Avaliação de Prontidão SOC 2

Antes de passar meses numa auditoria SOC 2, precisa de saber exatamente onde está face aos Critérios de Serviços de Confiança. A nossa Avaliação de Prontidão SOC 2 mapeia os seus controlos atuais face aos cinco pilares TSC, identifica lacunas que bloqueiam a auditoria e dá-lhe um plano de remediação priorizado com orientação de recolha de evidências — para que a própria auditoria decorra sem problemas e dentro do prazo.

Prontidão primeiro — auditoria depois

A maioria das empresas entra na sua primeira auditoria SOC 2 sem preparação suficiente. O auditor assinala dezenas de deficiências de controlos, o projeto prolonga-se por meses além do planeado e o relatório final apresenta qualificações que os compradores empresariais irão questionar. Uma Avaliação de Prontidão SOC 2 identifica essas lacunas antes de o auditor o fazer — quando ainda tem tempo de as fechar de forma limpa.

A nossa avaliação de prontidão tem âmbito para a sua seleção de critérios de serviços de confiança. A maioria das empresas SaaS começa apenas com Segurança (CC); as empresas que tratam dados sensíveis frequentemente adicionam Disponibilidade (A) e Confidencialidade (C). Ajudamo-lo a escolher o âmbito certo antes de a avaliação começar, para que a recolha de evidências esteja focada nos critérios que o seu auditor irá testar. O resultado é um registo de lacunas e um roteiro de evidências que alimenta diretamente o nosso projeto completo de preparação SOC 2.

Do estado atual ao roteiro pronto para auditoria

Análise de Lacunas

Avaliação controlo a controlo face aos cinco Critérios de Serviços de Confiança do SOC 2: Segurança (CC), Disponibilidade (A), Confidencialidade (C), Integridade de Processamento (PI) e Privacidade (P). Lacunas classificadas por gravidade de bloqueio de auditoria — para que corrija as coisas certas primeiro. Cada constatação inclui o critério TSC específico a que se refere.

Mapeamento de Critérios de Serviços de Confiança

Mapeamento abrangente dos seus controlos existentes para os Critérios de Serviços de Confiança do SOC 2. Vê exatamente quais os critérios já cumpridos, quais são parcialmente cumpridos e quais não têm cobertura. Usado para definir o âmbito do seu projeto de auditoria e priorizar o investimento em remediação.

Orientação de Recolha de Evidências

Para cada controlo, especificamos exatamente que evidências o seu auditor irá solicitar: registos de revisões de acessos, registos de alterações, histórico de análises de vulnerabilidades, certificados de conclusão de formação, avaliações de risco de fornecedores. Recebe uma lista de verificação de evidências pronta a usar e um calendário de recolha para que nada esteja em falta quando a auditoria começar.

Suporte na Seleção de Auditores

A seleção da firma CPA importa. Ajudamo-lo a avaliar auditores SOC 2 licenciados por experiência no setor, duração típica de auditoria, preço e qualidade do relatório. Apresentamo-lo a firmas com as quais trabalhámos e ajudamo-lo a negociar o âmbito — para que escolha um auditor cujo relatório os seus compradores empresariais irão realmente aceitar.

Avaliação de Prontidão SOC 2 — Perguntas Frequentes

O que é uma Avaliação de Prontidão SOC 2?

Uma Avaliação de Prontidão SOC 2 é uma avaliação estruturada dos seus controlos de segurança da informação atuais face aos Critérios de Serviços de Confiança (TSC) do AICPA. Identifica lacunas de controlos que um auditor sinalizaria, estima a sua carga de trabalho de remediação e produz um roteiro de recolha de evidências. É o passo de preparação que acontece antes da auditoria, concebido para tornar a auditoria mais rápida, mais barata e mais provável de produzir um relatório limpo.

Quanto tempo demora o SOC 2 após uma avaliação de prontidão?

Após uma avaliação de prontidão, o cronograma para um relatório SOC 2 Tipo I é tipicamente de 2–4 meses. Isto cobre: remediação das lacunas identificadas na avaliação (4–12 semanas dependendo do volume), recolha do conjunto de evidências num momento específico e trabalho de campo e relatório do auditor (4–8 semanas). O SOC 2 Tipo II requer um período de observação adicional de 6–12 meses após o Tipo I ou uma data de início definida. As empresas com lacunas mínimas identificadas na avaliação de prontidão conseguem avançar significativamente mais depressa.

Qual é a diferença entre SOC 2 Tipo 1 e Tipo 2?

O SOC 2 Tipo I é uma avaliação num momento específico: confirma que os seus controlos estão adequadamente concebidos a partir de uma data específica. O SOC 2 Tipo II cobre um período de tempo (tipicamente 6–12 meses) e confirma que os seus controlos operaram de forma eficaz durante esse período. Os compradores empresariais e grandes equipas de aquisição preferem fortemente o Tipo II — prova consistência operacional em vez de apenas intenção de conceção. Recomendamos o Tipo I apenas como transição quando tem um prazo próximo específico que não consegue esperar por uma janela de observação do Tipo II.

Quanto custa uma Avaliação de Prontidão SOC 2?

A nossa Avaliação de Prontidão SOC 2 começa a partir de €4,500 para um âmbito apenas de critérios de Segurança (CC) numa empresa de 20–100 pessoas. As avaliações multi-critério (adicionando Disponibilidade, Confidencialidade ou Privacidade) são definidas individualmente. A taxa de avaliação é creditada no projeto completo de preparação SOC 2 se prosseguir connosco — por isso, se for todo o caminho até à auditoria, a avaliação de prontidão não lhe custa nada extra. A própria auditoria (taxa da firma CPA) é separada e tem tipicamente entre €8,000–€20,000 dependendo do auditor e do tamanho da organização.

Conheça as suas lacunas SOC 2 antes de o auditor o fazer

Diga-nos quais os Critérios de Serviços de Confiança que está a visar e quando precisa do relatório — definiremos o âmbito da avaliação de prontidão e responderemos com um preço fixo.

Contacte-nos →    ISO 27001 & SOC 2 →
CHAT DE AGENTE
Sistema: Ligação segura estabelecida. A aguardar entrada...