Talvez esteja a considerar a certificação SOC 2 da AICPA? A Aikido foi recentemente examinada para verificar se o nosso sistema e a conceção dos nossos controlos de segurança cumprem os requisitos SOC 2 da AICPA. Como aprendemos muito sobre as normas SOC 2 durante a nossa auditoria, quisemos partilhar algumas das ideias que pensamos poderem ser úteis para alguém que esteja a iniciar o mesmo processo.
Leia as nossas principais dicas sobre como se tornar compatível com a norma ISO 27001:2022.
Tipo 1 vs. Tipo 2
A primeira coisa a entender é que existem dois tipos diferentes de certificação SOC 2: SOC 2 Tipo 1 e SOC Tipo 2. Se está apenas a começar a pensar na certificação SOC, o Tipo 1 pode ser um bom primeiro passo. É mais rápido de obter e os requisitos não são tão exigentes. O Tipo 1 também é menos dispendioso do que o relatório Tipo 2.
Mas a diferença é que não abrange a monitorização durante um período alargado. As suas medidas de cibersegurança são verificadas apenas num momento específico durante uma auditoria SOC 2 Tipo 1. Em contrapartida, o processo de certificação SOC Tipo 2 testa os seus controlos de segurança durante um período de tempo. Com efeito, o Tipo 1 testa a conceção dos seus controlos de segurança, enquanto o Tipo 2 também testa a sua eficácia operacional.
Nota: Poderá também ler sobre o relatório ISAE3402 Tipo I. Esta é a alternativa europeia, mas, na prática, a maioria das indústrias não se preocupa com ela. Por isso, opte pelo SOC 2, a menos que já saiba que precisa do relatório europeu.
Critérios para serviços de confiança SOC 2
Um auditor SOC utilizará normalmente cinco critérios de serviços de confiança para avaliar as empresas relativamente à conformidade com o SOC 2:
- Segurança: proteger os dados e os sistemas contra o acesso não autorizado.
- Disponibilidade: garantir que os dados dos clientes podem ser acedidos quando necessário.
- Confidencialidade: certificar-se de que as informações confidenciais estão suficientemente protegidas.
- Privacidade: proteger as informações pessoais.
- Integridade do processamento: garantir que os sistemas processam os dados de forma exacta e fiável.
Nem todas as empresas precisam de incluir todos os cinco critérios. Parte da preparação para a sua auditoria SOC 2 consiste em decidir quais os critérios que os seus clientes irão exigir.
Existem também critérios adicionais específicos do sector. Por exemplo, um fornecedor de serviços em nuvem terá requisitos de encriptação de dados de clientes mais rigorosos, enquanto os prestadores de cuidados de saúde terão de proteger as informações de saúde.
As nossas 5 principais sugestões para a certificação SOC 2
1. Não é possível estar "em conformidade" com o SOC 2
Ao contrário da ISO 27001, não é possível atingir um estado de conformidade SOC 2. É um relatório que um potencial cliente pode solicitar para que possa avaliar a postura de segurança da empresa. O cliente tem de tomar a sua própria decisão sobre se essa empresa é suficientemente segura para fazer negócio com ela.
Obterá um relatório SOC 2 que demonstra a conformidade com os critérios especificados, mas isso não significa que passe de não-conforme para conforme. Isso não reduz o seu valor para os seus parceiros comerciais. Eles sabem o que precisam e muitas vezes exigem um relatório de auditoria SOC 2.
Por exemplo, o SOC 2 não exige necessariamente a realização de um pentest, mas é altamente recomendado para a ISO 27001. A Vanta, uma das principais plataformas de monitorização da conformidade com o SOC 2, recomenda que se trate o SOC 2 como uma barreira que tem de ultrapassar para ser visto como tendo atingido as normas de segurança essenciais. No entanto, é possível que se vá mais longe depois de ultrapassar essa fasquia, e os seus clientes irão provavelmente apreciar essa garantia adicional.
Nesse sentido, o seu relatório de conformidade SOC 2 significa que satisfez o auditor de que a sua empresa cumpre os critérios dos serviços de confiança SOC 2.
2. O tipo 2 baseia-se num período de observação do cumprimento
Os relatórios SOC 2 Tipo 2 verificam a sua postura de segurança durante um período de observação denominado janela de auditoria. Pode selecionar uma janela de três meses a um ano inteiro. Este relatório é muito mais completo do que o SOC 2 Tipo 1 e significa que as partes interessadas e os potenciais clientes obtêm garantias adicionais sobre os sistemas de segurança e a segurança dos dados.
Terá de consultar o seu auditor para escolher a janela de auditoria. Pode depender de factores como os requisitos regulamentares, as expectativas dos clientes ou a recente evolução das suas estruturas e controlos de segurança.
3. SOC 2 vs. ISO 27001: se os seus potenciais clientes estão nos EUA, o SOC 2 é para si!
As empresas dos Estados Unidos costumam solicitar relatórios SOC 2 com mais frequência, enquanto as empresas europeias tendem a confiar mais na ISO 27001. Isto deve-se ao facto de o SOC 2 ser uma norma americana. Se puder, obtenha ambas. Foi o que fizemos, pois também nos tornámos compatíveis com a ISO 27001 em 2023. Se não puder fazer as duas, escolha com base na localização dos seus clientes ou potenciais clientes.
Se os seus clientes estiverem nos EUA, é muito provável que estejam à procura do seu relatório SOC 2.
4. Recomendamos que trabalhe com um auditor nos EUA
Se estiver sediado na Europa, existem muitos auditores SOC. Provavelmente são muito bons, mas se quiser que uma empresa dos EUA confie no seu relatório, faz sentido recorrer a um auditor SOC 2 de terceiros nos Estados Unidos.
5. Utilizar um sistema seguro para os clientes solicitarem o seu relatório SOC 2
Deve ser fácil para os clientes solicitarem o seu relatório SOC 2, mas não o faça demasiado facilmente. Os piratas informáticos podem utilizá-lo para identificar pontos fracos na sua segurança.
Não utilize o correio eletrónico e utilize uma ferramenta que acompanhe o que acontece ao relatório depois de ser descarregado. Deve saber quem o está a pedir, acompanhar quando foi pedido e até considerar a proteção por marca de água ou palavra-passe. A melhor abordagem é utilizar um NDA.
Aikido e conformidade contínua com SOC 2
Agora que concluímos a nossa própria jornada SOC 2, a Aikido Security cumpre todos os critérios dos serviços de confiança SOC 2. Também estabelecemos parcerias com plataformas de monitorização da conformidade (como Vanta, Drata, Secureframe e Thoropass) para sincronizar regularmente dados sobre os controlos de segurança actuais e garantir que a Aikido e os nossos clientes mantêm uma postura de segurança sólida.
Solicite nosso relatório SOC 2 Tipo 2
Pode solicitar o certificado SOC 2 Tipo 2 da Aikido no nosso centro de confiança de segurança.
Ou se estiver a considerar a certificação SOC 2 e ainda tiver dúvidas, contacte-me no LinkedIn e terei todo o gosto em discutir o processo consigo com mais pormenor.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)