Como eu sei que minhas informações estão seguras na nuvem?
Quem decide usar um provedor de serviços em nuvem ou terceirizar recursos de TI geralmente fica preocupado com questões do tipo: Será que as minhas informações ficarão seguras?
Cada vez mais as empresas estão adotando os adotando os recursos de nuvem, seja devido ao avanço e os recursos tecnológicos ou devido a redução de custo de manutenção de seu próprio data center, principalmente no que diz respeito a armazenamento de dados.
Mas quem garante que os dados estão seguros ? As auditorias independentes que irão fornecer informações sobre conformidade com os padrões de proteção de dados e requisitos regulatórios,
Existem muitos padrões, regulamentações e certificações de segurança para diferentes setores da industria (Consumidor final, bancos, governos, educação, saúde, etc.)
- ISO 27001
- SO 27017
- ISO 27018
- SOC 1
- SOC 2
- SOC 3
- PCI DSS
- HIPAA
- FIPS
- GDPR (Vai nos ajudar na LGPD) e muitas outras
Porém, este artigo está limitado a tratar do Service Organization Controls (SOC) . Mas saiba já em todos os grandes provedores é possível de verificar como eles tratam “compliance” e quais padrões e certificações possuem publicamente:
- Azure ttps://servicetrust.microsoft.com/
- Google Cloud https://cloud.google.com/security/compliance
- AWS – https://aws.amazon.com/pt/compliance/
Service Organization Controls (SOC)
O American Institute of Certified Public Accountants (AICPA) desenvolveu uma estrutura de relatório de gerenciamento de riscos de segurança cibernética. As empresas podem fazer uso desses relatórios para demonstrar seus esforços de gerenciamento de riscos de segurança cibernética e apresentar os sistemas, processos e controles existentes para detectar, prevenir e responder a violações.
Assim o AICPA desenvolveu o Service Organization Controls (SOC) framework. Um padrão de relatórios que permitem entender como está a proteção da confidencialidade e a privacidade das informações armazenadas e processadas empresas provedoras de serviços e é aí que se encaixa os provedores de serviços de nuvem computacional. Esse framework usa um padrão de relatórios para organizações de serviços internacionais do “International Standard on Assurance Engagements (ISAE)“.
Trust Services Principies and Criteria
- Security
- Availability
- Confidentiality
- Processing integrity
- Privacy
SOC 1, SOC 2 e SOC 3
As auditorias de serviço baseadas na estrutura do SOC se enquadram em duas categorias – SOC 1 e SOC 2 – que se aplicam aos serviços de nuvem se tratando no cenário no qual apresento que é a Nuvem Microsoft por exemplo.
Um relatório SOC 1 documenta os controles de uma organização de serviços que podem ser relevantes para os relatórios financeiros. A Declaração sobre normas para compromissos de atestado (SSAE 18) e as normas internacionais para compromissos de garantia nº 3402 (ISAE 3402) são os padrões sob os quais a auditoria é realizada e são a base do relatório SOC 1.
O SOC 2 é um relatório para avaliar os sistemas de informação de uma organização relevantes para segurança, disponibilidade, integridade de processamento e confidencialidade ou privacidade. Um Compromisso de Atestado de acordo com a Seção 101 dos Padrões de Atestado (AT) é a base dos relatórios SOC 2 e SOC 3.
Os auditores também podem criar um relatório SOC 3 que é uma versão abreviada do relatório de auditoria SOC 2 Tipo 2 para usuários que desejam segurança sobre os controles do provedor de cloud, mas não precisam de um relatório SOC 2 completo.
Um relatório SOC 3 é uma versão curta e pública do relatório de atestado SOC 2 Tipo 2, para usuários que desejam garantias sobre os controles do provedor de serviços em nuvem, mas não precisam de um relatório SOC 2 completo. O relatório SOC 3 do Azure pode ser baixado do Service Trust Portal. https://servicetrust.microsoft.com/
Esses relatórios são atualizados regularmente.
Esses relatórios são gerados por empresas independentes, por exemplo o ultimo relatório SOC 3 do Azure + Dynamics 360 foi executado pela Deloitte & Touche LLP e atesta que a Microsoft oferece Segurança, Disponibilidade, Integridade no processamento e confidencialidade enquanto que o da AWS foi executado pela Ernst & Young LLP
Com foco nos princípios de segurança, disponibilidade, confidencialidade o SOC 2 é o relatório de auditora que mais nos interessa e ele possui dois tipos:
SOC 2 – Tipos
O tipo I está relacionado ao design dos controles; O tipo II se preocupa com a eficácia dos mesmos.
Tipo l – Relatório sobre a apresentação da descrição da administração da organização prestadora de serviços sistema e a adequação do projeto dos controles para atingir os objetivos de controle relacionados incluídos em a descrição em uma data especificada.
https://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/serviceorganization-smanagement.html
Tipo II: relatório sobre a justeza da apresentação da descrição da administração da organização prestadora de serviços sistema e a adequação do projeto e eficácia operacional dos controles para alcançar os
objetivos de controle incluídos na descrição ao longo de um período especificado.
O uso desses relatórios é restrito ao gerenciamento da organização prestadora de serviços, entidades de usuários e auditores de usuários.
Com o relatório SOC 2 Tipo 1, uma empresa de serviços pode enviar uma mensagem poderosa aos clientes em potencial de que aplica as melhores práticas em segurança de dados e sistemas de controle. Entidades de serviço com essa conformidade podem obter mais contratos de empresas maiores.
Como o relatório SOC 2 Tipo 1, o SOC 2 Tipo 2 analisa os cinco princípios de confiança de processamento e armazenamento de dados – disponibilidade, confidencialidade, segurança, privacidade e integridade de processamento.
Embora a conformidade com o SOC 2 Tipo 2 possa exigir um investimento significativo não apenas em capital, mas também em horas de trabalho, pode representar significativamente no momento de decisão do cliente ao escolher a empresa prestadora de serviço.
SOC 2 Type 1 é um relatório de um ponto no tempo, um snapshot, SOC 2 type 2 -é um review dos controles em ação. É o melhor relatório que podemos ter. Mas não fica publico pois contem muitos detalhes sobre o design de segurança. Assim temos disponível o SOC 3 publicamente, mas podemos solicita o SOC 2 type 2 como potencial cliente.
Resumo
Um relatório SOC 1 é projetado para abordar controles internos sobre relatórios financeiros, enquanto um relatório SOC 2 aborda os controles de uma organização de serviço que são relevantes para suas operações e conformidade. Um relatório SOC 3 apresenta as mesmas informações que um relatório SOC 2. A principal diferença entre os dois é que o SOC 3 se destina ao público em geral.
1 Trackback / Pingback