou uso indevido. As maneiras pelas quais isso pode ser gerenciado são ferramentas de segurança, como autenticação de dois fatores, firewalls de rede e de aplicativos e detecção de intrusão para impedir o acesso não autorizado por meio de violações de segurança.
2. Disponibilidade: Este princípio faz referência ao sistema, serviço ou produto disponível para operação ou uso conforme descrito em um contrato ou acordo de nível de serviço (SLA). Isso é determinado pelo provedor e pelo cliente para um nível mínimo aceitável e não se refere à usabilidade ou funcionalidade de um sistema, mas aos critérios de segurança que podem afetar o acesso. As maneiras pelas quais isso pode ser gerenciado são monitoramento de desempenho, recuperação de desastres e tratamento de incidentes de segurança.
3. Integridade de Processamento: Este princípio refere-se a um sistema que atinge o objetivo pretendido, em termos de fornecer os dados certos na hora certa e com o custo certo. Deve ser preciso, completo, oportuno, válido e autorizado. Isso não significa necessariamente integridade de dados, pois se houver erros antes de serem inseridos no sistema, isso não é responsabilidade do processador. Isso pode ser gerenciado por meio de procedimentos de garantia de qualidade (QA) e monitoramento de processos.
4. Confidencialidade: Este princípio baseia-se na consideração de que os dados confidenciais são protegidos. Podem ser dados cujo acesso ou divulgação seja especificamente restrito, como estruturas internas de preços, propriedade intelectual ou informações financeiras confidenciais. Isso significa que a transmissão deve incluir criptografia e o armazenamento deve ter controles de acesso, firewalls de rede/aplicativos para proteger novamente usuários não autorizados.
5. Privacidade: O último princípio diz respeito à coleta, uso, retenção, divulgação e descarte de informações pessoais do sistema de acordo com o aviso de privacidade da própria empresa, bem como os critérios dos princípios de privacidade geralmente aceitos da AICPA (GAPP). Isso inclui informações de identificação pessoal (PII), como nomes, endereços ou números de seguro social que podem ser usados ​​para identificar um indivíduo ou outros dados pessoais considerados confidenciais, como registros de saúde. Isso é feito usando controles de acesso, autenticação de dois fatores e criptografia.

Quem precisa de SOC 2

Conforme declarado anteriormente, a conformidade com SOC 2 é um dos padrões de auditoria mais amplamente aceitos para segurança e gerenciamento de dados, o que significa que muitas empresas exigirão um relatório antes de aprovar a compra de um novo software ou serviço.

O relatório SOC 2 mostrará aos clientes potenciais e atuais que você está comprometido em proteger os interesses de seus clientes e seus próprios. Algumas indústrias que devem ser compatíveis com SOC 2 são:

• Contabilidade, computação em nuvem, CRMs, análise de dados, gerenciamento de documentos ou registros, serviços financeiros, RH, gerenciamento de segurança de TI, sinistros médicos, fornecedores de SaaS (como Justuno!) e muito mais.

Por que o SOC 2 é importante

A conformidade com SOC 2 é necessária para prestadores de serviços que trabalham em áreas altamente regulamentadas ou com clientes que são empresas de capital aberto, para serem vistos como um fornecedor viável para contratação. Este relatório dá aos clientes em potencial a confiança de que seus dados estão sendo protegidos e você não tem a possibilidade de introduzir vulnerabilidades em seus sistemas por meio de integrações.

À medida que a privacidade de dados continua a crescer em importância e mais regulamentações são introduzidas, a conformidade com SOC 2 só se tornará mais importante. Apenas algumas razões pelas quais é importante:

• As empresas podem perder negócios sem ele, ou vice-versa, podem obter uma vantagem competitiva sobre os concorrentes mais lentos.
• É mais barato do que uma violação de dados em massa
• Melhora a reputação e a confiabilidade de uma empresa

No entanto, o SOC 2 não é o único tipo de relatório SOC disponível, existem dois outros:

• SOC 1: Relatórios sobre controles internos de relatórios financeiros para garantir aos usuários que suas informações financeiras sejam tratadas com segurança e geradas para outros auditores. Isso pode realmente ser necessário para algumas organizações cumprirem, ou seja, empresas de capital aberto.
• SOC 3: relata os mesmos 5 TSCs que o SOC 2, mas está disponível publicamente para qualquer pessoa com apenas um alto nível de informações, pois o SOC 2 contém contornos de infraestrutura altamente confidenciais.

No final do dia, o tipo de relatório SOC que você, como empresa, deve buscar depende dos serviços prestados e da clientela buscada.

Pensamentos finais

A conformidade com SOC 2 não é um requisito para provedores de SaaS, mas sua importância não pode ser exagerada. Seja você uma empresa buscando seus próprios relatórios SOC ou uma empresa procurando comparar fornecedores externos, é importante entender o que é uma auditoria SOC, o que procurar nos sistemas de uma empresa e como isso afeta sua própria organização.

Justuno é compatível com SOC 2 Tipo II nos TSCs: Segurança, Disponibilidade e Integridade de Processamento conforme certificado pela Dansa, D'Arata, Soucia LLP em 2021. Como uma plataforma SaaS que lida constantemente com dados pessoais e informações confidenciais, é importante para Justuno que defendemos e mantemos os mais rigorosos padrões de segurança, integridade e privacidade.