SOC

A escolha do relatório SOC depende do tipo de serviço que sua empresa presta e das exigências dos seus clientes.

• SOC 1 é indicado para empresas cujos controles impactam relatórios financeiros de clientes.

• SOC 2 é o mais comum para empresas de tecnologia, SaaS, cloud, outsourcing e serviços que lidam com dados sensíveis, avaliando segurança, disponibilidade, integridade, confidencialidade e privacidade.

• SOC 3 é uma versão pública do SOC 2, usada para marketing e credibilidade.

• SOC for Cybersecurity avalia a postura cibernética geral da organização.

• SOC 1: Focado em controles que afetam relatórios financeiros dos clientes (ICFR).

• SOC 2: Avalia controles baseados nos Trust Services Criteria (segurança, disponibilidade, integridade, confidencialidade e privacidade). É o mais solicitado pelo mercado.

• SOC 3: Similar ao SOC 2, porém com um relatório público, sem detalhes técnicos, ideal para divulgação comercial.

Em resumo:

• SOC 1 = financeiro

• SOC 2 = segurança e governança

• SOC 3 = versão pública do SOC 2

O prazo depende da maturidade dos controles da empresa e do tipo de relatório:

• Readiness Assessment: 4 a 8 semanas

• Remediação de gaps: varia de 1 a 6 meses, dependendo da complexidade

• Auditoria Tipo I: 4 a 8 semanas

• Auditoria Tipo II: exige um período de observação de 3 a 12 meses

Empresas com processos mais maduros conseguem acelerar o ciclo. Já organizações iniciando do zero geralmente precisam de mais tempo para implementar controles.

Sim. Os relatórios SOC são válidos por 12 meses. Para manter a conformidade e atender clientes corporativos, é necessário realizar a auditoria todos os anos.

Além disso, auditorias anuais demonstram:

• Continuidade dos controles

• Evolução da maturidade

• Compromisso com segurança e governança

• Confiabilidade perante clientes e parceiros

O readiness assessment é uma avaliação prévia que identifica se a empresa está pronta para a auditoria SOC. Ele inclui:

• Mapeamento de processos e sistemas

• Avaliação dos controles existentes

• Identificação de lacunas (gaps)

• Recomendações de remediação

• Criação de um roadmap de conformidade

• Definição do escopo ideal (SOC 1, SOC 2, SOC 3 ou Cybersecurity)

É a etapa mais importante para evitar falhas durante a auditoria e reduzir custos e retrabalho.

Não. SOC e ISO 27001 são complementares, não substitutos.

• SOC 2 é um relatório de auditoria independente baseado nos critérios do AICPA.

• ISO 27001 é uma certificação de sistema de gestão de segurança da informação (SGSI).

Empresas que possuem ISO 27001 geralmente têm mais facilidade para obter SOC 2, mas cada estrutura atende objetivos diferentes.

O relatório SOC é entregue exclusivamente às partes que têm necessidade legítima de acesso, como:

• Clientes atuais que dependem dos controles avaliados

• Clientes potenciais que precisam validar a segurança antes de contratar

• Auditores externos

• Parceiros estratégicos que exigem comprovação de conformidade

• Reguladores, quando aplicável

O relatório não é distribuído publicamente, pois contém informações sensíveis sobre processos internos, controles e arquitetura de segurança.

Não. Relatórios SOC não são documentos públicos e não devem ser disponibilizados em sites, redes sociais ou materiais promocionais.

O que pode ser divulgado:

• O fato de que a empresa possui um relatório SOC

• O tipo de relatório (SOC 1, SOC 2, SOC 3)

• O período coberto

• A firma de auditoria responsável

O que não pode ser divulgado:

• O conteúdo completo do relatório

• Detalhes de controles internos

• Informações que possam comprometer segurança ou compliance

Para comunicações externas, recomenda‑se usar um resumo executivo ou um SOC 3, quando disponível, pois este sim é público.

Porque cada tipo de relatório SOC atende a um objetivo específico:

• SOC 1 → Controles que impactam relatórios financeiros

• SOC 2 → Segurança, disponibilidade, integridade, confidencialidade e privacidade

• SOC 3 → Versão pública e resumida do SOC 2

• SOC for Supply Chain → Riscos e controles na cadeia de suprimentos

Se o solicitante não souber qual é o objetivo final, corre-se o risco de:

• Solicitar o relatório errado

• Receber informações que não atendem à necessidade real

• Interpretar incorretamente os controles avaliados

• Criar expectativas que o relatório não foi projetado para atender

Entender o propósito garante que o relatório apoia a decisão correta, seja ela:

• Avaliar riscos

• Atender auditorias

• Validar fornecedores

• Comprovar conformidade

• Suportar due diligence

Porque ele contém:

• Descrições detalhadas de processos internos

• Controles operacionais e de segurança

• Informações que podem ser exploradas por terceiros mal-intencionados

O uso inadequado pode:

• Expor vulnerabilidades

• Criar interpretações erradas sobre o escopo

• Gerar riscos legais e de compliance

O relatório SOC é uma ferramenta de governança e auditoria, não de promoção comercial.

• Definir claramente quem solicita e por quê

• Validar se o relatório solicitado é o tipo correto (SOC 1, SOC 2, etc.)

• Assinar NDA quando necessário

• Fornecer apenas a versão apropriada para cada público

• Acompanhar o uso para evitar divulgação indevida

Não. Ele demonstra que a empresa possui controles desenhados e operando efetivamente dentro de um escopo definido.

Ele não substitui:

• Avaliações internas de risco

• Due diligence técnica

• Testes de segurança adicionais

• Auditorias específicas do cliente

O relatório SOC é uma evidência de maturidade, não uma garantia absoluta.