AICPA – Relatórios SOC (Service Organization Control)
SOC 1 – Controles sobre Relatórios Financeiros
Para organizações que prestam serviços que impactam os controles internos dos clientes Aplicável para:
-
Processadores de folha de pagamento
-
Administradores de planos de benefícios
-
Processadores de cartão de crédito e pagamentos
-
Centros de dados e cloud providers
-
Administradores de fundos de investimento
Tipos de relatório:
-
Type I: Avaliação do design dos controles em data específica
-
Type II: Avaliação da eficácia operacional dos controles ao longo do tempo
SOC 2 (Controles de Sistema e Organização 2)
-
Type I: Avaliação do design dos controles em data específica
-
Type II: Avaliação da eficácia operacional dos controles ao longo do tempo
Baseado nos Trust Services Criteria (TSC)
Critérios avaliados:
-
Segurança: Proteção contra acesso não autorizado
-
Disponibilidade: Sistema disponível para operação conforme acordado
-
Integridade do Processamento: Processamento completo, válido e preciso
-
Confidencialidade: Proteção de informações confidenciais
-
Privacidade: Coleta, uso, retenção e descarte de informações pessoais
Versão pública dos relatórios SOC 2 para marketing e vendas
