Noções básicas sobre conformidade SOC 1 vs SOC 2 vs SOC 3

Por
Twittar
Compartilhar
Compartilhar
Pin

A conformidade é um aspecto crucial do crescimento da sua organização.

Suponha que você queira administrar um negócio de SaaS e segmentar clientes de médio porte. Nesse caso, você precisa estar em conformidade com as regras e regulamentos aplicáveis ​​e manter uma postura de segurança mais forte para sua empresa.

Muitas organizações tentam contornar esses requisitos aplicando questionários de segurança.

Assim, quando um cliente ou um cliente exige um certificado SOC, você pode perceber como é importante estar em conformidade com os regulamentos.

A conformidade com o Service Organization Control (SOC) refere-se a um tipo de certificação em que uma organização conclui uma auditoria de terceiros que mostra determinados controles que sua organização possui. A conformidade com SOC também se aplica à cadeia de suprimentos e à segurança cibernética SOC.

Em abril de 2010, o Instituto Americano de Contadores Públicos Certificados (AICPA) anunciou a mudança do SAS 70. O novo e refinado padrão de auditoria é denominado Declaração sobre Padrões para Atestados (SSAE 16).

Junto com a auditoria SSAE 16, três outros relatórios também foram estabelecidos para examinar os controles de uma organização de serviços. Eles são chamados de relatórios SOC que contêm três relatórios – relatórios SOC 1, SOC 2 e SOC 3 com objetivos diferentes.

Neste artigo, mencionarei cada relatório SOC e onde aplicá-los e como eles se encaixam na segurança de TI.

Aqui vamos nós!

O que exatamente é um relatório SOC?

Os relatórios SOC podem ser considerados uma vantagem competitiva que beneficia uma organização em termos de dinheiro e tempo. Ele utiliza auditores terceirizados e independentes para examinar diferentes aspectos de uma organização, incluindo:

  • Disponibilidade
  • Confidencialidade
  • Privacidade
  • Integridade do processamento
  • Segurança
  • Controles relacionados à segurança cibernética
  • Controles relacionados a relatórios financeiros

Os relatórios SOC permitem que uma empresa se sinta confiante de que os provedores de serviços em potencial estão operando de forma compatível e ética. Embora as auditorias possam ser complicadas, elas podem oferecer imensa segurança e confiança. Os relatórios SOC ajudam a estabelecer a confiabilidade e a credibilidade de um provedor de serviços.

Além disso, os relatórios SOC são úteis para:

  • Programas de gerenciamento de fornecedores
  • Supervisão da organização
  • Supervisão regulatória
  • Processo de gestão de risco e governança corporativa interna

Por que um relatório SOC é essencial?

Várias organizações de serviços, como empresas de data center, provedores de SaaS, prestadores de serviços de empréstimo e processadores de sinistros, precisam passar por um exame SOC. Essas organizações precisam armazenar dados financeiros ou dados confidenciais de seus clientes ou entidades de usuários.

Assim, qualquer empresa que preste serviços a outras empresas ou usuários pode se enquadrar no exame SOC. Um relatório SOC não apenas permite que seus clientes em potencial saibam que a empresa é legítima, mas também revela a você as falhas e fraquezas de seus controles ou clientes por meio de processos de avaliação.

O que você pode esperar de uma avaliação SOC?

Antes de passar por um processo de avaliação SOC, você deve determinar qual tipo de relatório SOC você precisa e que mais se adequa à sua organização. Em seguida, será iniciado um processo oficial com a avaliação de prontidão.

As organizações de serviços se preparam para o exame identificando possíveis sinais de alerta, lacunas, deficiências e muito mais. Dessa forma, a empresa pode entender as opções disponíveis para reparar essas falhas e fragilidades.

  Integração perfeita com continuidade e transferência explicada [OS X]

Quem pode realizar uma auditoria SOC?

As auditorias SOC são realizadas por contadores públicos certificados (CPAs) independentes ou firmas de contabilidade.

O AICPA estabelece padrões profissionais destinados a regular o trabalho dos auditores do SOC. Além disso, certas diretrizes de execução, planejamento e supervisão devem ser seguidas pelas organizações.

Cada auditoria do AICPA passa por uma revisão por pares. As organizações ou empresas de CPA também contratam profissionais não CPA com habilidades em tecnologia da informação e segurança para se preparar para uma auditoria SOC. Mas, o relatório final deve ser verificado e divulgado pela CPA.

Vamos analisar cada relatório separadamente para entender como eles funcionam.

O que é SOC 1?

O objetivo principal do SOC 1 é controlar os objetivos dentro dos documentos do SOC 1 e áreas de processo de controles internos que são relevantes para a auditoria das demonstrações financeiras da entidade usuária.

Simplificando, ele informa quando os serviços da organização afetam os relatórios financeiros de uma entidade usuária.

O que é um relatório SOC 1?

Um relatório SOC 1 determina o controle da organização de serviços aplicável ao controle da entidade usuária sobre o relatório financeiro. Ele é projetado para atender às demandas das entidades usuárias. Neste, os contadores avaliam a eficácia dos controles internos da organização de serviços.

Existem dois tipos de relatórios SOC 1:

  • SOC 1 Tipo 1: Este relatório geralmente se concentra no sistema de uma organização de serviços e verifica a adequação dos controles do sistema para atingir os objetivos de controle juntamente com a descrição na data especificada.

Os relatórios SOC 1 Tipo 1 são restritos apenas a auditores, gerentes e entidades usuárias, normalmente, os prestadores de serviços pertencem a qualquer organização de serviços. Um auditor de serviço determina o relatório que cobre todos os requisitos do SSAE 16.

  • SOC 1 Tipo 2: Este relatório tem opiniões e análises semelhantes às do relatório SOC 1 Tipo 1. Mas, inclui visões sobre a eficácia dos controles pré-estabelecidos destinados a atingir todos os objetivos de controle em um período específico.

Em um relatório SOC 1 Tipo 2, os objetivos de controle levam a riscos potenciais que o controle interno deseja mitigar. O escopo inclui domínios de controle relevantes e oferece garantias razoáveis. Também diz que há um limite para realizar apenas ações autorizadas e apropriadas.

Qual é o objetivo do SOC 1?

Como já discutimos, o SOC 1 é a primeira parte da série Service Organization Control que aborda os controles internos em relatórios financeiros. É aplicável a empresas que interagem diretamente com dados financeiros de parceiros e clientes.

Assim, assegura a interação de uma organização, armazenando as demonstrações financeiras dos usuários e transmitindo-as. No entanto, o relatório SOC 1 ajuda investidores, clientes, auditores e administração a avaliar os controles internos sobre relatórios financeiros de acordo com as diretrizes do AICPA.

Como manter a conformidade com o SOC 1?

A conformidade com SOC 1 define o processo de gerenciamento de todos os controles SOC 1 adicionados ao relatório SOC 1 durante um período definido. Garante a eficácia do funcionamento das regras SOC 1.

Os controles são geralmente controles de TI, controles de processos de negócios, etc., usados ​​para oferecer uma garantia razoável com base nos objetivos de controle.

O que é SOC 2?

O SOC 2, desenvolvido pela AICPA, descreve os critérios para controlar ou gerenciar as informações do cliente com base em 5 princípios para fornecer serviços confiáveis: Esses princípios são:

  • A disponibilidade inclui recuperação de desastres, tratamento de incidentes de segurança e monitoramento de desempenho.
  • Privacidade: inclui criptografia, autenticação de dois fatores (2FA) e controle de acesso.
  • Segurança: inclui detecção de intrusão, autenticação de dois fatores e firewalls de rede ou de aplicativos.
  • Confidencialidade: Inclui controles de acesso, criptografia e firewalls de aplicativos.
  • Integridade de processamento: Inclui monitoramento de processamento e garantia de qualidade.

O SOC 2 é exclusivo para cada organização por causa de seus requisitos rígidos, ao contrário do PCI DSS. Com práticas comerciais específicas, cada design tem seu controle para cumprir vários princípios de confiança.

O que é um relatório SOC 2?

Um relatório SOC 2 permite que as organizações de serviços recebam e compartilhem um relatório com as partes interessadas para descrever o geral; Controles de TI que são seguros no local.

  Como @ Mencionar pessoas no Gmail

Existem dois tipos de relatórios SOC 2:

  • SOC 2 Tipo 1: Descreve os sistemas do fornecedor e informa se o design do fornecedor é adequado para atender aos princípios de confiança.
  • SOC 2 Tipo 2: Compartilha os detalhes da eficácia operacional dos sistemas do fornecedor.

O SOC 2 difere de organização para organização em relação às estruturas e padrões de segurança da informação, pois não há requisitos definidos. O AICPA fornece critérios que uma organização de serviços seleciona para demonstrar os controles que possuem para proteger os serviços oferecidos.

Qual é o objetivo do SOC 2?

A conformidade com o SOC 2 indica que a organização controla e mantém um alto nível de segurança da informação. A conformidade estrita permite que as organizações garantam que suas informações críticas estejam seguras.

Ao cumprir o SOC 2, você obterá:

  • Práticas de segurança de dados aprimoradas em que a organização se defende de ataques cibernéticos e violações de segurança.
  • Vantagem competitiva, pois os clientes desejam trabalhar com provedores de serviços com práticas sólidas de segurança de dados, especialmente para serviços de nuvem e TI.

Ele restringe o uso não autorizado dos dados e ativos que uma organização manipula. Os princípios de segurança exigem que as organizações adicionem controles de acesso para proteger os dados contra ataques maliciosos, uso indevido, divulgação não autorizada ou alteração de informações da empresa e exclusão não autorizada de dados.

Como manter a conformidade com o SOC 2?

A conformidade com SOC 2 é um padrão voluntário desenvolvido pela AICPA que especifica como uma organização gerencia as informações de seus clientes. O padrão é descrito com cinco Critérios de Serviços de Confiança, ou seja, segurança, integridade de processamento, confidencialidade, privacidade e disponibilidade.

A conformidade com SOC é adaptada às necessidades de cada organização. Dependendo das práticas de negócios, uma organização pode escolher controles de design que devem seguir um ou mais Princípios de Serviço de Confiança. Ele se estende a todos os serviços, incluindo proteção contra DDoS, balanceamento de carga, análise de ataque, segurança de aplicativos da Web, entrega de conteúdo via CDN e muito mais.

Em termos simples, a conformidade com SOC 2 não é uma lista descritiva de ferramentas, processos ou controles; em vez disso, cita a necessidade de critérios cruciais para manter a segurança da informação. Isso permite que cada organização adote os melhores processos e práticas relevantes para suas operações e objetivos.

Abaixo está a lista de verificação da conformidade básica do SOC 2:

  • Controles de acesso
  • Operações do sistema
  • Mitigação de risco
  • Mudar a gestão

O que é SOC 3?

Um SOC 3 é um procedimento de auditoria que o AICPA desenvolve para definir a força do controle interno de uma organização de serviços sobre data centers e segurança na nuvem. Uma estrutura SOC 3 também é baseada em Critérios de Serviços de Confiança que incluem:

  • Segurança: Os sistemas e as informações são protegidos contra divulgação não autorizada, acesso não autorizado e danos aos sistemas.
  • Integridade do Processo: O processamento do sistema é válido, preciso, autorizado, tempestivo e completo para atender às demandas da entidade.
  • Disponibilidade: Sistemas e informações estão disponíveis para uso e operação para atender as demandas da entidade.
  • Privacidade: As informações pessoais são usadas, divulgadas, descartadas, retidas e coletadas para atender às demandas da entidade.
  • Confidencialidade: As informações designadas como críticas são protegidas para atender aos requisitos da entidade.

Com a ajuda do SOC 3, as organizações de serviços determinam quais desses critérios de Trust Services se aplicam ao serviço que oferecem aos clientes. Você também encontrará relatórios adicionais, requisitos de desempenho e orientação de aplicação nas Declarações sobre Padrões.

O que é um relatório SOC 3?

Os relatórios do SOC 3 têm as mesmas informações do SOC 2, mas diferem em termos de público. Um relatório SOC 3 destina-se apenas ao público em geral. Esses relatórios são curtos e não incluem precisamente os mesmos dados de um relatório SOC 2. Eles são construídos adequados para as partes interessadas e públicos informados.

  Quão rápido é o WordPress com PHP-FPM 7 Comparar com 5?

Como um relatório SOC 3 é mais geral, ele pode ser compartilhado de forma rápida e aberta no site da empresa, juntamente com um selo descrevendo sua conformidade. Ajuda a manter o ritmo com as normas internacionais de contabilidade.

Por exemplo, a AWS permite downloads públicos do relatório SOC 3.

Qual é o objetivo do SOC 3?

Empresas, especialmente pequenas ou startups, geralmente não possuem recursos suficientes para controlar ou manter certos serviços essenciais internamente. Portanto, essas empresas geralmente terceirizam os serviços para provedores terceirizados em vez de investir esforço ou dinheiro extra na construção de um novo departamento para esses serviços.

Assim, a terceirização é uma opção melhor, mas pode ser arriscada. O motivo é que uma organização compartilha dados de clientes ou informações confidenciais com fornecedores terceirizados, dependendo dos serviços que a organização opta por terceirizar.

No entanto, as organizações devem fazer parceria apenas com fornecedores que demonstrem conformidade com SOC 3.

A conformidade com o SOC 3 é baseada na Seção 205 da AT-C e na Seção 105 da AT-C do SSAE 18. Inclui as informações básicas da descrição da administração independente e do relatório do auditor. Aplica-se a todos os provedores de serviços que armazenam informações de clientes na nuvem, incluindo provedores de PaaS, IaaS e SaaS.

Como manter a conformidade com o SOC 3?

O SOC 3 é a versão subsequente do SOC 2, portanto, o procedimento de auditoria é o mesmo. Os auditores de serviço estão buscando as seguintes políticas e controles:

Após a conclusão da auditoria, o auditor gera um relatório com base nas constatações. Mas um relatório SOC 3 é muito menos detalhado, pois compartilha apenas as informações necessárias para o público. A organização de serviços compartilha livremente os resultados após concluir a auditoria final para fins de marketing. Ele diz no que se concentrar para passar na auditoria. Assim, a organização de serviços é aconselhada a:

  • Selecione cuidadosamente os controles.
  • Realizar uma avaliação para identificar lacunas nos controles
  • Descubra a atividade regular
  • Descrever as próximas etapas para alertas de incidentes
  • Procure um auditor de serviço qualificado para realizar o exame final

Agora que você tem uma ideia de cada tipo de compliance, vamos entender as diferenças entre os três para saber como eles ajudam cada empresa a se destacar no mercado.

SOC 1 vs SOC 2 vs SOC 3: Diferenças

A tabela a seguir descreve os propósitos e benefícios de cada relatório SOC.

SOC 1SOC 2SOC 3Oferece opiniões sobre projeto tipo 1 e projeto ou operação tipo 2, incluindo procedimentos de teste e resultados.Um único produto para atender às demandas de parceiros sobre as operações da organização, incluindo resultados e procedimentos.Semelhante ao cumprimento do SOC 2, mas contém menos informações . Ele não inclui procedimentos de teste, resultados ou controles. Ele controla os requisitos essenciais para os controles internos sobre relatórios financeiros. Os controles não financeiros são avaliados com os cinco Princípios de Confiança essenciais para o assunto. Também depende dos cinco Serviços de Confiança Critérios.Distribuição limitada a clientes e auditores Reguladores de distribuição limitada, clientes e auditores serão definidos no relatório. Auxiliar no marketing do cliente. Distribuição irrestrita Mantém a transparência na descrição, controle, procedimento e resultado do sistema. Fornece um nível de transparência exatamente semelhante ao SOC 1Distribuição geral dos relatórios para benefícios de marketing. Concentra-se nos controles financeiros. Concentra-se nos controles operacionais. É semelhante ao SOC 2, mas com menos informações. Descreve os sistemas da organização prestadora de serviços. Também descreve os sistemas da organização prestadora de serviços. Descreve a opinião do CPA sobre os controles adequados da entidade sobre o sistema.Relata controles internos.Relata disponibilidade, privacidade, confidencialidade, integridade de processamento e controles de segurança. Semelhante ao SOC 2 Os usuários do escritório do controlador e do auditor do usuário usam o SOC 1. É compartilhado sob NDA por reguladores, gerência e outros. Está disponível ao público. A maioria dos auditores é “Precisa saber.” A maioria das partes interessadas e clientes “Precisa saber .”Público em geralExemplo: processadores de sinistros médicos.Exemplo: empresa de armazenamento em nuvem.Exemplo: uma empresa pública.

Conclusão

Decidir qual conformidade SOC será a mais adequada para sua organização exige que você visualize o tipo de informação com a qual está lidando, sejam os dados de seus clientes ou os seus.

Se você estiver oferecendo serviços de processamento de folha de pagamento, talvez queira usar o SOC 1. Se estiver processando ou hospedando dados de clientes, talvez seja necessário um relatório SOC 2. Da mesma forma, se você precisar de menos conformidade formal, o que é melhor para fins de marketing, convém usar um relatório SOC 3.