A seleção do relatório SOC mais adequado para uma empresa é intrinsecamente dependente do tipo de informação que ela processa para seus clientes.
Tomemos como exemplo o BACEN (Banco Central do Brasil), que exige que os bancos mantenham uma política de segurança cibernética e realizem avaliações periódicas de seus fornecedores de serviços críticos, incluindo a obrigação de comunicar os resultados das avaliações ao regulador. Essa mesma exigência é aplicada pela SUSEP (Superintendência de Seguros Privados) e outras entidades reguladoras.
Uma ramificação significativa desse nível de requerimento em relação à gestão de riscos e à implementação de processos e controles de segurança da informação é que a importância desse tema se estende por toda a cadeia de valor das empresas, envolvendo até mesmo os provedores de serviços. Isso é reforçado pela Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018, que estipula que uma empresa é responsável solidária por incidentes de vazamento de dados, mesmo que provenham de um prestador de serviços.
Além dos riscos à reputação e finanças, todos esses aspectos têm gerado uma demanda por não apenas implementar controles internos, mas também comprovar sua eficácia.
Uma abordagem para comprovar a presença de controles internos sólidos e riscos mitigados é obter certificações fornecidas por entidades independentes. Entre as principais certificações voltadas para esse propósito, destacam-se as certificações SOC (Service Organization Control) 1, 2 e 3.
A história do SOC 2 remonta aos anos 1970, quando o AICPA (American Institute of Certified Public Accountants) criou o SOC 2 e publicou o Statement on Auditing Standards (SAS) 1.
O SAS 1 definiu oficialmente o papel e as responsabilidades de um auditor independente.
Com o passar dos anos, surgiram novos padrões SAS, culminando no SAS 70 em 1992.
Na década de 1990, os CPAs começaram a utilizar o SAS 70 para avaliar a eficácia dos controles financeiros internos das empresas. Com o tempo, o SAS 70 evoluiu para incluir a avaliação da segurança da informação de maneira geral.
Nos 20 anos subsequentes, à medida que as empresas externalizaram serviços como processamento de folha de pagamento e computação em nuvem, surgiu a necessidade de validar a segurança desses serviços por meio de terceiros confiáveis.
O marco do SOC 2 se deu em abril de 2010, quando o AICPA introduziu um novo padrão de auditoria: o Statement on Standards for Attestation Engagement (SSAE 16).
O SSAE 16 deu origem aos relatórios do Service Organization Controls (SOC), incluindo o renomado SOC 2, além do SOC 1 e SOC 3.
Em maio de 2017, o AICPA substituiu o SSAE 16 pelo SSAE 18 para simplificar alguns aspectos confusos. O SSAE 18 passou a abranger todos os relatórios SOC 1, SOC 2 e SOC 3.
Qual é a diferença entre esses relatórios?
O SOC 1 tem como foco avaliar os controles que afetam as demonstrações financeiras dos clientes, como os relacionados a folha de pagamento e processamento de pagamentos.
Já o SOC 2 busca avaliar os controles internos de forma mais abrangente, com ênfase na segurança da informação. Os Trust Services Criteria incluem segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade.
O SOC 3 oferece um resumo do SOC 2, disponibilizando informações públicas sobre os testes e avaliações realizados.
É importante ressaltar que os relatórios SOC não representam um aumento de maturidade, e não é necessário ter um SOC 1 para obter um SOC 2. A obtenção de um SOC 2 é requisito para a obtenção de um SOC 3, visto que este último é um resumo do primeiro.
Como escolher o relatório SOC adequado?
A escolha do relatório SOC apropriado depende do tipo de informação que a empresa processa para seus clientes.
Empresas que oferecem serviços de processamento de folha de pagamento provavelmente necessitarão de um SOC 1. Já aquelas que hospedam ou processam dados de clientes precisarão de um SOC 2. O SOC 3 é mais informal e pode servir como material de marketing.
Algumas organizações podem necessitar tanto de um SOC 1 quanto de um SOC 2, dependendo dos serviços oferecidos e de suas demandas de clientes. Isso pode resultar em sobreposição, agilizando os processos de teste.
— Eduardo Camolez é Sócio e Líder de GRC na [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma consultoria em Segurança da Informação, do Grupo STEFANINI, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 15 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje através de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. A SAFEWAY pode ajudar sua organização com a implementação de uma solução de IA de forma segura. Caso deseje mais informações, entre em contato com nossos especialistas!