Empresas que prestam serviços a outras organizações e buscam fortalecer sua postura de segurança da informação frequentemente realizam uma auditoria de Controles de Organização de Serviços 2 (SOC 2), com foco crescente em atender aos requisitos de senha. O processo de certificação SOC 2 inclui demonstrar controles adequados de acesso ao sistema para garantir que dados confidenciais permaneçam protegidos e seguros em todos os momentos. Relatórios SOC 2 são frequentemente solicitados por clientes e parceiros de negócios de provedores de soluções terceirizadas, ressaltando a importância da conformidade com a SOC 2. Muitas empresas que buscam conformidade com a SOC 2 utilizam soluções como um gerenciador de senhas compatível com a SOC 2 para ajudar a atender aos requisitos.
Confira o Centro de Recursos para mais guias sobre como alcançar a conformidade com outros padrões de segurança.
Resumo dos critérios de serviços de confiança da SOC 2
Relatórios SOC 2 são relevantes para organizações de serviços e dizem respeito aos controles relacionados a aspectos como segurança e privacidade. O Instituto Americano de Contadores Públicos Certificados (AICPA) introduziu o relatório de Controles de Organização de Serviços, ou SOC 2 para ajudar a avaliar empresas de serviços — ou seja, instituições financeiras, prestadores de serviços de saúde, provedores de serviços em nuvem e provedores de SaaS — e sua capacidade de manter controles sólidos “relevantes para a segurança, disponibilidade e integridade de processamento dos sistemas … para processar os dados dos usuários e a confidencialidade e privacidade das informações processadas por esses sistemas.”
A SOC 2 inclui dois tipos de relatórios:
Tipo 1: relatórios sobre a descrição do sistema de uma empresa e a adequação do desenho de seus controles.
Tipo 2: relatórios sobre a descrição do sistema de uma empresa e a adequação e a eficácia operacional de seus controles.
Durante auditorias SOC 2, os controles de uma organização de serviços são avaliados para garantir a conformidade com a estrutura de segurança. Ambos os tipos de relatório SOC 2 detalham como as empresas processam dados, mas o SOC 2 Tipo 2 descreve com mais profundidade os controles de segurança de dados em vigor, incluindo gerenciamento de credenciais. Ambos os tipos de relatório são restritos a determinadas entidades (por exemplo, clientes ou auditores). No entanto, as empresas também podem produzir um relatório SOC 3 disponível publicamente, que resume alguns dos critérios de segurança de dados encontrados no relatório SOC 2.
Visão geral do processo de certificação SOC 2
Empresas que buscam a certificação SOC 2 devem passar por uma auditoria conduzida por um representante credenciado pela AICPA. Os cinco Critérios de Serviços de Confiança formam os componentes fundamentais da estrutura de conformidade SOC 2, incluindo Segurança, Disponibilidade, Integridade de processamento, Confidencialidade e Privacidade. Desenvolvidos pela primeira vez em 2017 e atualizados pela última vez no fim de 2022 para “refletir um ambiente de tecnologias, ameaças e vulnerabilidades em constante mudança … mudanças nos requisitos legais e regulatórios e expectativas culturais relacionadas à privacidade”, além de “abordar o gerenciamento de dados, especialmente quando relacionado à confidencialidade”, os critérios são os seguintes:
Segurança - Informações e sistemas são protegidos contra acesso não autorizado, divulgação não autorizada de informações e danos a sistemas que possam comprometer a disponibilidade, a integridade dos dados, a confidencialidade e a privacidade das informações ou sistemas, afetando a capacidade da entidade de atingir seus objetivos.
Disponibilidade - Informações e sistemas estão disponíveis para operação e são usados para atingir os objetivos da entidade.
Integridade de processamento - O processamento do sistema é completo, válido, preciso, oportuno e autorizado para atingir os objetivos da entidade.
Confidencialidade - Informações designadas como confidenciais são protegidas para atingir os objetivos da entidade.
Privacidade - Informações pessoais são coletadas, usadas, retidas, divulgadas e descartadas para atingir os objetivos da entidade.
Controles internos desempenham um papel crucial para garantir a conformidade com os Critérios de Serviços de Confiança durante auditorias.
As empresas só precisam cumprir os princípios que se aplicam a elas. Por exemplo, o Princípio de Disponibilidade normalmente se aplica a empresas que fornecem aos clientes serviços de colocation, data center, baseados em SaaS ou hospedagem.
Você também pode gostar:
O Princípio de Segurança: controles de segurança da SOC 2 e requisitos de senha
O Princípio de Segurança se aplica à maioria das empresas que buscam conformidade com a SOC 2, com foco na proteção dos dados dos clientes. A maior parte dos requisitos do Princípio de Segurança está na seção CC6 dos Critérios de Serviços de Confiança, que também detalha os requisitos de senha da SOC 2. As seções a seguir demonstram como um gerenciador de senhas pode dar suporte a muitos requisitos importantes.
Os controles da SOC 2 são importantes para mitigar violações de dados e proteger informações confidenciais.
Gerenciamento de credenciais de infraestrutura para proteger dados de clientes
“A entidade implementa software, infraestrutura e arquiteturas de segurança de acesso lógico em ativos de informação protegidos para protegê-los contra eventos de segurança e atender aos objetivos da entidade.” - CC6.1 (págs. 34-35)
As empresas devem demonstrar como gerenciam credenciais de infraestrutura e software, incluindo a remoção de acesso quando ele não é mais necessário ou exigido. Com um gerenciador de senhas, os administradores podem automatizar facilmente o acesso, atribuir funções e restringir usuários ao acesso somente leitura a credenciais de sistema. O controle de acesso granular permite que os administradores ocultem credenciais para impedir a cópia de senhas, TOTP sementes ou campos personalizados.
Um CPA credenciado avalia o desenho e a eficácia operacional dos controles de uma organização durante uma auditoria SOC 2 para garantir que estejam alinhados aos padrões exigidos para proteger dados sensíveis.
As empresas devem criptografar seus dados e proteger as chaves de criptografia o tempo todo. Com um gerenciador de senhas com criptografia 100% de ponta a ponta e de conhecimento zero que usa criptografia AES de 256 bits, as empresas protegem suas credenciais e informações sensíveis que podem ser compartilhadas entre funcionários, como documentos financeiros. Além disso, o PBKDF2 SHA-256 reforça a proteção das chaves de criptografia limitando a recuperação de chaves apenas ao usuário que faz login com sua senha mestra.
Integração e sucessão
“Antes de emitir credenciais de sistema e conceder acesso ao sistema, a entidade registra e autoriza novos usuários internos e externos cujo acesso é administrado pela entidade. Para esses usuários cujo acesso é administrado pela entidade, as credenciais de sistema do usuário são removidas quando o acesso do usuário não é mais autorizado.” - CC6.2 (pág. 36)
As empresas devem mostrar como registram e autenticam novos usuários, incluindo níveis de acesso. Com um gerenciador de senhas, os administradores podem vincular seu serviço de diretório (LDAP) para otimizar a integração e sucessão de usuários. Usuários e grupos no LDAP da sua empresa são sincronizados com a Organização do seu gerenciador de senhas, replicando a mesma estrutura. Melhor ainda, sempre que um novo usuário é adicionado ao LDAP, ele também é criado no gerenciador de senhas — e, da mesma forma, é removido quando desprovisionado do LDAP.
As empresas devem autorizar o acesso a ativos protegidos. Um gerenciador de senhas com logon único permite que seu Provedor de identidade existente ofereça autenticação para usuários do gerenciador de senhas. Os administradores podem definir políticas de senha que exijam que os usuários façam login pelo método de logon único para acessar credenciais.
Controle de acesso granular
“A entidade autoriza, modifica ou remove o acesso a dados, software, funções e outros ativos de informação protegidos com base em funções, responsabilidades ou no desenho e nas alterações do sistema, levando em consideração os conceitos de privilégio mínimo e segregação de funções, para atender aos objetivos da entidade.” - CC6.3 (pág. 36)
As empresas devem demonstrar controles de acesso baseados em função (RBAC). Com um gerenciador de senhas, os administradores podem definir tipos de usuário e criar funções personalizadas para atribuir controle granular e permissões de usuário para componentes do gerenciador de senhas. Controles de acesso baseados em função podem ser configurados para funções como quem pode gerenciar usuários, acessar logs de eventos ou importar/exportar dados.
Quer saber como aumentar ainda mais a segurança da sua empresa? Confira o Bitwarden Secrets Manager para proteger os segredos dos seus desenvolvedores.
Explore o Bitwarden para apoiar a conformidade com SOC 2 e os requisitos de senha
Adicionar um gerenciador de senhas, como o Bitwarden, pode demonstrar aos auditores SOC 2 o compromisso dos prestadores de serviços com a proteção dos dados dos clientes. O Bitwarden oferece segurança de nível empresarial, realiza auditorias de segurança regulares por terceiros e está em conformidade com os principais padrões de privacidade e segurança, incluindo SOC 2.
O Bitwarden apoia organizações de serviços no cumprimento dos requisitos de conformidade com SOC 2, garantindo que controles eficazes estejam implementados para proteger dados.
Aproveite uma avaliação gratuita do Enterprise com acesso completo para ver como o Bitwarden pode ajudar prestadores de serviços a se prepararem para uma auditoria de segurança SOC 2 e atenderem aos requisitos de senha do SOC 2.