Noções básicas sobre relatórios SOC para clientes de usuário
Uma organização que depende de organizações de serviços para fornecer serviços de tecnologia da informação precisa garantir que eles estejam protegendo os dados e os sistemas de informações de suas entidades usuárias. A maneira de garantir isso é analisando e entendendo o relatório System and Organization Controls (SOC) do provedor de serviços, anteriormente chamado de relatório Service Organization Control.
O que é um Relatório SOC?
Desenvolvido pelo Instituto Americano de Contadores Públicos Certificados, os relatórios SOC revisam os controles sistemáticos das organizações de serviços. O relatório detalha a eficácia das salvaguardas de uma organização para proteger os sistemas e dados de alto risco de seus usuários.
Existem três classificações diferentes de relatórios SOC: SOC 1, SOC 2 e SOC 3. Um relatório SOC 1 avalia os controles financeiros. Os relatórios SOC 2 e SOC 3 giram em torno de controles de segurança e disponibilidade.
Para todas as três categorias de relatórios SOC, existem dois tipos de relatórios. O tipo 1 cobre a eficácia do projeto e dos controles operacionais em um determinado momento. O tipo 2 analisa a eficácia dos controles durante um período de tempo, geralmente não inferior a seis meses e até 18 meses.
SOC 1
Uma organização de serviços avalia os objetivos de controle necessários para proteger os dados financeiros dos clientes. O auditor do SOC 1 avalia os controles que estão em vigor e cria um relatório para que as entidades usuárias e seus auditores possam julgar se os controles de tecnologia da informação de um provedor de serviços, como controles de acesso e processos de negócios, estão funcionando de forma eficaz.
As organizações de serviços são responsáveis por descrever ao auditor do SOC seus serviços e os controles que possuem para identificar e diminuir os riscos aos clientes usuários. O auditor, um auditor independente terceirizado, é responsável por opinar sobre a equidade da apresentação da descrição do projeto da organização prestadora de serviços e sobre a eficácia dos controles.
A primeira seção do relatório SOC 1 inclui uma descrição de cada atividade de controle que a organização prestadora de serviços possui e o teste que o auditor aplicou a cada controle, bem como os resultados de cada controle testado. A segunda seção indica as atividades de controle que as entidades usuárias devem implementar.
SOC 2
Enquanto os relatórios SOC 1 giram em torno da proteção de dados financeiros do cliente, os relatórios SOC 2 tratam de controles que são relevantes para as próprias operações de uma organização de serviços. As auditorias SOC 2 são projetadas para verificar se a organização de serviços atende aos Princípios de Serviços de Confiança especificados, conforme definido pelo Instituto Americano de Contadores Públicos Certificados.
Os princípios se concentram em cinco áreas:
- Segurança
- Disponibilidade
- Integridade do processamento
- Confidencialidade
- Privacidade
Apenas um dos cinco princípios é necessário para uma auditoria SOC 2: segurança. Apenas as áreas dos sistemas de informação de uma organização de serviços que tocam os sistemas de informação de um cliente precisam ser auditadas.
O AICPA explica as áreas das seguintes maneiras:
Segurança refere-se à proteção de
- informações durante sua coleta ou criação, uso, processamento, transmissão e armazenamento
- e para sistemas que usam informações eletrônicas para processar, transmitir ou transferir e armazenar informações para permitir que a entidade atinja seus objetivos.
Disponibilidade refere-se à acessibilidade das informações utilizadas pelos sistemas da entidade, bem como dos produtos ou serviços fornecidos aos seus clientes.
A integridade do processamento é um princípio aplicável quando os processos de negócios são concluídos pela organização de serviços em nome da entidade usuária. A integridade do processamento refere-se à integridade, validade, precisão, pontualidade e autorização do processamento do sistema. A integridade do processamento é um princípio aplicável quando os processos de negócios são concluídos pela organização de serviços em nome da entidade usuária. Por exemplo, uma organização de serviços que fornece o ciclo completo de revisão, aprovação e pagamento de taxas de aluguel para uma entidade usuária deve ter a integridade do processamento como um princípio incluído. Este princípio não se aplica a uma organização de serviços que fornece uma solução de software para que as entidades usuárias executem essas funções por conta própria.
A confidencialidade aborda a capacidade de uma organização de serviços de proteger as informações designadas como confidenciais.
A privacidade gira em torno de informações de identificação pessoal que são coletadas, usadas, retidas, divulgadas e descartadas para atender aos objetivos de uma entidade. Informações pessoais identificáveis são dados pessoais que podem ser usados para identificar uma pessoa, como seu nome, CPF ou número da carteira de motorista ou endereço residencial. Organizações de serviços, como empresas que fornecem soluções de software que não processam PII, têm poucos motivos para incluir o princípio de privacidade em suas auditorias.
Parecer do Auditor
Em ambos os relatórios SOC 1 e SOC 2, um auditor apresenta sua opinião sobre a justiça da apresentação da descrição pela organização prestadora de serviços e a adequação do design e eficácia operacional dos controles para atingir seus objetivos com base na descrição dos mesmos pela organização . Um auditor apresentará um dos três tipos de opiniões.
- Uma opinião não qualificada significa que os controles foram descritos de forma justa e precisa e operam de forma eficaz.
- Uma opinião qualificada significa que os controles aderem principalmente aos padrões, mas ficam aquém em algumas áreas.
- Uma opinião adversa significa que a organização de serviços falhou em um ou mais padrões. Isso geralmente é visto como uma nota de reprovação.
SOC 3
Assim como o relatório SOC 2, o SOC 3 é baseado nos Princípios de Serviços de Confiança . Embora os relatórios SOC 1 e Soc 2 tenham uma seção de “Uso restrito”, os relatórios SOC 3 são criados para serem distribuídos gratuitamente e publicados nos sites da empresa como um selo de aprovação, com duração de um ano civil completo a partir da data de emissão.
Os relatórios SOC 1 e SOC 2 destinam-se exclusivamente ao uso da gestão da organização prestadora de serviços, suas entidades usuárias e seus auditores.