.jpg?w=730)
É fácil ser intimidado pelo grande volume de siglas que existem sobre segurança e conformidade.
Esses acrônimos tornam difícil saber o que procurar na hora de escolher um software de serviço (software-as-a-service / SaaS) para provedor Cloud.
No final do dia, você quer ter a certeza de que seus dados estão seguros e protegidos.
É por isso que gostaríamos de desmistificar o processo de avaliação e explicar o que procurar ao comparar e avaliar fornecedores de SaaS Cloud.
Neste artigo, descreveremos os padrões de conformidade e como eles afetam a segurança do Cloud.
O Que São Padrões de Conformidade?
Alguns dos acrônimos mais comuns que você pode encontrar são Centro de Operações de Segurança (Security Operations Center - SOC) e Princípios de Serviço de Confiança (Trust Service Principles - TSPs).
A responsabilidade de um SOC é monitorar e analisar continuamente a postura de segurança de uma organização. Os relatórios SOC fornecem garantia sobre os ambientes de controle relacionados à recuperação, armazenamento, processamento e transferência de dados.
Existem vários relatórios que comprovam que uma organização está em boas condições. Ou seja, conformidades SOC 1 e SOC 2 – é importante que os relatórios Tipo 1 e Tipo 2 estejam completos para esses SOCs.
- Relatório Tipo 1 – Demonstra que os controles internos de uma empresa são projetados adequadamente para atender aos Princípios de Confiança relevantes. Este relatório não confirma a eficácia dos controles ao longo de um período.
- Relatório Tipo 2 – Demonstra ainda que seus controles operam de forma eficaz durante um período.
Você sabia? Para reivindicar a conformidade com o SOC, os fornecedores precisam apenas ter um relatório SOC 1 Tipo 1 concluído, não a conformidade total do SOC que inclui um relatório Tipo 2. É importante perguntar a um fornecedor se sua conformidade com SOC inclui um relatório Tipo 2. Só então você tem a certeza de que os controles foram testados durante um período de tempo.
Diferenças entre Conformidades SOC 1 e SOC 2
Então, agora que descrevemos quais são os padrões de conformidade mais comuns (SOCs), vamos ver as diferenças entre o SOC 1 e o SOC 2.
SOC 1 – Um relatório SOC 1 garante que suas informações financeiras estão sendo tratadas com segurança. A versão internacional do relatório SOC 1 é comumente chamada de ISAE 3402. Normalmente, quando um fornecedor diz que é compatível com SOC 1, a implicação é que ele concluiu os relatórios Tipo 1 e Tipo 2.
SOC 2 – Este relatório oferece garantia sobre os ambientes de controle relacionados à recuperação, armazenamento, processamento e transferência de dados.
Aqui é onde os Princípios de Serviço de Confiança (TSPs) entram em jogo.
Os relatórios SOC 2 avaliam a conformidade de uma organização em relação a cinco critérios, comumente chamados de Trust Service Principles (TSPs).
Os cinco TSPs são:
- Segurança – As informações e os sistemas são protegidos contra o não autorizado, divulgação não autorizada de informações e danos aos sistemas.
- Disponibilidade – Informações e sistemas estão disponíveis para operação e uso.
- Integridade do Processamento – O processamento do sistema é completo, válido, preciso, oportuno e autorizado.
- Confidencialidade – As informações designadas como confidenciais são protegidas.
- Privacidade – As informações pessoais são coletadas, usadas, retidas, divulgadas e descartadas.
Você sabia? Para reivindicar a conformidade com o relatório SOC 2 Tipo 2, os fornecedores precisam atender apenas a pelo menos um dos cinco TSPs. É importante perguntar a um fornecedor quais Entidades de Serviço de Confiança estão sendo atendidas para um relatório SOC 2 Tipo 2. Certifique-se de perguntar aos fornecedores se eles atenderam a todos os cinco TSPs como parte de sua conformidade com SOC 2.
Segurança e Conformidade no Cloud da Prophix
Compreender as diferenças entre os relatórios SOC 1, SOC 2 e Tipo 1 e 2 ajudará você a fazer uma escolha informada ao escolher um fornecedor de SaaS Cloud.
No entanto, há vários outros aspectos de segurança e conformidade que você deve considerar, incluindo a frequência das auditorias, em quais estruturas o fornecedor é certificado, quem fornece a tecnologia de nuvem subjacente e quão simplificada é a autenticação do usuário final.
Para saber mais sobre como navegar pelos fornecedores de nuvem no mercado hoje, leia nosso artigo completo, em inglês, Security and Compliance.
A Prophix é certificada em conformidade com SOC 1 Tipo 1 e 2 e SOC 2 Tipo 1 e 2, o que significa que estamos em conformidade com todos os cinco Princípios de Confiança.
Quer saber mais sobre a Prophix e como simplificamos seus processos financeiros? Venha nos conhecer em nosso próximo evento online e gratuito: Webinar LIVE - Escolha Novas Técnicas e Tecnologias para Ter Sucesso em Tempos de Mudança
Prophix
Seu negócio está evoluindo. E a maneira como você planeja e relata seus negócios também deve evoluir. A Prophix ajuda as empresas de médio porte a atingir seus objetivos com mais sucesso com um software inovador de Corporate Performance Management (M) baseado em nuvem. Com a Prophix, os líderes financeiros melhoram a lucratividade e minimizam os riscos ao automatizar o orçamento, a previsão e os relatórios e colocam o foco novamente no que é mais importante - descobrir oportunidades de negócios. A Prophix oferece e ao seu futuro com inovação em IA que se adapta às suas realidades estratégicas, hoje e amanhã. Mais de 2.500 empresas globais confiam na Prophix para transformar a maneira como trabalham.