Controles de Sistema e Organização (SOC) 2 Tipo 2

Visão geral do SOC 2 Tipo 2

Os SOC (Controles de Sistema e Organização) para Organizações de Serviço são relatórios de controle interno criados pelo AICPA (American Institute of Certified Public Controls). Destinam-se a examinar os serviços fornecidos por uma organização de serviços para que os utilizadores finais possam avaliar e resolver o risco associado a um serviço externo.

Um atestado SOC 2 Tipo 2 é executado em:

  • SSAE N.º 18, Normas de Atestado: Esclarecimento e Recodificação, que inclui a secção AT-C 105, Conceitos Comuns a Todos os Compromissos de Atestado e a secção AT-C 205, Compromissos de Exame (AICPA, Padrões Profissionais).
  • Relatório SOC 2 sobre um exame de controles em uma organização de serviço relevante para segurança, disponibilidade, integridade de processamento, confidencialidade ou privacidade (Guia AICPA)
  • TSP seção 100, 2017 Critérios dos Serviços de Confiança para Segurança, Disponibilidade, Integridade de Processamento, Confidencialidade e Privacidade (AICPA, Critérios de Serviços de Confiança de 2017).

Além disso, o relatório de atestado do Office 365 SOC 2 Tipo 2 aborda os requisitos estabelecidos na CcM (Cloud Security Alliance) Cloud Controls Matrix (CCM) da Cloud Security Alliance (CSA) e no Catálogo de Critérios de Conformidade de Computação em Nuvem (C5:2020) criado pelo BSI (Federal Office for Information Security) da Alemanha.

Office 365 atestados SOC 2 baseiam-se em rigorosos exames abrangentes de terceiros (também conhecidos como auditorias) realizados por uma empresa independente de CPA acreditada pela AICPA. Ao concluir a auditoria do SOC 2 ou SOC 2, o auditor do serviço apresenta seu parecer em um relatório SOC 2 Tipo 2 ou SOC 2 Tipo 2, que descreve o sistema do CSP e avalia a legitimidade da descrição fornecida pelo CSP de seus controles. Ele também avalia se os controles do CSP foram projetados apropriadamente, se estavam em operação em determinada data e se funcionaram de forma efetiva durante um período específico. Os relatórios do Office 365 SOC 2 Tipo 2 são relevantes para segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade do sistema.

Plataformas e serviços em nuvem no escopo da Microsoft

Os serviços online da Microsoft no escopo são mostrados no relatório de atestado Azure SOC 2 Tipo 2:

  • Azure (para obter informações detalhadas, veja Ofertas de Conformidade do Microsoft Azure)
  • Azure DevOps (consulte o Relatório de atestado SOC 2 Tipo 2 do Azure DevOps)
  • Dynamics 365 (para obter informações detalhadas, consulte o relatório de atestado SOC 2 Tipo 2 do Azure)
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Ponto de Extremidade
  • Microsoft Defender para Identidade?
  • Microsoft Forms Pro
  • Microsoft Intune
  • Área de Trabalho Gerenciada da Microsoft
  • Microsoft Stream
  • Especialistas em ameaças da Microsoft
  • Tópicos
  • Portal de Indicação
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government - High, Office 365 Government Defense
  • Power Apps
  • Power Automate
  • Power BI
  • Agentes virtuais do Power
  • Conformidade de atualização

Azure, Dynamics 365 e SOC 2

Para obter mais informações sobre o Azure, o Dynamics 365 e outros serviços de conformidade do serviços online, consulte oferta do SOC 2 do Azure.

Office 365 e SOC 2

Ambientes do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Gestor de Conformidade, Sistema de Proteção de Dados do Cliente, Delve, Proteção do Exchange Online, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Teams, Microsoft Viva Topics, MyAnalytics Office 365 Portal do Cliente, Office 365 Microsserviços (incluindo, mas não se limitando ao Kaizala, ObjectStore, Sway, Serviço de Documentos do PowerPoint Online, Serviço de Anotação de Consultas, Sincronização de Dados Escolares, Siphon, Voz, StaffHub, Programa de Aplicações eXtensible), Office Online, Infraestrutura de Serviços do Office, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Encriptação de Serviço com a Chave de Cliente do Microsoft Purview, SharePoint Online Skype for Business
GCC Microsoft Entra ID, Gestor de Conformidade, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Conformidade Avançada do Office 365 suplemento Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC Alta Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, suplemento Conformidade Avançada do Office 365 Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online Skype for Business
DoD Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, suplemento Conformidade Avançada do Office 365 Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online Skype for Business

Relatórios de auditoria do Office 365

De acordo com os requisitos do AICPA, tem de ter uma subscrição ou conta de avaliação gratuita existente no Office 365 ou Office 365 governo dos EUA para transferir relatórios de atestado SOC 1 e SOC 2 e quaisquer cartas de bridge conforme necessário.

Perguntas frequentes

Com que frequência os relatórios SOC do Office 365 são emitidos?

A Microsoft encomenda um exame completo do SOC 1 Tipo 2 e SOC 2 Tipo 2 de Office 365 anualmente. Os relatórios do auditor sobre estes exames (também conhecidos como auditorias) são emitidos assim que estiverem prontos após essa auditoria. O relatório SOC 3, baseado no exame SOC 2, é emitido ao mesmo tempo.

Uma vez que a Microsoft não controla o âmbito de investigação do exame nem o período de tempo da conclusão do auditor, não existe um período de tempo definido quando estes relatórios são emitidos. Normalmente, os relatórios são emitidos alguns meses após o fim do período em análise. A Microsoft não permite lacunas nos períodos consecutivos de exame de um exame para o outro.

A Microsoft também encomenda um exame SOC 1 e SOC 2 Tipo 1 de meados do ano de Office 365 para novos serviços Microsoft emitidos desde a última auditoria SOC Tipo 2. As auditorias do tipo 1 não olham para trás durante um período de desempenho.

Devido à natureza sofisticada da Office 365, o âmbito do serviço é grande se for examinado como um todo. Isto pode levar a atrasos na conclusão do exame simplesmente devido à escala. A Microsoft organiza todos os exames descritos acima em 2 categorias: Serviços Principais e Microsserviços. A Microsoft emite um relatório no âmbito de cada exame.

As auditorias soc tipo 2 examinam um período de execução sem interrupção de 12 meses (também conhecido como período de auditoria ou período de desempenho mais formal) com exames realizados anualmente para o período de 1 de Outubro a 30 de Setembro do próximo ano civil. O exame é iniciado prontamente após a conclusão do período de desempenho.

A Microsoft também emite letras de ponte (também conhecidas como letras de lacuna). Estes são atestados auto-atestados pela Microsoft, não relatórios baseados em exames do auditor. As cartas de ponte são emitidas durante o período de desempenho atual que ainda não está completo e pronto para exame de auditoria. A Microsoft emite cartas de bridge no final de cada trimestre para atestar o nosso desempenho durante o período de três meses anterior. Devido ao período de desempenho das auditorias soc tipo 2, as cartas de ponte são normalmente emitidas em dezembro, março, junho e setembro do período operacional atual.

Onde posso obter a documentação de auditoria do Office 365 SOC, incluindo cartas de ponte?

Para obter ligações para a documentação de auditoria, veja a secção relatório de auditoria do Portal de Confiança do Serviço. Tem de ter uma subscrição ou conta de avaliação gratuita existente no Office 365 ou Office 365 governo dos EUA para iniciar sessão. Em seguida, você pode baixar certificados de auditoria, relatórios de avaliação e outros documentos aplicáveis para ajudá-lo com seus próprios requisitos regulatórios.

Onde posso encontrar uma avaliação da implementação de controles CCM da Cloud Security Alliance?

A Microsoft encomenda um exame de Office 365 para se basear nos Princípios e Critérios dos Serviços de Confiança do American Institute of Certified Public Accountants (AICPA), incluindo segurança, disponibilidade, confidencialidade e integridade de processamento, e os critérios na Matriz de Controlos da Cloud (CCM) da Cloud Security Alliance (CSA).

O objectivo é avaliar os critérios e os requisitos do AICPA estabelecidos no CCM numa inspecção eficiente. A auditoria soc 2 do Office 365 incorpora a avaliação dos controlos CCM, conforme exigido pelo atestado CSA STAR. Para obter mais informações, consulte o relatório de atestado do Office 365 SOC 2 Tipo 2.

Onde posso ver as respostas de gestão a quaisquer exceções anotados?

A maioria dos exames tem algumas observações sobre um ou mais dos controlos específicos examinados. Isto é de esperar. As respostas de gestão a quaisquer exceções estão localizadas no final do relatório de atestado SOC. Procure "Resposta de Gestão" no documento.

Onde posso ver as responsabilidades da entidade do usuário?

As responsabilidades das entidades do utilizador são as responsabilidades de controlo necessárias para que o sistema como um todo cumpra as normas de controlo SOC 2. Estes estão localizados no final do relatório de atestado SOC. Procure no documento "Responsabilidades da Entidade do Utilizador".

Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco

O Gestor de Conformidade do Microsoft Purview é uma funcionalidade do portal de conformidade do Microsoft Purview para o ajudar a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos