Cada vez mais, as empresas estão terceirizando funções básicas, como armazenamento de dados e acesso a aplicativos para provedores de serviços em nuvem (CSPs) e outras organizações de serviço. Em resposta, o Instituto Americano de Contadores Públicos Certificados (AICPA) desenvolveu a estrutura de Controles da Organização de Serviço (SOC), um padrão para controles e defesa da confidencialidade e privacidade da informação armazenados e processados na nuvem. Ele está alinhado ao International Standard on Assurance Engagements (ISAE), o padrão de relatório para organizações de serviço internacional.

Uma auditoria de SOC 2 mede a efetividade do sistema de um CSP baseada nos Princípios e Critérios dos Serviço de Confiança da AICPA. Um Compromisso de Verificação sob a Seção 101 dos Padrões de Atestado (AT) é a base dos relatórios do SOC 2 e SOC 3.

No momento da conclusão de uma auditoria de SOC 2, o auditor do serviço apresenta uma opinião em um relatório SOC 2 Tipo 2, que descreve o sistema de um CSP e avalia a equidade da descrição de um CSP de seus controles. Ele também avalia se os controles de um CSP foram designados de modo apropriado, estavam em operação em uma data especificada e funcionaram efetivamente em um período de tempo especificado.

Os auditores também podem criar um relatório SOC 3, uma versão abreviada do relatório de auditoria SOC 2 Tipo 2, para usuários que desejam garantia sobre os controles do CSP, mas não precisam de um relatório SOC 2 completo. Um relatório SOC 3 pode ser atribuído somente quando o CSP tem uma opinião de auditoria sem ressalvas para o SOC 2.

Se tiver perguntas que não foram respondidas acima ou se quiser solicitar uma cópia de nosso relatório mais recente de SOC2, preencha este formulário e aguarde um engenheiro de segurança do Smartsheet entrar em contato com você.