Artigos

Relatório de Conformidade SOC

Por 22 de novembro de 2021 Sem comentários

*Por Kelly Ribeiro

Segurança da informação e privacidade são temas cada vez mais relevantes nos dias atuais e a falha ou ausência de controles e procedimentos pode causar enormes prejuízos financeiros e danos à imagem das empresas. Naturalmente, estas além de buscar aprimorar seus controles internos estão observando com maior cuidado e requerendo que seus fornecedores e parceiros também demonstrem, cada vez mais, compromisso com a adoção de controles que assegurem a segurança e privacidade de suas informações.

Diante desta movimentação do mercado, o Instituto Americano de Contadores Públicos Certificados (AICPA) desenvolveu uma estrutura de relatório de gerenciamento de riscos de segurança cibernética e as e empresas podem fazer uso dos relatórios SOC (Service Organization Controls) para demonstrar seus esforços de gerenciamento de riscos de segurança cibernética e apresentar os sistemas, processos e controles existentes para detectar, prevenir e responder a violações. A seguir, detalhamos quais são os relatórios SOC e por que eles são importantes.

Relatório SOC 1 – Controle sobre as informações financeiras (ISAE 3402, /SSAE18)

O relatório documenta os controles de uma organização que podem ser relevantes para os relatórios financeiros. A declaração sobre normas para compromissos de atestado (SSAE 18) e as normas internacionais para compromissos de garantia nº 3402 (ISAE 3402) são os padrões sob os quais a auditoria é realizada e são a base do relatório SOC 1.

Relatório SOC 2– Controles Operacionais e Compliance

O objetivo desse relatório é prover ao cliente e partes interessadas uma opinião sobre os controles de prestação de serviço relacionados a segurança, disponibilidade, confidencialidade e privacidade das informações.

O escopo considera o ambiente de controles relacionado à prestação de serviços que a companhia provê aos seus clientes, e não inclui a avaliação os terceiros eventualmente considerados como relevantes para a prestação de serviços.  O escopo é definido baseado no TSP 100 do Trust Service Criteria emitido pelo AICPA. É obrigatório incluir a categoria “Segurança” no escopo. As demais categorias (disponibilidade, integridade do processamento, confidencialidade e privacidade) são opcionais, dependendo da relevância da prestação do serviço para os clientes.

 SOC 3 – Controles Operacionais e de Compliance

O Relatório SOC 3 é de uso público e provê às partes interessadas uma opinião sobre os controles da organização de serviço relacionados à segurança, disponibilidade, integridade de processamento e/ou privacidade. O relatório de auditoria SOC 3 é sempre baseado nos resultados de uma avaliação SOC 2 Tipo II.

Tipos de Relatório I e IIO relatório de auditoria SOC 1 e SOC 2 podem ser do Tipo I ou do Tipo II. A diferença é que o Tipo I é uma avaliação pontual dos controles e o Tipo II é uma avaliação da eficácia dos controles ao longo de um período, normalmente seis meses ou mais.

Esses relatórios são muito detalhados e úteis para:

  • Supervisão da organização;
  • Programas de gerenciamento de fornecedores;
  • Governança corporativa interna e processos de gerenciamento de riscos;
  • Supervisão regulatória

A auditoria SOC 2 fornece aos clientes e partes interessadas de uma organização uma garantia sobre a adequação e eficácia de seus controles de dados, com base em sua conformidade com os critérios de serviços de confiança estabelecidos pelo AICPA. Esses critérios são divididos em quatro categorias: controles de acesso lógico e físico, operações do sistema, gerenciamento de mudanças e mitigação de riscos. O SOC 2 não é uma certificação, mas sim um exame dos controles de dados de uma organização e a opinião de um terceiro credenciado sobre a adequação desses controles.

— Kelli Ribeiro é Privacy Information Security Manager [SAFEWAY] | Compliance | DPO | ISO 27001, 20000 e 22301|Membro do comitê ANPPD®

Sobre a Safeway:

SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.

Hoje através de mais de 23 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.

Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!