O que é conformidade com SOC 2 tipo II?

O que é conformidade com a SOC 2 tipo II?

A conformidade SOC 2 Tipo II é uma estrutura para organizações de serviços que demonstra controles adequados para critérios de segurança de dados.

No cenário atual orientado por serviços, os dados de uma organização raramente existem apenas em seu próprio ambiente de TI. Esses dados são frequentemente confiáveis com muitos fornecedores e provedores de serviços. Uma grande parte da escolha de qual fornecedor confiar nesses dados é feita com a ajuda de certificações, que podem demonstrar adesão a determinados padrões de segurança e confidencialidade. 

As certificações de conformidade se enquadram em estruturas e são verificadas por auditores terceirizados. Eles podem dar aos clientes um selo de aprovação de que um fornecedor tem todos os controles e proteções necessários em vigor para garantir que seus dados sejam os mais seguros possíveis. Uma dessas estruturas é chamada de estrutura de controle da organização de serviços (SOC, Service Organization Control).

Se você é um fornecedor ou provedor de serviços, pode ser solicitado que forneça relatórios de conformidade de dados SOC 2. Se você é um cliente, pode solicitar certificação SOC para verificar se um fornecedor ou provedor tem os controles adequados em vigor para conformidade de dados. 

Veja mais detalhes sobre esse padrão de conformidade específico do provedor de serviços, o que ele inclui e por que ele é importante.

O que é SOC 2 Tipo II?

Visão geral da SOC 2 tipo II

As certificações de conformidade de dados são frequentemente necessárias como um pré-requisito ou obrigação contratual para um compromisso. A conformidade com a SOC 2 Tipo II foi desenvolvida especificamente para organizações de serviços. O SOC 2 Tipo II inclui princípios para segurança de dados, disponibilidade, confidencialidade, privacidade e integridade do processamento de transações. O tipo II indica que a auditoria foi realizada por um período prolongado, muitas vezes seis meses. 

Esses padrões são essenciais para garantir proteções de segurança da informação (InfoSec, Information Security) de alto nível entre os sistemas de TI dos fornecedores e aderir aos contratos entre fornecedores e clientes. 

Quantos critérios SOC existem?

Há cinco critérios de serviço, ou princípios de confiança, em um relatório de conformidade SOC 2. A segurança é obrigatória, enquanto os outros critérios podem ser mais específicos do setor ou da empresa. Cada um deles acionará requisitos para diferentes tipos de controles.

• Segurança: Essa é a categoria de serviço básica mais importante necessária para conformidade com a SOC 2.
• Disponibilidade: Isso é importante para provedores de serviços que têm SLAs rigorosos para atender a produtos de software como serviço (SaaS ), plataforma como serviço (PaaS ) ou infraestrutura como serviço (IaaS ). Se o serviço de TI for considerado essencial para os clientes, a disponibilidade de dados é essencial.
• Integridade do processamento: Isso é aplicável a serviços que processam transações para clientes de finanças ou comércio eletrônico.
• Confidencialidade: Quando os dados que você está processando para clientes são confidenciais (por exemplo, propriedade intelectual), esse é um pilar essencial da conformidade com a SOC 2 Tipo II.
• Privacidade: Para não ser confundido com a confidencialidade acima, esse princípio é específico para informações de identificação pessoal (PII, Personally Identifiable Information), como prontuários médicos.

O que é avaliado em uma SOC 2 tipo II?

Em uma auditoria de conformidade SOC 2 Tipo II, políticas e controles desenvolvidos para atender aos critérios de serviço acima são avaliados quanto à sua eficácia, geralmente durante um período de seis meses. Os controles são adequados aos critérios? Sua empresa é consistente ao realizá-los?

O que é uma certificação SOC 2 tipo II?

A certificação SOC 2 tipo II é a prova de um auditor terceirizado de que as políticas de uma organização foram aprovadas na auditoria para conformidade com a SOC 2 tipo II.

Quais são os benefícios da conformidade com a SOC 2 tipo II?

Os benefícios da SOC 2 Tipo II são melhorar a integridade geral da segurança e das proteções de dados dentro de uma organização e entre seus fornecedores. Para provedores de serviços, a certificação SOC 2 Tipo II pode ajudar a melhorar as chances de ganhar uma parceria ou cliente em detrimento da concorrência. Para os clientes, é prova demonstrável que seus dados estarão em boas mãos com controles e proteções adequados.

Quem precisa ter conformidade com SOC 2 tipo II?

Qualquer fornecedor que lida com dados de clientes ou informações confidenciais que esteja buscando cumprir obrigações contratuais com um cliente para conformidade com SOC 2 Tipo II pode se beneficiar da certificação.

SOC 2 vs. outras certificações de conformidade

Diferenças entre SOC 1 e SOC 2

Qual é a diferença entre a SOC 1 e a SOC 2? A SOC 1 não se concentra em critérios de segurança, mas em critérios de relatórios financeiros. O SOC 1 também foi desenvolvido para organizações de serviços, mas especificamente para aquelas para as quais certas funções financeiras foram terceirizadas. Observe que as auditorias SOC 1 normalmente se alinham aos anos fiscais e incluem cinco critérios de serviço, incluindo ambiente de controle, avaliação de riscos, atividades de controle, comunicação e informações e monitoramento. 

Diferenças entre SOC 2 e ISO-27001

Tanto a SOC 2 tipo II quanto a ISO-27001 são estruturas que se concentram no gerenciamento da InfoSec. Embora a SOC 2 tipo II avalie a eficácia geral dos controles de segurança, a ISO-27001 é uma abordagem muito prescritiva e sistemática para sistemas de gerenciamento de segurança da informação. O foco principal da ISO-27001 é em sistemas e controles internos e é um padrão, enquanto a SOC 2 Tipo II é uma estrutura para realizar uma auditoria.

SOC 2 Tipo II vs. PCI DSS, HIPAA, GDPR 

Há uma série de estruturas de conformidade: como elas são diferentes e quais organizações precisam delas?

O SOC 2 Tipo II e o Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS, Payment Card Industry Data Security Standard) são duas estruturas de conformidade muito diferentes, com pouca ou nenhuma sobreposição. O PCI DSS está especificamente relacionado aos controles de como as informações e transações de cartão de crédito são tratadas. O PCI DSS também é aplicável apenas a provedores de serviços financeiros, enquanto o SOC 2 Tipo II abrange uma gama mais ampla de setores. Finalmente, o PCI DSS é realizado anualmente, e não por uma empresa de CPA.

A SOC 2 Tipo II e a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, Health Insurance Portability and Accountability Act) também são diferentes na área de foco dos dados que estão sendo protegidos. A HIPAA se aplica apenas a organizações de saúde e provedores de serviços que lidam com dados de pacientes (e é exigida por lei), enquanto a SOC 2 Tipo II pode incluir organizações de saúde, mas não é obrigatória para elas. Além disso, embora a SOC 2 Tipo II não seja tão prescritiva em como os critérios de serviço são atendidos, a HIPAA é, com padrões muito específicos que devem ser atendidos para conformidade.

A SOC 2 Tipo II e o Regulamento Geral de Proteção de Dados (GDPR, General Data Protection Regulation) são estruturas que abordam a segurança e a privacidade dos dados. A estrutura do GDPR é aplicável apenas a organizações que lidam com dados pessoais de residentes na União Europeia e se concentra nos direitos de privacidade e proteção de dados. Isso exige controles sobre a transparência de como os dados são usados, o “direito de ser esquecido”, a minimização de dados e o consentimento. Embora a SOC 2 tipo II não seja obrigatória, a GDPR é e a não conformidade pode resultar em ramificações e multas legais.

Preparação para a avaliação SOC 2 tipo II

Preparar-se para uma auditoria SOC 2 Tipo II é um esforço de equipe e pode exigir algumas horas de equipe para sair do local. Decidir implementar a conformidade SOC 2 Tipo II também pode exigir uma quantidade justa de adesão e suporte internamente para que as coisas aconteçam e incorporem-nas aos processos no longo prazo. 

Etapas para ajudar a se preparar para a avaliação SOC 2 Tipo II

1. Saiba o “porquê” por trás da sua solicitação de conformidade com a SOC 2. Seja uma solicitação do cliente ou outro motivo, isso ajudará você a entender seus prazos para certificação de conformidade, o escopo do trabalho envolvido e muito mais. Isso também ajudará a identificar políticas existentes que você tem e que podem ajudar, além de fornecer ao auditor contexto e escopo.
2. Reúna a equipe certa de indivíduos em sua organização para integrá-los à SOC 2 Tipo II. Dependendo do seu cronograma para iniciar o SOC 2 Tipo II, você pode precisar de mais pessoas para abordar certas tarefas, coleta de evidências e desenvolvimento. Esse grupo pode incluir:
   
   • Liderança, como CEO, CTO, CISO e outros executivos de diretoria
   • DevOps
   • Recursos humanos, pois os funcionários podem entrar no escopo das auditorias
   • InfoSec
3. InfoSecPrepare-se para fornecer escopo. Esteja preparado para responder a perguntas específicas de dados, como onde seu serviço está hospedado (nuvem pública, local), previsão de capacidade, locais de escritório (é um ambiente de confiança zero ou os servidores precisarão ser listados na lista branca?), se você armazena dados confidenciais, etc.

Trabalhar com auditores terceirizados para conformidade com SOC 2 tipo II

A estrutura SOC 2 foi desenvolvida pelo American Institute of Certified Public Accountants (AICPA) e uma auditoria deve ser concluída por uma empresa de CPA.

Ao avaliar uma empresa para auditá-lo quanto à conformidade com a SOC 2 Tipo II, considere a qualidade e a experiência, além do custo, e se ela é adequada para trabalhar com sua equipe no dia a dia por semanas ou meses, e se torne um consultor e parceiro de longo prazo para sua organização.

Perguntas a fazer: Eles têm um excelente histórico de auditorias bem-sucedidas? A empresa tem experiência em auditoria específica para o seu setor? Sinta-se à vontade para pedir avaliações de pares, análise de terceiros necessária de documentos para auditores e indicações.

Além disso, considere contratar um auditor o mais cedo possível no processo, pois ele pode ser valioso para ajudar você a definir o escopo do projeto e alinhar os recursos certos internamente para cumprir seu prazo (se você tiver um).

• Depois de escolher o auditor, você passará por: 
• Exercício de escopo e descoberta para definir expectativas
• Uma avaliação de prontidão, para uma visão de cima para baixo das lacunas, do que você precisará para começar, quais políticas já estão em vigor, etc.
• Check-ins, antes do teste final
• O exame de certificação

Durante a auditoria, será solicitado que você forneça as políticas, os controles e as evidências para cada um. 

Como manter a certificação SOC 2 tipo II

É importante observar que a conformidade com a SOC 2 tipo II não é única. Isso requer diligência e esforço contínuo. Manter a certificação SOC 2 tipo II requer monitoramento constante, documentação, divulgação e resposta a incidentes, treinamento de funcionários e avaliações periódicas. Isso é para mostrar que uma organização tem um compromisso contínuo com a conformidade e está fazendo as alterações e upgrades necessários na política.

Como uma organização certificada pela ISO 27001, a Pure Storage oferece vários produtos e serviços desenvolvidos para oferecer aos nossos clientes monitoramento e controle abrangentes sobre seus dados. Confira nosso pacote de soluções avançadas de proteção de dados para saber como podemos ajudar você a atingir suas metas de conformidade de segurança de dados.