SOC 2: controles de segurança para empresas de tecnologia

O que é SOC 2 e para quem é necessário

O padrão de conformidade que empresas B2B de tecnologia precisam dominar

SOC 2 (System and Organization Controls 2) é um framework de conformidade desenvolvido pelo AICPA (American Institute of Certified Public Accountants) que define critérios para que provedores de serviço demonstrem que seus sistemas protegem adequadamente os dados de clientes. Diferentemente de outros frameworks como ISO 27001, o SOC 2 é especialmente relevante para empresas de SaaS, cloud computing e serviços gerenciados que armazenam ou processam dados de outras empresas. Clientes corporativos — especialmente nos Estados Unidos, mas crescentemente no mercado global — exigem relatórios SOC 2 como requisito para contratação de fornecedores de tecnologia, tornando a certificação um diferencial competitivo e em muitos casos um bloqueador de negócios. O processo de auditoria SOC 2 é conduzido por auditores independentes credenciados pelo AICPA que avaliam se os controles da empresa realmente funcionam como descrito.

Type I vs Type II — diferença fundamental

Auditoria pontual versus auditoria de efetividade ao longo do tempo

O SOC 2 Type I é uma avaliação em um ponto específico no tempo que verifica se os controles descritos pela empresa existem e estão adequadamente projetados para atender aos Trust Services Criteria. Type I é geralmente o primeiro passo, obtido mais rapidamente (2-4 meses) e demonstra que a empresa tem os controles no lugar, sendo aceito como evidência inicial por muitos clientes. O SOC 2 Type II é uma auditoria de um período de observação tipicamente de 6 a 12 meses, na qual o auditor verifica se os controles foram efetivamente operados de forma consistente durante todo o período. Type II tem muito mais valor probatório que Type I, pois demonstra que os controles não são apenas papel mas são praticados continuamente, sendo o padrão exigido por empresas maduras e contratos de alto valor. A maioria das empresas obtém Type I primeiro e depois Type II no ciclo seguinte.

Security — o Trust Services Criterion obrigatório

O critério que toda auditoria SOC 2 inclui necessariamente

O critério Security (também chamado Common Criteria) é o único dos cinco Trust Services Criteria obrigatório em toda auditoria SOC 2, cobrindo os controles fundamentais de proteção dos sistemas de informação contra acessos não autorizados. Os controles de Security incluem gerenciamento de acesso lógico (quem pode acessar o quê e como é controlado e revisado), autenticação forte com MFA para acessos críticos, monitoramento e alertas de segurança, gerenciamento de vulnerabilidades e patches, e controles de segurança física para ambientes gerenciados. O Common Criteria do COSO (Committee of Sponsoring Organizations) inclui 17 Common Criteria organizados em 9 categorias que cobrem desde governança de TI até resposta a incidentes. Cada empresa documenta seus controles contra os Common Criteria e o auditor verifica tanto o design quanto a operação efetiva através de evidências como logs, tickets de acesso e registros de revisão.

Availability e continuidade de negócios

Demonstrando que o sistema estará disponível quando o cliente precisar

O critério Availability é relevante para serviços onde downtime tem impacto direto nos negócios do cliente, como plataformas de pagamento, sistemas ERP em SaaS e APIs de missão crítica. Controles de Availability incluem definição e monitoramento de SLAs de uptime, implementação de redundância e failover automático, testes regulares de disaster recovery, capacidade de escala para absorver picos de demanda e comunicação transparente sobre incidentes e janelas de manutenção. Status pages públicas ou privadas que registram historicamente uptime e incidentes servem como evidência importante para auditores de Availability. Os testes de continuidade de negócios devem ser documentados com resultados, frequência e escopo, demonstrando que a empresa pratica recuperação de desastres e não apenas a planeja em documentos.

Confidencialidade e privacidade

Protegendo informações sensíveis de clientes e dados pessoais

O critério Confidencialidade cobre proteção de informações identificadas como confidenciais — geralmente propriedade intelectual, dados financeiros e informações comerciais sensíveis dos clientes — desde coleta até disposal. Controles incluem criptografia de dados em repouso e em trânsito, controle de acesso baseado em necessidade de conhecimento (need-to-know), acordos de confidencialidade com funcionários e terceiros, e procedimentos seguros de destruição de dados ao fim do contrato. O critério Privacy trata especificamente de dados pessoais (PII), alinhando-se aos princípios do GDPR, CCPA e LGPD: coleta com propósito definido, minimização de dados, direitos do titular e notificação de incidentes. Empresas que processam dados de saúde (PHI) tipicamente também precisam de HIPAA, e muitas vezes SOC 2 e HIPAA são auditados conjuntamente por auditores especializados em ambos os frameworks.

Controles técnicos — firewalls, criptografia, MFA

As implementações técnicas que sustentam a conformidade SOC 2

Controles técnicos são a espinha dorsal do SOC 2, incluindo configuração e revisão regular de firewalls e security groups, criptografia AES-256 para dados em repouso e TLS 1.2+ para dados em trânsito, MFA obrigatório para todos os acessos administrativos e acesso a sistemas que processam dados de clientes. Gerenciamento de vulnerabilidades com scanning periódico (pelo menos trimestral), processo documentado de patch management e penetration test anual são controles técnicos frequentemente auditados. Logging e monitoramento com SIEM para detecção de anomalias, alertas para tentativas de acesso não autorizado e retenção de logs por período definido (tipicamente 1 ano) são evidências concretas que auditores examinam. Gestão de configuração com baseline de segurança documentado e processo de mudança controlado (change management) demonstra que o ambiente não muda de forma ad hoc sem supervisão.

Controles organizacionais — políticas e treinamentos

A dimensão humana e processual da conformidade SOC 2

Controles organizacionais cobrem as políticas, procedimentos e treinamentos que definem como a empresa opera em termos de segurança, sendo tão importantes quanto os controles técnicos para aprovação em auditoria SOC 2. Políticas obrigatórias incluem política de segurança da informação, política de acesso e controle de acesso, política de resposta a incidentes, política de gerenciamento de fornecedores e política de uso aceitável de recursos de TI. Treinamento de conscientização de segurança para todos os funcionários pelo menos anualmente, com registro de conclusão, é evidência fundamental que auditores solicitam. Background checks para funcionários com acesso a dados sensíveis, processos de onboarding e offboarding documentados com provisionamento e desprovisionamento de acesso, e revisões periódicas de acesso (access reviews) são controles organizacionais comuns em auditorias SOC 2.

Evidências e auditoria

O que os auditores realmente analisam durante uma auditoria SOC 2

Uma auditoria SOC 2 é fundamentalmente um processo de coleta e avaliação de evidências que demonstram que os controles descritos foram efetivamente operados durante o período de auditoria. Evidências típicas incluem capturas de tela de configurações de segurança, logs de acesso, tickets de helpdesk documentando provisionamento e desprovisionamento, registros de treinamentos concluídos, resultados de scans de vulnerabilidade e relatórios de penetration test. Ferramentas de conformidade como Vanta, Drata, SecureFrame e Tugboat Logic automatizam coleta de evidências integrando-se com AWS, GCP, GitHub, Okta e outras plataformas para capturar screenshots e exportar logs periodicamente sem intervenção manual. O processo de auditoria inclui uma fase de fieldwork onde o auditor acessa o ambiente do cliente, realiza entrevistas com funcionários-chave e testa amostras de controles para verificar operação efetiva, não apenas design documentado.

Custo e timeline para certificação

Planejando o investimento de tempo e recurso para obter SOC 2

O custo de uma auditoria SOC 2 varia significativamente com o escopo, tamanho da empresa e firma de auditoria escolhida — tipicamente entre 15.000 e 60.000 dólares para Type II em empresas de médio porte, com auditores de primeira linha cobrando mais. O custo total inclui também ferramentas de conformidade (2.000 a 24.000 dólares por ano), consultoria de readiness (10.000 a 50.000 dólares para empresas sem experiência prévia) e o tempo interno de engenharia para implementar os controles necessários antes da auditoria. O timeline típico para uma empresa iniciando do zero é de 9 a 18 meses até o relatório Type II: 2-4 meses para gap assessment e implementação de controles, 1-2 meses para Type I (opcional) e 6-12 meses de período de observação Type II. Plataformas de compliance como Vanta e Drata reduzem significativamente o esforço de preparação ao automatizar coleta de evidências e fornecer um roadmap estruturado de controles a implementar.

Conclusão — SOC 2 como diferencial competitivo e responsabilidade

Conformidade que vai além do papel para proteger realmente dados de clientes

SOC 2 não deve ser tratado como um exercício de compliance para fins de venda, mas como um framework que força a empresa a implementar controles de segurança maduros que genuinamente protegem dados de clientes. O processo de auditoria revela lacunas que muitas vezes as equipes de engenharia não conheciam, e o relatório resultante é evidência objetiva de maturidade de segurança para o mercado. Continue em: Fundamentos obrigatórios antes de produção.