O que é SOC 2?
O SOC 2 (System and Organization Controls 2) é um framework de auditoria desenvolvido pela AICPA que avalia os controles de uma organização de serviços relacionados à segurança, à disponibilidade, à integridade do processamento, à confidencialidade e à privacidade, conhecidos como os Critérios de Serviços de Confiança.
Também conhecido como: SOC 2, SOC 2 Type II, Service Organization Control
Os relatórios SOC 2 são o padrão de fato para demonstrar que um provedor de serviços SaaS ou em nuvem lida com os dados dos clientes de forma responsável. Um relatório de Tipo I avalia o design dos controles em um momento específico, enquanto um relatório de Tipo II — a versão mais rigorosa e solicitada com maior frequência — avalia tanto o design quanto a eficácia operacional dos controles durante um período de normalmente 6 a 12 meses.
O critério de segurança (também chamado de Critérios Comuns) é obrigatório em toda auditoria SOC 2 e abrange os controles de acesso lógico e físico, as operações do sistema, o gerenciamento de mudanças e a mitigação de riscos. As organizações devem demonstrar que protegem as informações contra o acesso não autorizado ao longo de todo o seu ciclo de vida, inclusive durante o compartilhamento e a transmissão. Os auditores examinam as políticas, os procedimentos e os controles técnicos, escrutinando muitas vezes como as credenciais e os segredos são gerenciados, compartilhados e rotacionados.
Alcançar e manter a conformidade com o SOC 2 exige um esforço contínuo: políticas de segurança documentadas, revisões de acesso, práticas de criptografia, procedimentos de resposta a incidentes, gerenciamento de fornecedores e treinamento dos funcionários. As organizações que se preparam para o SOC 2 costumam descobrir que as práticas informais — como compartilhar senhas por e-mail ou Slack — geram achados de auditoria que precisam de correção.
Como o Vaulted usa SOC 2
O Vaulted ajuda as organizações que trabalham para alcançar ou manter a conformidade com o SOC 2 oferecendo um método seguro e auditável para compartilhar informações sensíveis. Em vez de transmitir credenciais por e-mail ou chat — algo que os auditores apontam como uma deficiência de controle —, as equipes podem compartilhar segredos por meio dos links criptografados e autodestrutivos do Vaulted. A arquitetura zero-knowledge, a criptografia no lado do cliente e a expiração automática se alinham com os critérios de confidencialidade e segurança do SOC 2, fornecendo provas de que a organização protege os dados sensíveis durante o compartilhamento.