Consultoria de Conformidade ISO 27001 & SOC 2
Os compradores empresariais pedem ISO 27001 ou SOC 2 cada vez com mais frequência — especialmente após o reforço da execução da NIS2 em toda a UE. A certificação abre negócios no valor de centenas de milhares de euros, mas a preparação são meses de criação de políticas, recolha de evidências e coordenação com auditores. Fazemos tudo isso.
De “queremos a certificação” a “temos a certificação”
Projeto a preço fixo cobrindo o ciclo completo de preparação. O preço não muda se demorar mais; assumimos o risco de duração.
Análise de Lacunas
Avaliação detalhada do ponto em que está hoje vs. o framework de controlos. Priorizada por gravidade de bloqueio de auditoria. Vê a lista completa de trabalho antes de assinar.
Criação de Políticas
O conjunto completo de políticas escrito para o seu negócio: segurança da informação, utilização aceitável, gestão de acessos, resposta a incidentes, gestão de fornecedores, gestão de alterações, continuidade de negócio, recuperação de desastres.
Implementação de Controlos
Controlos técnicos implementados: aplicação de MFA, configuração de registos, gestão de vulnerabilidades, encriptação em repouso, verificação de cópias de segurança, processos de avaliação de risco de fornecedores. Implementação real no seu ambiente, com evidências recolhidas à medida que avançamos.
Recolha de Evidências
A sala de evidências que cada auditor pede: revisões de acessos, registos de alterações, histórico de análises de vulnerabilidades, conclusão de formação, revisões de fornecedores, testes de continuidade de negócio. Organizada por controlo, pronta para entregar.
Ligação com Auditores
Trabalhamos diretamente com o auditor da sua escolha. Coordenamos o calendário de auditoria, preparamos a sua equipa para entrevistas, respondemos a pedidos de evidências e gerimos a remediação de constatações entre a Fase 1 e a Fase 2 (ou SOC 2 Tipo I / Tipo II).
Vigilância Anual
Uma vez certificado, o trabalho não termina. Auditorias anuais de vigilância, recolha contínua de evidências de monitorização, cadência de revisão de políticas. Retainer opcional mantém tudo a funcionar.
O processo de preparação para certificação
Análise de Lacunas & Definição de Âmbito
Avaliamos os seus controlos atuais face ao framework relevante (ISO 27001 Anexo A ou Critérios de Serviços de Confiança SOC 2). Resultado: uma lista de lacunas priorizada, um cronograma de remediação e uma proposta de preço fixo para o projeto completo de preparação.
Remediação & Construção de Políticas
Criamos o conjunto de políticas, implementamos controlos técnicos, gerimos o programa de vulnerabilidades e recolhemos evidências em paralelo. Atualizações de estado semanais mantêm-no informado em cada fase.
Auditoria
Coordenamos a auditoria com o organismo de certificação ou firma CPA da sua escolha, gerimos a sala de evidências, preparamos a sua equipa para entrevistas com auditores e tratamos das constatações da Fase 2 ou Tipo II. Mantemo-nos disponíveis até ao encerramento da auditoria.
Testes de penetração + ISO/SOC 2 é um único projeto
O controlo A.8.8 da ISO 27001 requer gestão de vulnerabilidades. O CC7.1 do SOC 2 requer o mesmo. Ambos exigem evidências de testes externos regulares — o que significa que o nosso serviço de testes de penetração já está a produzir o artefacto que o seu auditor vai querer. Agrupar os dois significa que a cadência de testes, o rastreio de remediação e as evidências de auditoria correm todos num único fluxo coordenado.
O nosso retainer vCISO tipicamente complementa o projeto: alguém detém o programa de segurança numa base contínua, participa na auditoria e representa o seu negócio perante o auditor. A maioria dos clientes gere testes de penetração, preparação ISO/SOC 2 e o retainer vCISO como um programa combinado.
Perguntas frequentes
Quanto tempo demora a certificação ISO 27001?
Do início ao final da decisão de certificação, a ISO 27001 demora tipicamente 4–9 meses dependendo do seu ponto de partida. As empresas sem controlos de segurança prévios demoram mais; as que têm práticas e documentação de segurança existentes conseguem avançar mais rapidamente. A nossa análise de lacunas (semana 1) dá-lhe uma estimativa de cronograma precisa antes de o projeto principal começar.
SOC 2 vs. ISO 27001 — de qual preciso?
O SOC 2 é principalmente exigido por compradores empresariais dos EUA e está a tornar-se padrão para empresas SaaS que vendem no mercado dos EUA. A ISO 27001 é mais comum na aquisição empresarial europeia e é cada vez mais exigida sob as obrigações da cadeia de fornecimento da NIS2. Se vende para ambos os mercados, ou se os seus compradores são grandes multinacionais, pode precisar de ambas. Definimos projetos combinados que satisfazem ambos os frameworks com uma base de evidências partilhada — tipicamente 20–35% mais barato do que dois programas separados.
Quanto custa a conformidade SOC 2 / ISO 27001?
O nosso projeto a preço fixo para um único framework (ISO 27001 ou SOC 2 Tipo I) começa a partir de €25,000. SOC 2 Tipo II ou um programa dual ISO 27001 + SOC 2 é definido individualmente. O preço do projeto cobre análise de lacunas, criação de políticas, implementação de controlos técnicos, recolha de evidências e ligação com auditores. A taxa de auditoria do organismo de certificação ou firma CPA é separada (tipicamente €5,000–€20,000 dependendo do tamanho da organização).
Qual é a diferença entre SOC 2 Tipo I e Tipo II?
O SOC 2 Tipo I é uma avaliação num momento específico: confirma que os seus controlos estão corretamente concebidos a partir de uma data específica. O SOC 2 Tipo II cobre um período de tempo (tipicamente 6–12 meses) e confirma que os seus controlos operaram de forma eficaz durante esse período. Os compradores empresariais e equipas de aquisição preferem esmagadoramente o Tipo II, pois prova consistência operacional em vez de apenas intenção de conceção. Recomendamos ir diretamente para o Tipo II a menos que tenha um prazo próximo específico que requeira um Tipo I de transição.
Preciso de ISO 27001 para conformidade com o GDPR?
A ISO 27001 não é exigida pelo GDPR, mas suporta substancialmente a conformidade com o GDPR. O Artigo 32 do GDPR requer “medidas técnicas e organizacionais adequadas” para proteger dados pessoais — e um ISMS ISO 27001 é a evidência mais defensável de que essas medidas existem. Muitas APDs e reguladores veem a certificação ISO 27001 como evidência forte de conformidade GDPR para as obrigações de segurança. Se processar volumes significativos de dados pessoais da UE, a ISO 27001 vale a pena perseguir apenas pela gestão do risco regulatório.
Podem tratar tanto de SOC 2 como de ISO 27001 num único projeto?
Sim, e recomendamos se ambas forem necessárias. Os frameworks de controlos sobrepõem-se significativamente: aproximadamente 70% dos controlos do Anexo A da ISO 27001 mapeiam para os Critérios de Serviços de Confiança do SOC 2. Gerimos um programa de recolha de evidências unificado que satisfaz ambos, reduzindo o custo total e o tempo decorrido em comparação com a execução de dois programas separados sequencialmente. Aconselhamos sobre a sequenciação com base na certificação que os seus compradores estão a exigir primeiro.
Explorar Serviços Específicos de Conformidade
Avaliação de Prontidão SOC 2
Análise de lacunas, mapeamento de critérios de serviços de confiança e orientação de recolha de evidências antes da sua auditoria SOC 2.
Consultoria ISO 27001
Conceção de ISMS, registo de riscos, criação de políticas e suporte à auditoria de certificação — preço fixo por ciclo.
Conformidade, sem a taxa de consultoria
Diga-nos qual a certificação que está a perseguir e que evidências já tem — responderemos com um âmbito e um preço fixo.
Contacte-nos → Penetration Testing →