SOC 2
O que é SOC 2?
SOC 2Norma de atestação do AICPA segundo a qual um auditor independente avalia os controlos de uma organização prestadora de serviços face aos Trust Services Criteria.
SOC 2 (System and Organization Controls 2) é um trabalho de atestação definido pelo AICPA no âmbito da SSAE 18. Avalia os controlos de uma organização de serviços face aos Trust Services Criteria: Segurança (sempre obrigatória), Disponibilidade, Integridade de Processamento, Confidencialidade e Privacidade. Os relatórios são emitidos como Tipo 1 (conceção dos controlos num determinado momento) ou Tipo 2 (eficácia operacional ao longo de um período, geralmente 3 a 12 meses). É amplamente utilizado por fornecedores SaaS, cloud e MSP para demonstrar maturidade de controlos aos clientes ao abrigo de NDA. Não é uma certificação; o resultado é a opinião do auditor constante do relatório SOC 2.
● Exemplos
- 01
Uma startup SaaS obtém, no primeiro ano de auditoria, um relatório SOC 2 Tipo 1 focado em Segurança e Confidencialidade.
- 02
Um fornecedor empresarial entrega anualmente aos clientes um SOC 2 Tipo 2 que cobre Segurança e Disponibilidade.
● Perguntas frequentes
O que é SOC 2?
Norma de atestação do AICPA segundo a qual um auditor independente avalia os controlos de uma organização prestadora de serviços face aos Trust Services Criteria. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa SOC 2?
Norma de atestação do AICPA segundo a qual um auditor independente avalia os controlos de uma organização prestadora de serviços face aos Trust Services Criteria.
Como se defender contra SOC 2?
As defesas contra SOC 2 costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para SOC 2?
Nomes alternativos comuns: Service Organization Controls 2.