Controles de Sistema e Organização (SOC) 1 Tipo 2

Visão geral do SOC 1 Tipo 2

Os SOC (Controles de Sistema e Organização) para Organizações de Serviço são relatórios de controle interno criados pelo AICPA (American Institute of Certified Public Controls). Eles destinam-se a examinar os serviços fornecidos por uma organização de serviços para que os usuários finais possam avaliar e resolver o risco associado a um serviço terceirizado.

Um atestado SOC 1 Tipo 2 é executado em:

  • SSAE nº 18, Padrões de Atestado: Esclarecimento e Recodificação, que inclui a seção AT-C 320, Relatórios sobre um exame de controles em uma organização de serviço relevante para o controle interno das entidades de usuário sobre relatórios financeiros (AICPA, padrões profissionais).
  • Relatório SOC 1 sobre um Exame de Controles em uma Organização de Serviço Relevante para o Controle Interno de Entidades de Usuário Sobre Relatórios Pinanceiros (Guia AICPA).

Além da Instrução AICPA sobre Standards for Attestation Engagements 18 (SSAE 18), a auditoria Office 365 SOC 1 Tipo 2 é realizada de acordo com o International Standard on Assurance Engagements nº 3402 (ISAE 3402). O atestado SOC 1 substituiu o SAS 70 e é apropriado para relatórios sobre controles em uma organização de serviço relevantes para controles internos de entidades de usuário sobre relatórios financeiros. Um relatório Tipo 2 inclui a opinião do auditor sobre a eficácia do controle para alcançar os objetivos de controle relacionados durante o período de monitoramento especificado.

Plataformas e serviços em nuvem no escopo da Microsoft

Os serviços online da Microsoft no escopo são mostrados no relatório de atestado Azure SOC 1 Tipo 2:

  • Azure (para obter informações detalhadas, consulte Ofertas de Conformidade do Microsoft Azure)
  • Relatório de atestado do Azure DevOps (consulte relatório de atestado separado do Azure DevOps SOC 1 Tipo 2)
  • Dynamics 365 (para obter informações detalhadas, consulte Relatório de atestado do Azure SOC 1 Tipo 2)
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Ponto de Extremidade
  • Microsoft Defender para Identidade?
  • Microsoft Forms Pro
  • Microsoft Intune
  • Área de Trabalho Gerenciada da Microsoft
  • Microsoft Stream
  • Especialistas em ameaças da Microsoft
  • Portal de Indicação
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government - High, Office 365 Government Defense
  • Power Apps
  • Power Automate
  • Power BI
  • Agentes virtuais do Power
  • Conformidade de atualização

Azure, Dynamics 365 e SOC 1

Para obter mais informações sobre o Azure, o Dynamics 365 e outros serviços de conformidade do serviços online, consulte oferta do SOC 1 do Azure.

Office 365 e SOC 1

Ambientes do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Gerenciador de Conformidade, Caixa de Bloqueio do Cliente, Delve, Proteção do Exchange Online, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Teams, MyAnalytics, Office 365 Customer Portal, Office 365 Microsserviços (incluindo, mas não se limitando a Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Serviço de Anotação de Consulta, Sincronização de Dados Escolares, Siphon, Fala, StaffHub, programa de aplicativos eXtensible), Office Online, Infraestrutura de Serviços do Office, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Criptografia de Serviço com a Chave do Cliente do Microsoft Purview, SharePoint Online, Skype for Business
GCC Microsoft Entra ID, Gerenciador de Conformidade, Delve, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 complemento, Office 365 Central de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC Alta Microsoft Entra ID, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, Conformidade Avançada do Office 365 complemento, Office 365 Central de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD Microsoft Entra ID, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, Conformidade Avançada do Office 365 complemento, Office 365 Central de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Relatórios de auditoria do Office 365

Você deve ter uma assinatura ou uma conta de avaliação gratuita existente no Office 365 ou no Office 365 U.S. Government para baixar relatórios de atestado SOC 1 e SOC 2 e quaisquer cartas de ponte, conforme necessário.

Perguntas frequentes

Com que frequência os relatórios SOC do Office 365 são emitidos?

A Microsoft encomenda um exame soc 1 tipo 2 e SOC 2 tipo 2 completo de Office 365 anualmente. Os relatórios do auditor sobre esses exames (também conhecidos como auditorias) são emitidos assim que estiverem prontos após essa auditoria. O relatório SOC 3, que se baseia no exame SOC 2, é emitido ao mesmo tempo.

Como a Microsoft não controla o escopo investigativo do exame nem o período de conclusão do auditor, não há um prazo definido quando esses relatórios são emitidos. Os relatórios geralmente são emitidos alguns meses após o fim do período em exame. A Microsoft não permite nenhuma lacuna nos períodos consecutivos de exame de um exame para o outro.

A Microsoft também comissiona um exame soc 1 tipo 1 e SOC 2 tipo 1 de Office 365 para novos serviços da Microsoft que foram emitidos desde a última auditoria soc tipo 2. As auditorias tipo 1 não olham para trás durante um período de desempenho.

Devido à natureza sofisticada do Office 365, o escopo do serviço é grande se examinado como um todo. Isso pode levar a atrasos na conclusão do exame devido à escala. A Microsoft organiza todos os exames descritos anteriormente em duas categorias: Core Services e Microsserviços. A Microsoft emite um relatório com escopo para cada exame.

As auditorias do SOC Type 2 examinam uma janela de execução de 12 meses (também conhecida como período de auditoria ou período mais formal de desempenho) com exames realizados anualmente para o período de 1º de outubro a 30 de setembro do próximo ano civil. O exame começa imediatamente após a conclusão do período de desempenho.

A Microsoft também emite letras de ponte (também conhecidas como letras de lacuna). Estes são autoatendimentos da Microsoft, não relatórios com base em exames do auditor. As letras bridge são emitidas durante o período atual de desempenho que ainda não está concluído e pronto para o exame de auditoria. A Microsoft emite letras de ponte no final de cada trimestre para atestar nosso desempenho durante o período anterior de três meses. Devido ao período de desempenho das auditorias do tipo SOC 2, as letras de ponte normalmente são emitidas em dezembro, março, junho e setembro do período operacional atual.

Como os clientes podem se beneficiar do atestado do Office 365 SOC 1 Tipo 2?

Os clientes podem usar o certificado Office 365 SOC 1 Tipo 2 quando perseguem seus próprios requisitos de conformidade específicos da indústria financeira, tais como Sarbanes-Oxley (SOX), Conselho Federal de Exame de Instituições Financeiras (FFIEC), Lei Gramm-Leach-Bliley (GLBA), e outros.

Onde posso obter a documentação de auditoria do OFFICE 365 SOC, incluindo as letras de ponte da Microsoft?

Para obter links para a documentação de auditoria, consulte a seção relatório de auditoria do Portal de Confiança do Serviço. Você deve ter uma assinatura ou conta de avaliação gratuita existente em Office 365 ou Office 365 governo dos EUA para entrar. Em seguida, você pode baixar certificados de auditoria, relatórios de avaliação e outros documentos aplicáveis para ajudá-lo com seus próprios requisitos regulatórios.

Onde posso ver respostas de gerenciamento para exceções detectadas?

A maioria dos exames tem algumas observações sobre um ou mais dos controles específicos examinados. Alguns números de observações devem ser esperados. As respostas de gerenciamento a quaisquer exceções estão localizadas no final do relatório de atestado do SOC. Pesquise o documento para 'Resposta de Gerenciamento'.

Onde posso ver as responsabilidades da entidade do usuário?

As responsabilidades da entidade de usuário são suas responsabilidades de controle necessárias se o sistema como um todo for atender aos padrões de controle SOC 2. Elas estão localizadas no final do relatório de atestado SOC. Pesquise o documento em 'Responsabilidades da Entidade de Usuário'.

Use o Microsoft Purview Compliance Manager para avaliar seu risco

O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos