O que é o relatório SOC 2 e qual a sua importância para o senhasegura?
O que é o relatório SOC 2 e qual a sua importância para o senhasegura?
O SOC 2 fornece um relatório após finalizar a auditoria.
Recentemente o senhasegura conquistou este marco, providenciando detalhes sobre os princípios de confidencialidade, integridade de processamento, disponibilidade e segurança da informação.
Quer saber mais sobre esse assunto? Acompanhe nosso texto até o fim!
Em dezembro de 2022, o senhasegura alcançou conformidade sobre os princípios definidos pela AICPA com o relatório SOC 2, que atestou a confiabilidade dos serviços prestados pela organização e também da 360º PRIVILEGE PLATFORM .
Na prática, o System and Organization Controls 2 (SOC 2) consiste em um relatório de auditoria utilizado para avaliar como uma empresa se compromete e implementa controles internos em torno do armazenamento de informações de seus clientes.
Esse documento aponta que o senhasegura utiliza padrões definidos pelo AICPA referentes a um ou mais dos seguintes atributos: confidencialidade, privacidade, integridade de processamento, disponibilidade e segurança.
Neste artigo, compartilhamos mais detalhes sobre o relatório SOC 2, conquistado pelo senhasegura. Para facilitar sua leitura, dividimos nosso texto nos seguintes itens:
1. O que é o relatório SOC 2?
2. Princípios de confiança do SOC 2
3. O SOC 2 é equivalente à ISO 27001?
4. Como faço para me tornar um SOC 2?
5. Sobre o senhasegura
6. Conclusão
Boa leitura!
1. O que é o relatório SOC 2?
Elaborado pelo Instituto Americano de CPAs (AICPA), o SOC 2 estabelece requisitos para a gestão de dados de clientes, baseados em cinco princípios de serviço de confiança. São eles: confidencialidade, privacidade, integridade de processamento, disponibilidade e segurança.
Diferente do PCI DDS, que é composto por critérios rígidos, os relatórios SOC 2 são personalizados para cada corporação, que deve cumprir práticas comerciais relacionadas a um ou mais dos princípios de confiança.
Por meio dos relatórios SOC 2, é possível obter informações importantes sobre como os provedores de serviços administram os dados de seus clientes.
Existem dois tipos de relatórios SOC 2. Um deles descreve os sistemas de um fornecedor e se seu design é apropriado para atender os requisitos de confiança; o segundo tipo aborda a eficácia operacional desses sistemas.
2. Princípios de confiança do SOC
Os princípios de confiança do SOC 2 são:
-
Confidencialidade;
-
Privacidade;
-
Integridade de processamento;
-
Disponibilidade; e
-
Segurança.
Confira cada um deles de maneira detalhada:
-
Confidencialidade
Quando as informações são restritas a um número específico de pessoas ou organizações, elas são consideradas confidenciais. Esses dados podem incluir documentos destinados aos empregados, listas de preços internos, planos de negócios e informações bancárias, por exemplo.
Para proteger itens sigilosos, é essencial utilizar a criptografia. Também podem ser utilizados firewalls de rede e aplicativos, e controles de acesso rigorosos.
-
Privacidade
No SOC 2, a privacidade contempla a coleta, utilização, retenção, divulgação e descarte de informações pessoais conforme as diretrizes da empresa e os requisitos definidos nos princípios de privacidade geralmente aceitos (GAPP) da AICPA.
Esse princípio de confiança se aplica à Informações Pessoais Identificáveis (PII), que podem ser utilizadas para distinguir pessoas, como nome, endereço, número de telefone e de seguro social.
Outros dados pessoais, referentes à sexualidade, raça, religião e saúde também são considerados sensíveis pelo GAPP.
-
Integridade de processamento
Aqui nos referimos à capacidade de um sistema atingir sua proposta, ou seja, entregar as informações certas, pelo valor correto, no momento adequado. Desse modo, é desejável que o processamento de dados seja completo, válido, preciso, oportuno e autorizado.
Em contrapartida, a integridade do processamento não está relacionada a dos dados. Caso estes estejam incorretos antes de serem cadastrados no sistema, sua identificação não deve ser de responsabilidade da organização processadora.
Por outro lado, monitorar o processamento de dados junto aos procedimentos de garantia de qualidade pode contribuir para assegurar a integridade do processo.
-
Disponibilidade
O processo, produto ou serviço deve permanecer disponível conforme o que for acordado entre o cliente e o provedor. Ou seja, a performance mínima aceitável para a disponibilidade de um sistema deve ser estabelecida pelas duas partes.
Na prática, esse princípio não aborda questões relacionadas à usabilidade e funcionalidade do sistema, mas requisitos associados a segurança que possam prejudicar a disponibilidade.
Nesse sentido, é indispensável monitorar a performance e disponibilidade da rede, o failover do site e a resposta a incidentes de segurança.
-
Segurança
O princípio de segurança consiste na necessidade de proteger os recursos do sistema contra acesso externo. Os controles de acesso têm a função de prevenir tentativas de invasão, manipulação de dispositivos, uso indevido de software, roubo e remoção não autorizada de dados e divulgação de informações.
Para evitar o acesso não autorizado, é possível utilizar algumas ferramentas de segurança de TI, como firewalls de aplicativos da Web e de rede (WAFs), autenticação de dois fatores e detecção de intrusão.
3. O SOC 2 é equivalente à ISO 27001?
O SOC 2 e a ISO 27001 compartilham muitos controles de segurança, conforme um estudo sobre o tema. O que diferencia os dois são a abordagem e os objetivos. Esses dois padrões defendem que as empresas só precisam aderir a um controle se ele se aplicar a elas, mas suas abordagens são distintas.
A ISO 27001 tem abordagem sistemática para a gestão da segurança da informação, por meio de um Sistema de Gerenciamento de Segurança da Informação (SGSI). Trata-se de um modo abrangente de administrar práticas de proteção de dados. Já o SOC 2 é uma especialização da ISO 27001, sendo uma norma específica sobre dados, com uma abordagem pontuada sobre os cinco princípios amplamente explorados nesse artigo.
Você está curtindo esse post? Inscreva-se para nossa Newsletter!
Newsletter Blog PT
Enviaremos newsletters e emails promocionais. Ao inserir meus dados, concordo com a Política de Privacidade e os Termos de Uso.
4. Como faço para estar em conformidade com o SOC 2?
Para conquistar um relatório de auditoria SOC 2, sua empresa precisa adotar um programa de segurança cibernética compatível e ser auditada por um CPA afiliado à AICPA. Nesse processo, o auditor avalia os controles de segurança cibernética conforme a norma SOC 2 e emite um relatório com suas conclusões.
5. Sobre o senhasegura
Nós somos o senhasegura e integramos o grupo de empresas MT4 Tecnologia, especializado em cibersegurança, fundado em 2001 e presente em mais de 60 países.
Nosso objetivo é oferecer soberania digital e segurança cibernética às organizações que nos contratam, concedendo o controle de ações e dados privilegiados e evitando violação e vazamento de informações.
Para isso, acompanhamos o ciclo de vida do gerenciamento do acesso privilegiado por meio da automação de máquinas, antes, durante e após os acessos. Trabalhamos da seguinte maneira:
-
Evitamos paralisações das atividades das empresas, que possam prejudicar sua performance e produtividade;
-
Oferecemos soluções avançadas de PAM;
-
Auditamos automaticamente alterações privilegiadas a fim de identificar abusos de privilégio;
-
Auditamos automaticamente o uso de privilégios;
-
Reduzimos ameaças cibernéticas;
-
Colocamos as organizações em conformidade com critérios de auditoria e com padrões, como HIPAA, PCI DSS, ISO 27001 e Sarbanes-Oxley.
6. Conclusão
Neste artigo, você conferiu a importância do relatório de auditoria SOC 2, conquistado em dezembro de 2022 pelo senhasegura. Gostou do nosso artigo? Compartilhe com alguém que possa se interessar pelo tema.
Recent Comments