O que é a SOC 2?

Uma postura de segurança robusta e positiva é vital numa época em que ataques cibernéticos proliferam. Ameaças virtuais, como ransomware e phishing, continuam desafiando empresas de todos os portes e setores. Além disso, ataques à cadeia de suprimentos se tornaram um problema sério, com pesquisas do Fórum Econômico Mundial revelando que 90% dos entrevistados estavam preocupados com a resiliência cibernética de terceiros. Estruturas regulamentares são concebidas para ajudar a orientar empresas na implementação de uma postura de segurança robusta. Uma dessas estruturas é a SOC 2 (System and Organization Controls 2, Sistema de organização e controle 2), que trabalha para estabelecer riscos e melhorar a eficácia operacional.

O que é conformidade com a SOC 2?

A SOC 2 teve origem no AICPA (American Institute of Certified Public Accountants, instituto americano de contadores públicos certificados) e surgiu no escopo dos critérios de Serviços de Confiança da AICPA, que facilitam a auditoria e a geração de relatórios sobre controles que uma organização de serviços usa para proteger informações. Os relatórios da SOC 2 capturam segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade dos dados. Além disso, os relatórios da SOC 2 garantem que controles usados pela organização de serviço possam atender a alguns ou todos os cinco critérios da SOC 2.

O gerenciamento de riscos deve se estender a terceiros. A SOC 2 oferece uma estrutura para verificar se uma organização de serviços atingiu e pode manter uma segurança de informações robusta e mitigar incidentes de segurança. A SOC 2 é usada para auditar a postura de segurança de fornecedores terceirizados, a fim de garantir que atendam ao nível de proteção esperado por sua organização.

Como a Akamai ajuda organizações a atender a conformidade com a SOC 2

As soluções de segurança da Akamai oferecem inteligência e proteção completa para proteger dados contra violações e exposição acidental, além de impedir o acesso não autorizado com uma aplicação robusta de política de controle de acesso. A Akamai ajuda suas equipes de segurança a maximizar a eficácia e o ROI de seus investimentos em segurança, indo além da detecção tradicional de endpoints para oferecer uma poderosa solução Zero Trust de proteção e privacidade de dados.

A Akamai oferece:

Uma plataforma global que impõe uma segurança Zero Trust com cobertura abrangente de seu ambiente de TI
Visibilidade profunda de ativos, acesso e fluxos de rede
Aplicação granular da política de segurança e proteção de informações de identificação pessoal, ou PII (Personally Identifiable Information, informação pessoalmente identificável)

Quais são os cinco Critérios de serviços de confiança da SOC 2?

Diagrama exibindo as palavras em um círculo descrevendo os cinco Critérios de serviços de confiança da certificação SOC 2: segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade.

A auditoria da SOC 2 abrange cinco aspetos do tratamento de dados que, quando implementado corretamente, formarão uma postura de segurança cibernética coerente e robusta. A Força tarefa de integridade das Informações de confiança ASEC é responsável pela precisão técnica dos critérios de serviços de confiança, ou TSC (Trust Services Criteria, critérios de serviços de confiança ). AICPAs O Comitê executivo de serviços de garantia é responsável pelos TSC e descreve os cinco Critérios de serviços de confiança da SOC 2 da seguinte forma:

Segurança: proteção de dados e segurança do sistema contra acesso não autorizado e exposição de dados. A segurança também inclui proteção contra danos ao sistema que podem resultar na perda de disponibilidade, integridade e confidencialidade dos dados.
Disponibilidade: confiabilidade dos sistemas necessários para que a pessoa jurídica mantenha as operações.
Integridade do processamento: o processamento do sistema deve ser completo, válido, preciso, oportuno e autorizado.
Confidencialidade: dados classificados como "confidenciais" devem ser protegidos para cumprir os objetivos da entidade.
Privacidade: informações devem ser coletadas, usadas, retidas, divulgadas e descartadas para atender aos objetivos da entidade em relação à privacidade de dados.

Um provedor de serviços demonstrando a conformidade com alguns ou todos os cinco princípios de serviço confiável (conforme apropriado) mostra o compromisso com a segurança das informações.

Qual a importância da SOC 2 para sua organização?

A SOC 2 se aplica a prestadores de serviços de tecnologia ou empresas SaaS que armazenam, processam ou lidam com dados de clientes. A SOC 2 se estende a outros fornecedores terceirizados que processam ou fornecem dados e aplicativos, sendo usada para demonstrar que sistemas e proteções implementados podem garantir a integridade dos dados. A conformidade com a SOC 2 pode ajudar a tomar decisões de compra e faz parte dos riscos associados ao gerenciamento de fornecedores.

Provedores de serviços de nuvem e TI

De acordo com Thales e 451 pesquisa, 66% das empresas armazenam até 60% de seus dados confidenciais na nuvem. Além disso, o número de empresas que enfrentam uma violação de dados envolvendo um aplicativo em nuvem aumentou de 35% em 2021 para 45% em 2022. Demonstrar conformidade com a SOC 2 permite que um fornecedor de tecnologia prove que usa controles de segurança, como a autenticação de dois fatores. Esse é um diferencial competitivo essencial em uma época em que a segurança de nuvem e TI são áreas de serviço de alto risco. Violações de segurança na nuvem que afetam toda a cadeia são cada vez mais comuns; provedores de serviços de nuvem e TI que demonstra a conformidade com a SOC 2 provará que a segurança das informações é um valor fundamental.

Clientes de provedores de serviços de nuvem e TI

Ao escolher um fornecedor com garantia SOC 2 comprovada, sua organização terá uma auditoria transparente com relatórios SOC definindo os riscos e controles usados pelo fornecedor terceirizado. Esses padrões e medidas de segurança das informações serão integrados à sua organização, fornecendo a garantia de segurança de dados necessária para os padrões internos e requisitos normativos.

Outros fornecedores de cadeia de suprimentos conectados

Ataques à cadeia de abastecimento aumentaram mais de 600% em 2021/2022. Ataques como o MOVEit Transfer de dia zero provaram o impactos e a amplitude desses ataques. Pesquisa de segurança da Akamai sobre o ataque MOVEit encontrou números alarmantes de servidores vulneráveis voltados para a Internet. Esses tipos de vulnerabilidades são alvos de criminosos virtuais que usam fornecedores de cadeia de suprimentos para acessar redes lucrativas mais altas na cadeia. Fornecedores da cadeia de suprimentos que comprovam a conformidade com a SOC 2 podem demonstrar seu compromisso com a segurança dos dados.

Soluções da Akamai para conformidade com a SOC 2

A Akamai oferece uma família abrangente de soluções que oferece segurança Zero Trust para ajudar na conformidade com a SOC 2, fornecendo os meios para alcançar os critérios de Serviços de confiança da SOC 2. Nossas soluções de segurança líderes são reconhecidas como as melhores por nossos clientes, que usam a Akamai para proteger dados confidenciais em todo o ambiente de TI moderno e ampliado. O portfólio de segurança da Akamai cresceu de uma coleção de soluções pontuais para uma plataforma Zero Trust abrangente e poderosa. As soluções de classe mundial da empresa oferecem controles de segurança necessários para atender aos requisitos SOC 2 de segurança, disponibilidade, integridade, confidencialidade e privacidade de dados. A Akamai oferece visibilidade profunda do seu ambiente de TI, ativos críticos, requisitos de acesso e fluxo de rede em toda a sua infraestrutura expandida, incluindo fornecedores.

Segurança Zero Trust e conformidade com a SOC 2

O controle de acesso e autorização para usar dados é um aspecto crítico da segurança das informações sob a SOC 2. Desenvolvendo uma abordagem Zero Trust para a segurança dos dados é uma maneira de mapear todos os cinco Critérios de serviços de confiança para medidas de segurança robustas.

Medidas de segurança da SOC 2 usadas na criação de uma abordagem de segurança Zero Trust incluem:

Gerenciamento de identidade e acesso de seres humanos e dispositivos
Proteção de API em todo o fluxo de dados e ecossistemas
A MFA (Autenticação multifator)
Detecção de invasões
Visibilidade e monitoramento para aplicar autorização proporcional
Direitos de privilégio mínimo para minimizar o acesso aos dados
Criptografia de dados

Perguntas frequentes (FAQ)

Além de uma estrutura regulamentar, a SOC 2 é um relatório de auditoria que atesta a eficácia dos controles de uma organização de serviços relacionados à segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade.

A SOC1 e a SOC 2 diferem nos fundamentos de propósito e escopo. A SOC 1 se concentra na integridade dos controles financeiros do cliente e na precisão dos dados financeiros. Enquanto a SOC 2 se concentra em controles internos que protegem os dados usando os cinco Critérios de serviços de confiança, a SOC 2 tem um escopo mais amplo, abrangendo todos os provedores de serviços, incluindo serviços em nuvem.

Prestadores de serviços que armazenam dados de clientes na nuvem precisam de um relatório da SOC 2. É crucial para empresas de tecnologia e computação em nuvem. A certificação SOC 2 é realizada por um auditor SOC 2 certificado, um CPA (Certified Public Accountant, contador público certificado) afiliado à AICPA. A auditoria é feita em alguns ou todos os Critérios de serviços de confiança, ou TSC (Trust Services Criteria). Qual TSC é auditado depende do tipo de empresa. Por exemplo, um fornecedor de SaaS provavelmente auditaria os critérios de segurança, disponibilidade e confidencialidade.

O escopo da auditoria também depende do tipo de organização. Grandes empresas podem optar por auditar seções específicas da empresa ou dos produtos. O auditor precisará de uma documentação completa e de políticas que demonstrem os modelos de segurança. Ter um modelo Zero Trust documentado em vigor ajudará no processo.

A conformidade com a SOC 2 requer auditorias anuais para aderir aos cinco Critérios de serviços de confiança.

Por que os clientes escolhem a Akamai

A Akamai potencializa e protege a vida online. As principais empresas do mundo escolhem a Akamai para criar, proporcionar e proteger suas experiências digitais, ajudando bilhões de pessoas a viver, trabalhar e se divertir todos os dias. A Akamai Connected Cloud, uma plataforma de nuvem e edge massivamente distribuída, aproxima os apps e as experiências dos usuários e afasta as ameaças.

Produtos relacionados

Akamai Guardicore Segmentation

Visualize, proteja e segmente ambientes locais, de nuvem e híbridos.

Saiba mais

Segurança Zero Trust

Cobertura abrangente de cibersegurança combinada com visibilidade ampla e controle granular.

Saiba mais

Recursos adicionais

Simplifique a conformidade com o Zero Trust

Descubra como a adoção de uma arquitetura de segurança Zero Trust pode simplificar a conformidade com uma grande diversidade de requisitos regulatórios.

Assista ao vídeo

Resumo da Lei de Resiliência Operacional Digital

Lei de Resiliência Operacional Digital: como preparar as entidades financeiras para cumprir os requisitos de conformidade da DORA com a Akamai

Saiba como a Akamai está ajudando as entidades financeiras a lidar com os desafios de conformidade de maneira eficiente.

Saiba mais

Acelere a conformidade com o PCI e garanta a validação contínua com a Akamai Guardicore Segmentation

A Akamai Guardicore Segmentation atende a vários requisitos do PCI DSS com uma única ferramenta, fornecendo visibilidade aos auditores e ajudando as equipes de resposta a incidentes a detectar violações.

Saiba mais

Como simplificar a conformidade CIP da NERC usando a Akamai Guardicore Segmentation

Um modelo para a criação de uma arquitetura Zero Trust

A Akamai Guardicore Segmentation pode ajudar as organizações que já estão em conformidade com a CIP da NERC ao simplificar e aprimorar sua postura de conformidade.

Saiba mais