AICPA SOC 1, SOC 2 e SOC 3: qual a diferença e qual exigir do seu provedor de TI?

Entenda o que são os relatórios SOC (System and Organization Controls) desenvolvidas pela AICPA e entenda as diferenças entre SOC 1, SOC 2 e SOC 3 para validar parceiros de infraestrutura de TI.

Indispensáveis para comprovar a segurança e conformidade de dados em empresas, os relatórios SOC são atestados de conformidade rigorosos que avaliam a capacidade de uma organização de garantir a segurança e a confiabilidade dos serviços prestados.

O que antes era diferencial competitivo (principalmente em organizações B2B) tornou-se uma exigência mínima de mercado para o fechamento de grandes negócios.

Desenvolvido pela AICPA (American Institute of Certified Public Accountants), entidade reguladora dos EUA, o SOC (System and Organization Controls) é um padrão de relatórios que avaliam a confiabilidade de empresas provedoras de bens e serviços.

Mas qual a diferença entre os relatórios SOC e qual a sua empresa deve exigir de seus parceiros de infraestrutura de TI? Descubra neste artigo.

O que é SOC?

SOC (System and Organization Controls) é um padrão de relatórios criado pela AICPA para atestar que uma empresa prestadora de serviços possui controles internos eficazes de segurança e confiabilidade.

Diferente de certificações como a ISO, o SOC é uma atestação, ou seja, um relatório emitido por auditor independente, não um selo.

O SOC é exigência crescente em contratos B2B, especialmente em negócios que envolvem dados sensíveis, infraestrutura em nuvem ou processamento financeiro. O que era diferencial competitivo tornou-se critério mínimo de seleção de fornecedores.

Qual a diferença entre SOC 1, SOC 2 e SOC 3?

Os três modelos atendem objetivos distintos. A tabela abaixo resume as diferenças:

Entenda primeiro: o que são os TSC?

Antes de entender os modelos SOC, é preciso conhecer o termo Trust Services Criteria (TSC), ou Critérios de Serviços de Confiança.

O TSC é um conjunto de critérios estabelecidos pelo AICPA para avaliar a capacidade de uma organização de garantir conformidade, segurança, disponibilidade, integridade, confidencialidade e privacidade das informações.

O modelo globalmente utilizado para gestão de riscos corporativos é baseado nos 17 princípios do COSO (Committee of Sponsoring Organizations of the Treadway Commission). São esses:

• Ambiente de controle: engloba os princípios de 1 a 5.
• Avaliação de riscos: engloba os princípios de 6 a 9.
• Atividades de controle: engloba os princípios de 10 a 12.
• Comunicação e informação: engloba os princípios de 13 a 15.
• Atividades de monitoramento: engloba os princípios 16 e 17.

Há ainda critérios específicos de Serviços de Confiança que suplementam o princípio 12 do COSO (referente à implementação de políticas e procedimentos de controle) e formam o núcleo de uma avaliação SOC 2. Esses são divididos em cinco categorias principais:

• Segurança: avalia se as informações e os sistemas estão protegidos contra acessos não autorizados, divulgações indevidas e danos que possam comprometer a operação e os demais critérios. Trata-se do critério mínimo obrigatório para emissão do relatório SOC 2.
  
• Disponibilidade: verifica se as informações e os sistemas estão de fato disponíveis para operação e uso, permitindo que a empresa atinja seus objetivos de negócio.
  
• Integridade de processamento: garante que o processamento de dados nos sistemas seja completo, válido, preciso, oportuno e devidamente autorizado.
  
• Confidencialidade: foca especificamente na proteção das informações que a organização classificou e designou como confidenciais.
  
• Privacidade: analisa a conformidade na maneira como informações pessoais são coletadas, usadas, retidas, divulgadas e descartadas, garantindo a proteção dos dados dos titulares.

Para as organizações que já possuem um sistema de gestão de segurança baseado em normas internacionais, por exemplo, é viável integrar os controles do TSC com frameworks como a ISO 27001 (Segurança da Informação) e a ISO 27701 (privacidade e LGPD), evitando duplicidade de processos internos e otimizando a governança.

Entendendo as diferenças: SOC 1, SOC 2 e SOC 3

Agora, o assunto principal: o que cada SOC representa detalhadamente?

Tecnicamente, o SOC não é uma certificação ou um selo tradicional, diferente do que ocorre com os modelos ISO. Na verdade, o SOC é um padrão de relatórios e uma atestação de conformidade.

Para líderes de tecnologia e negócios, exigir o relatório adequado para atestar a segurança do seu provedor é um passo fundamental de governança. Entenda o que cada SOC significa:

SOC 1: foco em relatórios financeiros

O SOC 1 é um relatório voltado para organizações prestadoras de serviços que impactam diretamente as demonstrações financeiras de seus clientes.

Deve ser exigido por empresas de capital aberto, instituições do mercado financeiro, fintechs, auditorias e organizações reguladas que precisam atender a requisitos rigorosos de compliance.

Esse não é um relatório genérico aplicável a qualquer operação de TI e sua adoção está diretamente ligada a cenários onde há impacto financeiro relevante e exigência regulatória.

Nos relatórios SOC 1, são avaliados os primeiros cinco critérios do TSC, além de controles internos estabelecidos pela própria organização para compliance e governança de dados.

Ele foca na avaliação de controles de governança de dados, restrições de acessos lógicos e físicos, operações de sistemas e gestão de mudanças.

SOC 2: tecnologia e segurança

Se a empresa lida com dados sensíveis, sistemas em nuvem ou infraestrutura de TI, o modelo ideal que deve ser exigido para medir a confiabilidade das operações é o SOC 2.

O SOC 2 atesta que o ambiente cumpre rigorosos critérios de segurança e, dependendo do escopo definido pelo provedor, também pode incluir boas práticas de confidencialidade, integridade de processamento, disponibilidade e privacidade para suas operações e de seus clientes.

Dentro do SOC 2, existem duas variações:

• Tipo 1: avalia apenas o projeto (desenho) dos controles internos em um momento específico do tempo.
  
  
• Tipo 2: vai além do desenho, abrange também a implementação e, principalmente, a eficácia operacional dos controles ao longo do tempo, incluindo a opinião oficial do auditor sobre a proteção real do ambiente.

Uma vantagem estratégica para empresas de tecnologia maduras é que os critérios do SOC 2 (TSC) guardam alta similaridade com frameworks globais como as normas ISO.

SOC 3: resumo para publicação

O SOC 3 é uma versão resumida e simplificada do relatório SOC 2, mas sem as informações confidenciais ou detalhes minuciosos sobre os processos internos da organização. Ele é ideal para ser distribuído publicamente, contribuindo com a imagem de confiabilidade da marca perante o mercado.

Sua infraestrutura está hospedada em um parceiro auditado?

Uma atestação SOC é fundamental para garantir a manutenção dos controles de segurança.

Para reduzir riscos financeiros e de reputação, a infraestrutura da sua operação deve estar hospedada em um parceiro que leve o compliance tão a sério quanto você.

Em soluções para infraestruturas de TI, a HostDime Brasil consolida-se como o data center mais certificado da América Latina e possui a rigorosa certificação SOC 2 Tipo 2 (AICPA).

Essa certificação prova que a infraestrutura da HostDime foi projetada e atua com eficácia comprovada para manter os dados sensíveis da sua organização totalmente seguros e livres de acessos não autorizados.

Hospedar a sua operação na HostDime significa alocar seus ativos em um ecossistema robusto.

Além do SOC 2, nossa infraestrutura é respaldada pelas normas globais: ISO 27001, ISO 27701, ISO 22301 (continuidade de negócios), ISO 9001, ISO 20000-1, ISO 27017, ISO 27018, PCI-DSS (transações digitais) e pelo certificado Tier III do Uptime Institute, que garante alta disponibilidade.

 Não deixe a continuidade do seu negócio exposta a infraestruturas não validadas. Evolua a sua operação para o melhor e mais seguro data center da América Latina.