O que é conformidade SOC 2?
A Conformidade SOC2, abreviação de Sistema de Controle de Organizações e Sistemas 2, é um conjunto de padrões de segurança desenvolvidos para avaliar e garantir a confiabilidade das operações de empresas de tecnologia e SaaS (Software as a Service) que coletam e armazenam dados dos clientes na nuvem. É uma auditoria criteriosa que avalia os controles de segurança organizacional de uma empresa, assegurando a proteção adequada da privacidade e segurança dos dados do cliente.
O SOC2 tornou-se um padrão altamente reconhecido e amplamente adotado pelas empresas SaaS e seus clientes como um indicador confiável de práticas de segurança robustas e eficazes.
Quem precisa estar em conformidade com o SOC2?
Empresas que prestam serviços na área de tecnologia, especialmente aquelas que lidam com informações confidenciais dos clientes, precisam estar em conformidade com o SOC2. Como prestador de serviços, é essencial garantir a proteção dos dados confiados pelos clientes.
A conformidade com o SOC2 não só desbloqueia o potencial de seu negócio, mas também oferece tranquilidade aos seus clientes e prospects.
SOC 2 – Tipo l e Tipo ll
o SOC2 Tipo I é uma avaliação instantânea dos controles de segurança, enquanto o SOC2 Tipo II vai além, analisando a eficácia desses controles ao longo do tempo.
TIPO l
– Avalia se os controles de segurança da empresa estão projetados e em vigor em um ponto específico no tempo.
– Verifica se as políticas e procedimentos de segurança da empresa são apropriados e foram implementados corretamente.
– É uma avaliação instantânea que fornece uma imagem estática dos controles de segurança.
TIPO ll
– Avalia a eficácia dos controles ao longo de um período de tempo.
– Analisa se os controles estão em operação e funcionam conforme o esperado durante um período mínimo de seis meses.
– Oferece uma visão mais abrangente e contínua da eficácia dos controles de segurança da empresa.
Critérios Comuns
CC1 – Ambiente de Controle
CC2 – Comunicação e Informação
CC3 – Avaliação de Riscos
CC4 – Atividades de Monitoramento
CC5 – Atividades de Controle
CC6 – Controles de Acesso Lógico e Físico
CC7 – Operações do Sistema
CC8 – Gerenciamento de Mudanças
CC9 – Mitigação de Riscos
Princípios de confiança SOC 2
SEGURANÇA E CONFIDENCIALIDADE
Garantia de que as informações e sistemas são protegidos contra acesso não autorizado.
Proteção das informações designadas como confidenciais.
PRIVACIDADE
Garantia de que as informações pessoais são coletadas, usadas, retidas, divulgadas e descartadas conforme necessário para atender aos objetivos da empresa.
INTEGRIDADE E PROCESSAMENTO
Certificação de que o processamento do sistema é completo, válido, preciso, oportuno e autorizado.
DISPONIBILIDADE
Asseguração de que as informações e sistemas estão disponíveis para operação e uso conforme necessário.