Que critérios são obrigatórios?

Apenas a Segurança (Critérios Comuns) é obrigatória. Adiciona Disponibilidade, Integridade de Processamento, Confidencialidade e Privacidade dependendo do seu serviço e das expectativas dos clientes.

Devo começar com o Tipo I ou o Tipo II?

O Tipo I é mais rápido e frequentemente um primeiro passo sensato; o Tipo II é a evidência que a maioria dos clientes exige, em última análise.

A SOC 2 é mais comum no mercado B2B dos EUA e internacional; a ISO 27001 é a certificação reconhecida internacionalmente. As duas sobrepõem-se fortemente — na Sightadel, a evidência pode ser reutilizada em ambas.

Com que frequência deve a SOC 2 ser renovada?

Os relatórios SOC 2 Tipo II cobrem um período e são normalmente repetidos anualmente.

ISO 27001 ISO 9001 ISO 42001 NIS2 RGPD BSI C5:2026 NIST CSF 2.0 SOC 2

SOC 2 · Critérios de Serviços de Confiança

SOC 2: A Provar a Confiança aos Seus Clientes

A SOC 2 é uma norma de atestação do AICPA (American Institute of Certified Public Accountants) para prestadores de serviços que lidam com dados de clientes — particularmente fornecedores de SaaS B2B e de nuvem. O resultado não é um certificado, mas um relatório de atestação que utiliza para demonstrar aos clientes que os seus controlos foram concebidos de forma adequada e que operam eficazmente. Esta página explica o que é a SOC 2, a quem é relevante (e a quem não é), como diferem o Tipo I e o Tipo II, e como manter-se continuamente pronto para auditorias com a Sightadel.

O que é a SOC 2?

A SOC 2 (System and Organization Controls 2) é uma estrutura sob a qual um contabilista certificado (CPA) avalia os controlos internos de um prestador de serviços. A base são os Critérios de Serviços de Confiança (TSC):

Segurança (Critérios Comuns): a base obrigatória de cada relatório SOC 2.
Disponibilidade: disponibilidade do serviço.
Integridade de Processamento: processamento completo e preciso.
Confidencialidade: proteção de informações confidenciais.
Privacidade: tratamento de dados pessoais.

Escolhe quais os critérios, para além da Segurança obrigatória, que são incluídos no relatório — dependendo do seu serviço e das expectativas dos seus clientes. O relatório concluído é normalmente partilhado com clientes e potenciais clientes sob um acordo de confidencialidade.

Para quem é relevante a SOC 2 — e para quem não é?

A SOC 2 é relevante para si se…

… for um prestador de serviços que processa ou aloja dados de clientes, e os seus clientes esperarem evidências independentes dos seus controlos de segurança. Casos típicos:

Fornecedores de SaaS B2B, especialmente aqueles com clientes nos EUA ou ativos internacionalmente,
fornecedores de nuvem e alojamento,
fornecedores para quem a SOC 2 aparece regularmente em questionários de aquisição e segurança.

Em muitos processos de vendas B2B, um relatório SOC 2 é agora efetivamente um pré-requisito para sequer ser considerado.

A SOC 2 provavelmente não é uma prioridade para si se…

… não processa dados de clientes como prestador de serviços, ou os seus clientes não exigem a evidência. Em contextos puramente nacionais onde os clientes esperam antes a ISO 27001 ou o BSI C5, a SOC 2 é frequentemente secundária.

A ressalva: a SOC 2 é orientada pelo mercado, não é legalmente obrigatória. A questão é, portanto, raramente "Sou obrigado?" mas sim "Os meus clientes-alvo exigem-na — e perco negócios sem o relatório?"

Tipo I ou Tipo II — Qual é a diferença?

SOC 2 Tipo I avalia se os controlos foram concebidos de forma adequada numa data específica. Mais rápido de alcançar, frequentemente um primeiro passo.
SOC 2 Tipo II avalia adicionalmente se os controlos operaram eficazmente durante um período (frequentemente 3 a 12 meses). O Tipo II é mais significativo e é o que a maioria dos clientes quer ver, em última análise.

O Desafio Típico na Preparação para a SOC 2

Evidência durante todo o período. Para o Tipo II, a eficácia deve ser demonstrada continuamente — não apenas no dia da auditoria. As organizações que só começam a recolher pouco antes acabam com lacunas.
Evidência fragmentada. Revisões de acesso, pedidos de alteração, registos de integração, registos de incidentes — espalhados por muitos sistemas.
Trabalho duplicado com outras normas. As organizações que já implementam a ISO 27001 ou NIS2 mantêm grande parte duas vezes porque a evidência não está ligada.

Como a Sightadel Simplifica a Preparação para a SOC 2

A Sightadel é o portal de conformidade dentro da Pervigon Security Suite. Representa os Critérios de Serviços de Confiança como um catálogo de controlos estruturado ao qual atribui medidas, proprietários e evidências.

Mais rápido para estar pronto para auditoria. Os Critérios de Serviços de Confiança estão integrados no portal. Mapeia os controlos existentes e vê imediatamente o que ainda falta para o âmbito escolhido (Segurança mais critérios opcionais).

Evidência contínua para o Tipo II. Tarefas recorrentes — como revisões de acesso — são agendadas, lembradas e documentadas no portal. Isto produz a cadeia contínua de evidência durante o período de avaliação.

Reutilização de evidência. Um controlo como a autenticação multifator é mapeado simultaneamente para a SOC 2, ISO 27001 e NIS2. Uma peça de evidência, múltiplas estruturas — em vez de manutenção paralela.

Sem consultores externos como muleta permanente. A lógica de mapeamento está integrada no portal e apoiada pelo núcleo neoAI. O CPA permanece responsável pela auditoria; a preparação contínua é gerida pela sua equipa.

Pronto para auditoria. Cada controlo está ligado a um proprietário, estado, evidência e histórico — o artefacto que o auditor quer ver.

SOC 2 com a Sightadel na Prática

1
Definir âmbito.Quais os Critérios de Serviços de Confiança para além da Segurança que pertencem ao relatório?
2
Mapear e fechar lacunas.Mapeie os controlos existentes, execute uma análise de lacunas, crie um plano de ação priorizado.
3
Manter evidência.Recolha evidência continuamente durante o período do Tipo II — recorrente e rastreável.
4
Apoiar a auditoria.Forneça ao CPA o estado necessário de forma estruturada.

Perguntas Frequentes Sobre a SOC 2

Não. A SOC 2 é um relatório de atestação de um CPA licenciado, não um certificado.

Prontidão SOC 2 como um Estado, Não um Projeto Anual

Um relatório SOC 2 é uma prova recorrente durante um período. A Sightadel mantém os seus controlos e evidências continuamente prontos para auditoria — para que cada novo período de auditoria se baseie num estado mantido em vez de uma corrida de última hora.

Veja o seu estado SOC 2 na Sightadel.

Marcar uma demonstração