Em um cenário onde a segurança da informação e a proteção de dados se tornaram prioridades estratégicas para organizações de todos os portes, demonstrar compromisso com práticas robustas de proteção de dados deixou de ser um diferencial competitivo para se tornar uma necessidade de mercado. É neste contexto que os relatórios SOC 2 ganham destaque como uma das principais formas de comprovar a maturidade dos controles de segurança de uma organização prestadora de serviços.
Este artigo apresenta um panorama abrangente sobre o SOC 2, detalhando suas características, diferenças entre os tipos de relatório, quem pode emiti-los, sua aplicabilidade no mercado brasileiro e a importância estratégica deste trabalho de atestação para organizações que processam dados de terceiros.
O que é SOC 2?
SOC 2 (System and Organization Controls 2) é um framework de atestação desenvolvido pelo American Institute of Certified Public Accountants (AICPA) que avalia os controles de uma organização de serviços relacionados à segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade dos sistemas utilizados para processar dados de clientes.
Diferentemente de certificações como ISO 27001, o SOC 2 não resulta em uma "certificação" no sentido tradicional, mas sim em um relatório de atestação emitido por um auditor independente (CPA - Certified Public Accountant) que expressa uma opinião sobre o desenho e/ou a efetividade operacional dos controles da organização.
Origem e Contexto
O SOC 2 foi desenvolvido pelo AICPA em 2010 como parte da família de relatórios SOC (que inclui também SOC 1 e SOC 3). Os critérios são baseados nos Trust Services Criteria (TSC), que foram atualizados em 2017 e tiveram seus pontos de foco revisados em 2022 para refletir as mudanças no cenário de ameaças cibernéticas e tecnologias emergentes.
Atestação vs. Auditoria: Esclarecimento Terminológico Importante
É fundamental compreender a distinção técnica entre atestação e auditoria, termos frequentemente confundidos no mercado:
Auditoria (Audit): Termo tradicionalmente associado a auditorias de demonstrações financeiras, onde o auditor expressa opinião sobre se as demonstrações contábeis estão livres de distorções materiais relevantes, conforme as normas internacionais de auditoria (ISA) ou as normas brasileiras (NBC TA).
Atestação (Attestation): É um trabalho de asseguração no qual o profissional CPA expressa uma conclusão sobre uma afirmação (assertion) feita pela administração da organização. No caso do SOC 2, a administração faz afirmações sobre o desenho e a efetividade operacional de seus controles, e o CPA realiza um exame de atestação para expressar sua opinião sobre essas afirmações.
O SOC 2 é, portanto, um exame de atestação realizado em conformidade com os padrões SSAE 18 (Statements on Standards for Attestation Engagements), especificamente as seções AT-C 105 e AT-C 205 do AICPA. O resultado é um relatório de atestação, não um relatório de auditoria no sentido contábil tradicional.
Na prática, o mercado frequentemente utiliza o termo "auditoria SOC 2" de forma coloquial, mas tecnicamente o correto é referir-se como atestação, exame de atestação ou examination. Neste artigo, utilizaremos a terminologia técnica adequada.
SOC 2 não é Certificação
É fundamental compreender que o SOC 2 não é uma certificação de conformidade no modelo "aprovado/reprovado". O relatório SOC 2 é uma atestação profissional que:
- Apresenta a descrição do sistema da organização de serviços
- Detalha os controles implementados
- Inclui a opinião do auditor sobre o desenho (Tipo 1) e/ou efetividade operacional (Tipo 2) dos controles
- Pode identificar exceções ou deficiências encontradas durante o exame
Os Cinco Trust Services Criteria (TSC)
O SOC 2 é estruturado em torno de cinco categorias de critérios, sendo a Segurança obrigatória e as demais opcionais, conforme a natureza dos serviços prestados pela organização:
1. Segurança (Security) - Obrigatório
O critério de Segurança é a base de toda auditoria SOC 2 e abrange os controles que protegem informações e sistemas contra acesso não autorizado, divulgação não autorizada de informações e danos aos sistemas. Este critério inclui os Critérios Comuns (CC1-CC9) que são alinhados com os 17 princípios do framework COSO:
- CC1 - Ambiente de Controle: Comprometimento com integridade e valores éticos
- CC2 - Comunicação e Informação: Comunicação interna e externa relevante
- CC3 - Avaliação de Riscos: Identificação e análise de riscos
- CC4 - Monitoramento de Controles: Avaliação contínua dos controles
- CC5 - Atividades de Controle: Desenho e implementação de controles
- CC6 - Controles de Acesso Lógico e Físico: Restrição de acesso
- CC7 - Operações do Sistema: Detecção e resposta a incidentes
- CC8 - Gestão de Mudanças: Controle de alterações em sistemas
- CC9 - Mitigação de Riscos: Identificação e mitigação de riscos de negócio
2. Disponibilidade (Availability) - Opcional
Avalia se as informações e sistemas estão disponíveis para operação e uso conforme comprometido. Este critério é particularmente relevante para:
- Data centers
- Provedores de SaaS (Software as a Service)
- Plataformas de cloud computing
- Sistemas críticos de negócio que requerem alta disponibilidade
3. Integridade de Processamento (Processing Integrity) - Opcional
Garante que o processamento do sistema seja completo, válido, preciso, tempestivo e autorizado para atender aos objetivos da organização. Aplicável a:
- Processadores de transações financeiras
- Sistemas de e-commerce
- Plataformas de processamento de dados críticos
4. Confidencialidade (Confidentiality) - Opcional
Assegura que informações designadas como confidenciais sejam protegidas conforme comprometido. Abrange:
- Segredos comerciais
- Informações proprietárias
- Dados de negócio sensíveis
- Propriedade intelectual
5. Privacidade (Privacy) - Opcional
Avalia se informações pessoais são coletadas, utilizadas, retidas, divulgadas e descartadas em conformidade com os princípios de privacidade geralmente aceitos pelo AICPA e com os compromissos da organização. Relevante para organizações que processam:
- Dados pessoais identificáveis (PII)
- Informações de saúde
- Dados financeiros pessoais
SOC 2 Tipo 1 vs. SOC 2 Tipo 2: Entendendo as Diferenças
A escolha entre SOC 2 Tipo 1 e Tipo 2 é uma decisão estratégica que deve considerar o momento da organização, as expectativas dos clientes e os recursos disponíveis.
SOC 2 Tipo 1 (Type 1)
O relatório SOC 2 Tipo 1 é uma avaliação "point-in-time" (ponto no tempo) que examina se os controles da organização estão adequadamente desenhados para atender aos Trust Services Criteria em uma data específica.
Características principais:
- Avalia o desenho dos controles em uma data específica
- Não testa a efetividade operacional dos controles ao longo do tempo
- Funciona como uma "fotografia" do ambiente de controle
- Timeline típico: 2 a 6 meses para obtenção
- Custo estimado: US$ 10.000 a US$ 30.000
Quando utilizar o Tipo 1:
- Primeiro exame de atestação SOC 2 da organização
- Necessidade urgente de demonstrar controles a clientes potenciais
- Identificação de gaps antes de partir para o Tipo 2
- Organizações em estágios iniciais de maturidade de controles
- Restrições de tempo que impedem um exame Tipo 2
SOC 2 Tipo 2 (Type 2)
O relatório SOC 2 Tipo 2 é uma avaliação mais abrangente que examina tanto o desenho quanto a efetividade operacional dos controles ao longo de um período definido, tipicamente de 6 a 12 meses.
Características principais:
- Avalia o desenho e a efetividade operacional dos controles
- Cobre um período de observação (mínimo de 3 meses, geralmente 6-12 meses)
- Inclui descrição detalhada dos testes realizados e seus resultados
- Demonstra funcionamento consistente dos controles
- Timeline típico: 6 a 12 meses
- Custo estimado: US$ 10.000 a US$ 50.000
Quando utilizar o Tipo 2:
- Demonstrar maturidade e consistência dos controles
- Atender requisitos de clientes que exigem Tipo 2
- Organizações com controles já estabelecidos e operando
- Construir confiança de longo prazo com stakeholders
- Competir por contratos em setores regulados
Quadro Comparativo
| Aspecto | SOC 2 Tipo 1 | SOC 2 Tipo 2 |
|---|---|---|
| Escopo | Desenho dos controles | Desenho e efetividade operacional |
| Período | Data específica (point-in-time) | Período de 3-12 meses |
| Objetivo | Verificar se controles estão adequadamente desenhados | Verificar se controles funcionaram efetivamente |
| Nível de assurance | Menor | Maior |
| Timeline | 2-6 meses | 6-12 meses |
| Custo | US$ 10K-30K | US$ 10K-50K |
| Testes de controles | Limitados (walkthrough) | Extensivos (amostragem ao longo do período) |
| Frequência | Geralmente uma vez (ponto de partida) | Anual ou semestral |
| Uso típico | Demonstração inicial, identificação de gaps | Demonstração contínua de conformidade |
Progressão Típica
A maioria das organizações segue uma progressão natural:
- SOC 2 Tipo 1: Estabelece a baseline e demonstra comprometimento inicial
- SOC 2 Tipo 2 (3-6 meses): Primeira demonstração de efetividade operacional
- SOC 2 Tipo 2 (12 meses): Demonstração completa de maturidade
Quem Pode Emitir Relatórios SOC 2?
Requisito Fundamental: Firmas de CPA Licenciadas
Os relatórios SOC 2 somente podem ser emitidos por firmas de Certified Public Accountants (CPA) licenciadas e credenciadas pelo AICPA. Esta é uma exigência regulatória fundamental, e relatórios emitidos por organizações não qualificadas não são válidos e não devem ser aceitos pelo mercado.
Requisitos para a firma que realiza a atestação:
- Ser uma firma de CPA devidamente licenciada
- Manter credenciamento junto ao AICPA
- Seguir os padrões de atestação SSAE 18 (especificamente AT-C 105 e AT-C 205)
- Passar por revisão de pares (Peer Review) do AICPA a cada três anos
- Manter independência em relação à organização examinada
O que o Auditor SOC 2 Faz?
O auditor (CPA) que conduz o exame de atestação SOC 2 desempenha várias funções críticas:
- Avalia os controles da organização contra os Trust Services Criteria
- Realiza testes de controles (walkthroughs, inspeções, re-performance)
- Examina políticas, processos e evidências documentais
- Conduz entrevistas com responsáveis pelos controles
- Prepara o relatório de atestação com sua opinião profissional
- Identifica exceções e recomendações de melhoria
Certificações Complementares dos Auditores
Embora a licença de CPA seja obrigatória, profissionais que conduzem exames SOC 2 frequentemente possuem certificações adicionais que demonstram expertise em segurança da informação:
- CISA (Certified Information Systems Auditor)
- CISSP (Certified Information Systems Security Professional)
- CISM (Certified Information Security Manager)
Verificação da Qualificação do Auditor
Antes de contratar uma firma para o exame de atestação SOC 2, recomenda-se:
- Verificar a licença de CPA junto ao Board of Accountancy do estado (EUA)
- Consultar o AICPA Peer Review Public File para confirmar status da revisão de pares
- Solicitar exemplos de relatórios anteriores
- Avaliar experiência no setor específico da organização
Quem Pode Realizar Exames de Atestação SOC 2 no Brasil?
Contexto do Mercado Brasileiro
O SOC 2, embora seja um padrão originário dos Estados Unidos, tem ganhado relevância crescente no Brasil, especialmente para empresas que:
- Prestam serviços para clientes americanos ou multinacionais
- Oferecem soluções SaaS e cloud computing
- Buscam diferenciação competitiva no mercado de tecnologia
- Participam de licitações ou processos de due diligence que exigem SOC 2
Firmas Habilitadas no Brasil
No Brasil, os exames de atestação SOC 2 podem ser realizados por:
1. Firmas Globais com Presença Local (Big Four e outras)
As grandes firmas de auditoria global mantêm operações no Brasil e podem realizar exames de atestação SOC 2:
- Deloitte Brasil
- Ernst & Young (EY) Brasil
- KPMG Brasil
- PwC Brasil
- Grant Thornton Brasil
Estas firmas possuem metodologias globais padronizadas e equipes especializadas em SOC, garantindo consistência com os padrões AICPA.
2. Firmas Americanas com Atuação Internacional
Muitas firmas de CPA americanas especializadas em SOC 2 atuam internacionalmente e podem conduzir exames de atestação de organizações brasileiras, especialmente quando há operações em múltiplos países ou quando clientes específicos exigem auditores de determinada região.
3. Considerações Importantes
- O exame de atestação SOC 2 deve ser conduzido por profissionais qualificados como CPA conforme os padrões do AICPA
- Não é necessário que o auditor seja do mesmo país da organização examinada, desde que seja uma firma de CPA qualificada
- Empresas brasileiras frequentemente contratam firmas americanas ou firmas globais com presença no Brasil
- O relatório é emitido em inglês, seguindo os padrões internacionais do AICPA
SOC 2 vs. ISO 27001 no Contexto Brasileiro
Enquanto o SOC 2 é predominante no mercado americano, no Brasil e na Europa a ISO 27001 é mais comumente solicitada para questões de segurança da informação. Algumas considerações:
| Aspecto | SOC 2 | ISO/IEC 27001 |
|---|---|---|
| Origem | AICPA (EUA) | ISO (Internacional) |
| Tipo | Atestação (relatório) | Certificação |
| Predominância | América do Norte | Europa, Brasil, Ásia |
| Foco | Controles de serviço (TSC) | SGSI (Sistema de Gestão) |
| Auditor | CPA licenciado | Organismo certificador acreditado |
| Resultado | Relatório com opinião | Certificado |
Muitas organizações brasileiras optam por manter ambas as conformidades (SOC 2 e ISO 27001) para atender diferentes mercados e requisitos contratuais.
Para Quais Empresas o SOC 2 se Aplica?
O SOC 2 é direcionado para organizações de serviços que processam, armazenam ou transmitem dados de clientes. Não é aplicável para todas as empresas, mas é particularmente relevante para:
Setores com Alta Demanda
1. Tecnologia e Software
- Empresas de SaaS (Software as a Service)
- Provedores de PaaS (Platform as a Service)
- Desenvolvedores de software B2B
- Empresas de integração de sistemas
2. Serviços de Cloud e Infraestrutura
- Data centers
- Provedores de cloud computing
- Serviços de hosting e colocation
- Provedores de backup e disaster recovery
3. Serviços Financeiros
- Processadores de pagamentos
- Fintechs
- Empresas de serviços financeiros terceirizados
- Provedores de soluções para o setor bancário
4. Saúde e Healthcare
- Empresas de tecnologia em saúde (healthtechs)
- Processadores de dados de saúde
- Plataformas de telemedicina
- Sistemas de gestão hospitalar
5. Serviços Profissionais
- Empresas de BPO (Business Process Outsourcing)
- Provedores de serviços de RH terceirizados
- Empresas de contabilidade terceirizada
- Prestadores de serviços jurídicos que processam dados
Cenários que Demandam SOC 2
Requisitos contratuais: Grandes empresas frequentemente exigem SOC 2 de seus fornecedores como parte do processo de due diligence e gestão de riscos de terceiros.
Expansão para o mercado americano: Empresas brasileiras que buscam clientes nos EUA frequentemente encontram o SOC 2 como requisito de entrada.
Diferenciação competitiva: Em mercados competitivos, o SOC 2 pode ser um diferencial significativo em processos de seleção de fornecedores.
Investimentos e M&A: Fundos de investimento e processos de fusões e aquisições frequentemente avaliam o SOC 2 como indicador de maturidade de controles.
A Importância do Relatório SOC 2
Benefícios Estratégicos
1. Construção de Confiança
O relatório SOC 2 fornece uma validação independente dos controles da organização, construindo confiança com clientes, parceiros e stakeholders. Em vez de depender apenas de declarações da própria empresa, os clientes podem confiar na opinião de um auditor independente.
2. Vantagem Competitiva
Em mercados cada vez mais conscientes sobre segurança, possuir um relatório SOC 2 pode ser o diferencial entre ganhar ou perder um contrato. Muitas RFPs (Request for Proposal) já incluem SOC 2 como requisito eliminatório.
3. Redução de Exames Duplicados
Com um relatório SOC 2, a organização pode atender múltiplos clientes com um único esforço de atestação, em vez de responder individualmente a questionários de segurança e avaliações de cada cliente.
4. Melhoria dos Processos Internos
O processo de preparação para SOC 2 frequentemente resulta em melhorias significativas nos processos e controles internos da organização, além da documentação formal de políticas e procedimentos.
5. Gestão de Riscos
A avaliação SOC 2 ajuda a identificar vulnerabilidades e gaps nos controles, permitindo que a organização tome ações corretivas antes que problemas se materializem.
Importância para Diferentes Stakeholders
Para Clientes da Organização de Serviços:
- Garantia independente sobre os controles do prestador de serviços
- Base para tomada de decisão na seleção de fornecedores
- Suporte para sua própria gestão de riscos de terceiros
Para a Organização de Serviços:
- Demonstração de comprometimento com segurança
- Diferenciação no mercado
- Base para melhoria contínua dos controles
Para Auditores dos Clientes:
- Evidência atestada para seus próprios trabalhos
- Redução de escopo de testes em avaliações de usuários
O Processo de Atestação SOC 2
Fases Típicas
Fase 1: Avaliação de Prontidão (Readiness Assessment)
Antes do exame formal, muitas organizações realizam uma avaliação de prontidão para:
- Identificar gaps nos controles existentes
- Mapear controles aos Trust Services Criteria
- Definir escopo do exame (quais TSC incluir)
- Planejar remediações necessárias
Fase 2: Implementação e Remediação
Com base nos gaps identificados:
- Implementar controles faltantes
- Documentar políticas e procedimentos
- Estabelecer processos de monitoramento
- Treinar equipes nos novos controles
Fase 3: Exame de Atestação (Fieldwork)
Durante o trabalho de campo, o auditor:
- Realiza entrevistas com responsáveis pelos controles
- Examina evidências documentais
- Testa a efetividade dos controles (para Tipo 2)
- Documenta exceções encontradas
Fase 4: Emissão do Relatório
O auditor:
- Prepara o relatório preliminar
- Discute exceções com a administração
- Obtém representações da administração
- Emite o relatório final de atestação
Estrutura do Relatório SOC 2
Um relatório SOC 2 típico contém:
- Opinião do Auditor Independente: Expressa a opinião sobre o desenho (Tipo 1) e efetividade operacional (Tipo 2) dos controles
- Asserção da Administração: Declarações (assertions) da administração sobre seus controles e sistema
- Descrição do Sistema: Detalhamento do sistema examinado, incluindo componentes de infraestrutura, software, pessoas, procedimentos e dados
- Controles e Critérios: Mapeamento dos controles aos Trust Services Criteria aplicáveis
- Testes de Controles e Resultados (apenas Tipo 2): Descrição dos testes realizados pelo auditor e seus resultados, incluindo exceções identificadas
SOC 2+: Mapeamentos com Outros Frameworks
O AICPA permite que organizações realizem um SOC 2+, que inclui mapeamentos dos controles para outros frameworks além dos Trust Services Criteria. Isso permite demonstrar conformidade com múltiplos padrões em um único relatório.
Frameworks Comumente Mapeados
- HIPAA: Para organizações do setor de saúde
- NIST CSF: Framework de cibersegurança do NIST
- ISO 27001: Mapeamento com controles do Anexo A
- GDPR: Requisitos do regulamento europeu de proteção de dados
- CSA CCM: Cloud Controls Matrix para ambientes de nuvem
- PCI DSS: Para processadores de cartões de pagamento
Relação com Outros Relatórios SOC
SOC 1
O SOC 1 foca em controles relevantes para as demonstrações financeiras dos clientes (ICFR - Internal Control over Financial Reporting). É mais comum em:
- Processadores de folha de pagamento
- Empresas de contabilidade terceirizada
- Processadores de transações financeiras
SOC 3
O SOC 3 é uma versão resumida e de uso geral do SOC 2, que pode ser distribuída livremente (inclusive no website da empresa). Contém a opinião do auditor mas não inclui a descrição detalhada dos controles e testes.
SOC for Cybersecurity
Focado especificamente no programa de gestão de riscos de cibersegurança da organização, voltado para stakeholders gerais.
SOC for Supply Chain
Avalia controles relacionados à cadeia de suprimentos, relevante para manufatura e logística.
Recomendações para Organizações Brasileiras
Antes de Iniciar
- Avalie a necessidade real: Determine se seus clientes ou mercado-alvo realmente exigem SOC 2 ou se ISO 27001 seria mais adequado
- Defina o escopo: Determine quais Trust Services Criteria são relevantes para seus serviços
- Realize um gap assessment: Identifique lacunas nos controles atuais
- Planeje recursos: SOC 2 requer investimento significativo em tempo, pessoas e tecnologia
Durante a Preparação
- Documente políticas e procedimentos: Formalize controles que podem existir informalmente
- Implemente ferramentas de evidenciação: Considere plataformas de compliance que automatizam coleta de evidências
- Treine as equipes: Garanta que todos entendam suas responsabilidades nos controles
- Selecione cuidadosamente o auditor: Busque firmas de CPA com experiência no seu setor
Após a Obtenção do Relatório
- Mantenha os controles: O SOC 2 Tipo 2 requer demonstração contínua de efetividade
- Planeje renovações: Relatórios SOC 2 têm validade e devem ser renovados periodicamente (geralmente anualmente)
Referências e Fontes
- AICPA - American Institute of Certified Public Accountants. SOC 2® - SOC for Service Organizations: Trust Services Criteria. Disponível em: https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2
- AICPA. 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (With Revised Points of Focus – 2022).
- Vanta. SOC 2 Type 1 vs. Type 2: What's the difference? Disponível em: https://www.vanta.com/
- Scrut Automation. Who can perform a SOC 2 Audit: Firms & Auditors. Disponível em: https://www.scrut.io/
- AuditBoard. SOC 2 Type 1 vs Type 2: Differences, Similarities, and Use Cases.
- Grant Thornton Brasil. Relatório SOC 2: O que toda empresa deve conhecer. Disponível em: https://www.grantthornton.com.br/
Conheça a nossa formação SOC2 Lead Implementer
