O que é a Conformidade SOC 2?

SOC 2 é um padrão de conformidade voluntário para organizações de serviços, desenvolvido pelo Instituto Americano de Contadores Públicos Certificados (AICPA), que especifica como as organizações devem gerenciar os dados dos clientes. O padrão é baseado nos seguintes Critérios de Serviços de Confiança: segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade. Um relatório SOC 2 é personalizado para atender às necessidades específicas de cada organização. Dependendo de suas práticas comerciais específicas, cada organização pode desenvolver controles que sigam um ou mais princípios de confiança. Esses relatórios internos fornecem às organizações, seus órgãos reguladores, parceiros comerciais e fornecedores, informações importantes sobre como a organização gerencia seus dados. Existem dois tipos de relatórios SOC 2:

  • O Tipo I descreve os sistemas da organização e se o projeto do sistema está em conformidade com os princípios de confiança relevantes.
  • O Tipo II detalha a eficiência operacional desses sistemas.

Teste gratuito do CSPM Baixe a ficha técnica

Conformidade SOC 2: o básico e uma lista de verificação de conformidade em 4 etapas

Por que a conformidade com o SOC 2 é importante?

A conformidade com os requisitos do SOC 2 indica que uma organização mantém um alto nível de segurança da informação. Requisitos rigorosos de conformidade (testados por meio de auditorias no local) podem ajudar a garantir que informações confidenciais sejam tratadas de forma responsável.

 

A conformidade com o SOC 2 proporciona:

  • Práticas aprimoradas de segurança da informação – por meio das diretrizes SOC 2, a organização pode se defender melhor contra ataques cibernéticos e prevenir violações.
  • Uma vantagem competitiva – porque os clientes preferem trabalhar com fornecedores de serviços que possam comprovar que possuem práticas sólidas de segurança da informação, especialmente para serviços de TI e Nuvem.

Quem pode realizar uma auditoria SOC?

As auditorias SOC só podem ser realizadas por contadores públicos certificados (CPAs) independentes ou por empresas de contabilidade.

 

A AICPA estabeleceu normas profissionais destinadas a regulamentar o trabalho dos auditores SOC. Além disso, certas diretrizes relacionadas ao planejamento, execução e supervisão da auditoria devem ser seguidas. Todas as auditorias da AICPA devem passar por uma revisão por pares.

 

As organizações de contabilidade podem contratar profissionais não contadores com habilidades relevantes em tecnologia da informação (TI) e segurança para se prepararem para auditorias SOC, mas os relatórios finais devem ser fornecidos e divulgados pelo contador.

 

Se a auditoria SOC realizada pelo contador público certificado for bem-sucedida, a organização de serviços poderá adicionar o logotipo da AICPA ao seu site.

Critério de segurança SOC 2: uma lista de verificação de 4 etapas

A segurança é a base da conformidade com o SOC 2 e é um padrão amplo comum a todos os cinco Critérios de Serviço de Confiança.

 

Os princípios de segurança do SOC 2 têm como foco a prevenção do uso não autorizado de ativos e dados gerenciados pela organização. Este princípio exige que as organizações implementem controles de acesso para prevenir ataques maliciosos, exclusão não autorizada de dados, uso indevido, alteração não autorizada ou divulgação de informações da empresa.

 

Segue abaixo uma lista de verificação básica de conformidade com a SOC 2, que inclui controles que abrangem normas de segurança:

  1. Controles de acesso— restrições lógicas e físicas aos ativos para impedir o acesso por pessoal não autorizado.
  2. Gestão de mudanças— um processo controlado para gerenciar alterações em sistemas de TI e métodos para prevenir alterações não autorizadas.
  3. Operações do sistema— controles que podem monitorar as operações em andamento, detectar e resolver quaisquer desvios dos procedimentos organizacionais.
  4. Mitigar riscos— métodos e atividades que permitem à organização identificar riscos, bem como responder e mitigá-los, abordando também quaisquer consequências subsequentes para os negócios.

 

Lembre-se de que os critérios do SOC 2 não prescrevem exatamente o que uma organização deve fazer — eles estão sujeitos a interpretação. As empresas são responsáveis por selecionar e implementar medidas de controle que abranjam cada princípio.

Requisitos de Conformidade SOC 2: Outros Critérios

A segurança abrange o básico. No entanto, se a sua organização opera no setor financeiro ou bancário, ou em um setor onde a privacidade e a confidencialidade são fundamentais, você pode precisar atender a padrões de conformidade mais elevados.

 

Os clientes preferem prestadores de serviços que estejam em total conformidade com todos os cinco princípios do SOC 2. Isso demonstra que sua organização está fortemente comprometida com as práticas de segurança da informação.

 

Além dos princípios básicos de segurança, veja como cumprir outros princípios do SOC 2:

  • Disponibilidade— o cliente consegue acessar o sistema de acordo com os termos de uso e níveis de serviço acordados?
  • Integridade do processamento— se a empresa oferece transações financeiras ou de comércio eletrônico, o relatório de auditoria deve incluir detalhes administrativos destinados a proteger a transação. Por exemplo, a transmissão é criptografada? Se a empresa fornece serviços de TI, como hospedagem e armazenamento de dados, como a integridade dos dados é mantida nesses serviços?
  • Confidencialidade— existem restrições sobre como os dados são compartilhados? Por exemplo, se sua empresa tiver instruções específicas para o processamento de informações de identificação pessoal (PII) ou informações de saúde protegidas (PHI), isso deve ser incluído no documento de auditoria. O documento deve especificar os métodos e procedimentos de armazenamento, transferência e acesso a dados para atender às políticas de privacidade, como os procedimentos para funcionários.
  • Privacidade— como a organização coleta e utiliza as informações dos clientes? A política de privacidade da empresa deve ser consistente com os procedimentos operacionais reais. Por exemplo, se uma empresa afirma avisar os clientes sempre que coleta dados, o documento de auditoria deve descrever com precisão como os avisos são fornecidos no site da empresa ou em outros canais. A gestão de dados pessoais deve, no mínimo, seguir o Quadro de Gestão de Privacidade (PMF) do AICPA .

SOC 1 vs SOC 2

SOC 1 e SOC 2 são duas normas de conformidade diferentes, com objetivos distintos, ambas regulamentadas pelo AICPA. O SOC 2 não é uma "atualização" do SOC 1. A tabela abaixo explica as diferenças entre SOC 1 e SOC 2.

SOC 1 SOC 2
Propósito Auxilia uma organização de serviços a relatar os controles internos relacionados às demonstrações financeiras de seus clientes. Auxilia uma organização de serviços a relatar os controles internos que protegem os dados do cliente, relevantes para os cinco Critérios de Serviços de Confiança.
Objetivos de controle Uma auditoria SOC 1 abrange o processamento e a proteção de informações do cliente em processos de negócios e de TI. Uma auditoria SOC 2 abrange todas as combinações dos cinco princípios. Algumas organizações de serviços, por exemplo, lidam com segurança e disponibilidade, enquanto outras podem implementar todos os cinco princípios devido à natureza de suas operações e requisitos regulatórios.
Auditoria destinada a O contador público certificado (CPA) dos gestores da organização auditada, os auditores externos, as entidades usuárias (clientes da organização de serviços auditada) e os CPAs que auditam suas demonstrações financeiras. Executivos, parceiros comerciais, potenciais clientes, supervisores de conformidade e auditores externos da organização auditada.
Auditoria utilizada para Auxilia as entidades usuárias a compreenderem o impacto dos controles da organização de serviços em suas demonstrações financeiras. Supervisionar organizações de serviços, planos de gestão de fornecedores, processos internos de governança corporativa e gestão de riscos, além da supervisão regulatória.

Conformidade com SOC 2 pela Check Point

Diversos produtos da Check Pointatendem aos critérios de conformidade SOC 2 aplicáveis a serviços de confiança, como Check Point Posture Management, Check Point Connect, produtos Workspace Security , Check Point Portal e outros. Veja a lista completa aqui .