São Paulo/SP – 17/08/2023 – A seleção do relatório SOC mais adequado para uma empresa é intrinsecamente dependente do tipo de informação que ela processa para seus clientes.
*By Eduardo Camolez
Tomemos como exemplo o BACEN (Central Bank of Brazil), que exige que os bancos mantenham uma política de segurança cibernética e realizem avaliações periódicas de seus fornecedores de serviços críticos, incluindo a obrigação de comunicar os resultados das avaliações ao regulador. Essa mesma exigência é aplicada pela SUSEP (Superintendência de Seguros Privados) e outras entidades reguladoras.
Uma ramificação significativa desse nível de requerimento em relação à gestão de riscos e à implementação de processos e controles de segurança da informação é que a importância desse tema se estende por toda a cadeia de valor das empresas, envolvendo até mesmo os provedores de serviços. Isso é reforçado pela Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018, que estipula que uma empresa é responsável solidária por incidentes de vazamento de dados, mesmo que provenham de um prestador de serviços.
Além dos riscos à reputação e finanças, todos esses aspectos têm gerado uma demanda por não apenas implementar controles internos, mas também comprovar sua eficácia.
Uma abordagem para comprovar a presença de controles internos sólidos e riscos mitigados é obter certificações fornecidas por entidades independentes. Entre as principais certificações voltadas para esse propósito, destacam-se as certificações SOC (Service Organization Control) 1, 2 e 3.
A história do SOC 2 remonta aos anos 1970, quando o AICPA (American Institute of Certified Public Accountants) criou o SOC 2 e publicou o Statement on Auditing Standards (SAS) 1.
O SAS 1 definiu oficialmente o papel e as responsabilidades de um auditor independente.
Com o passar dos anos, surgiram novos padrões SAS, culminando no SAS 70 em 1992.
Na década de 1990, os CPAs começaram a utilizar o SAS 70 para avaliar a eficácia dos controles financeiros internos das empresas. Com o tempo, o SAS 70 evoluiu para incluir a avaliação da segurança da informação de maneira geral.
Nos 20 anos subsequentes, à medida que as empresas externalizaram serviços como processamento de folha de pagamento e computação em nuvem, surgiu a necessidade de validar a segurança desses serviços por meio de terceiros confiáveis.
O marco do SOC 2 se deu em abril de 2010, quando o AICPA introduziu um novo padrão de auditoria: o Statement on Standards for Attestation Engagement (SSAE 16).
O SSAE 16 deu origem aos relatórios do Service Organization Controls (SOC), incluindo o renomado SOC 2, além do SOC 1 e SOC 3.
Em maio de 2017, o AICPA substituiu o SSAE 16 pelo SSAE 18 para simplificar alguns aspectos confusos. O SSAE 18 passou a abranger todos os relatórios SOC 1, SOC 2 e SOC 3.
Qual é a diferença entre esses relatórios?
O SOC 1 tem como foco avaliar os controles que afetam as demonstrações financeiras dos clientes, como os relacionados a folha de pagamento e processamento de pagamentos.
Já o SOC 2 busca avaliar os controles internos de forma mais abrangente, com ênfase na segurança da informação. Os Trust Services Criteria incluem segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade.
O SOC 3 oferece um resumo do SOC 2, disponibilizando informações públicas sobre os testes e avaliações realizados.
É importante ressaltar que os relatórios SOC não representam um aumento de maturidade, e não é necessário ter um SOC 1 para obter um SOC 2. A obtenção de um SOC 2 é requisito para a obtenção de um SOC 3, visto que este último é um resumo do primeiro.
Como escolher o relatório SOC adequado?
A escolha do relatório SOC apropriado depende do tipo de informação que a empresa processa para seus clientes.
Empresas que oferecem serviços de processamento de folha de pagamento provavelmente necessitarão de um SOC 1. Já aquelas que hospedam ou processam dados de clientes precisarão de um SOC 2. O SOC 3 é mais informal e pode servir como material de marketing.
Algumas organizações podem necessitar tanto de um SOC 1 quanto de um SOC 2, dependendo dos serviços oferecidos e de suas demandas de clientes. Isso pode resultar em sobreposição, agilizando os processos de teste.
— Eduardo Camolez é Sócio e Líder de GRC na [SAFEWAY]
How can we help?
SAFEWAY is an Information Security consulting company recognized by its clients for offering high added value solutions through projects that fully meet the needs of the business. In 15 years of experience, we have accumulated several successful projects that have earned us credibility and prominence among our clients, which largely constitute the 100 largest companies in Brazil.
Today through 25 strategic partnerships with global manufacturers and our SOC, SAFEWAY is considered one one stop shopping with the best technology, process and people solutions. SAFEWAY can help your organization with the implementation of an AI solution in a secure way. If you want more information, contact our experts!
