Ir para o conteúdo principal
SOC 2 Type II

Pentest e SOC 2 Type II

O SOC 2 (System and Organization Controls 2) é o padrão de auditoria da AICPA amplamente exigido por empresas de tecnologia B2B que processam dados de clientes. O pentest é evidência direta de controles de segurança efetivos nos Trust Services Criteria de segurança (CC), disponibilidade (A) e confidencialidade (C).

Trust Services Criteria

Critérios do SOC 2 suportados pelo pentest

CC6.1
Restrições de acesso lógico
Controles de autenticação e autorização para proteger sistemas e dados contra acesso não autorizado. O pentest valida se esses controles são efetivos na prática.
CC6.6
Proteção contra ameaças externas
Mecanismos de proteção contra ataques externos. O pentest externo demonstra que os controles detectam e resistem a tentativas de intrusão da internet.
CC6.7
Transmissão de dados sensíveis
Controles para proteger dados sensíveis durante transmissão. O pentest verifica configurações TLS/SSL, interceptação de tráfego e exposição de dados em trânsito.
CC7.1
Detecção de configurações irregulares
Monitoramento de componentes para detectar desvios de configuração esperada. O pentest identifica misconfigurações antes que atacantes as explorem.
CC7.2
Monitoramento de infraestrutura
Monitoramento contínuo para detectar vetores de ataque potenciais. Resultados do pentest informam quais indicadores de comprometimento devem ser monitorados.
CC9.2
Gestão de riscos de fornecedores
Avaliação de riscos de segurança em fornecedores e parceiros de negócio. O pentest de integrações e APIs de terceiros atende esse critério.
A1.2
Disponibilidade: infraestrutura
Monitoramento de capacidade e performance para garantir disponibilidade. Testes de stress e análise de superfície de ataque DoS são parte do escopo de disponibilidade.
C1.1
Confidencialidade de dados
Identificação e proteção de informações classificadas como confidenciais. O pentest verifica se dados confidenciais podem ser extraídos por atacantes sem autorização.
Type I vs Type II

SOC 2 Type I e Type II: diferenças para o pentest

SOC 2 TYPE I

Ponto no tempo

Avalia se os controles estão projetados adequadamente em uma data específica. Para o Type I, um pentest recente (nos últimos 12 meses) serve como evidência de que controles de teste de vulnerabilidade foram implementados.

  • Um pentest anual é suficiente
  • Escopo mínimo: superfície externa e aplicação principal
  • Relatório com achados e remediações
SOC 2 TYPE II

Período de 6 a 12 meses

Avalia se os controles operam efetivamente durante todo o período de auditoria. Para o Type II, auditores esperam evidências de testes recorrentes. O pentest anual mais reteste pós-remediação demonstra processo contínuo.

  • Pentest anual com reteste documentado
  • Evidência de remediação das vulnerabilidades
  • Escopo cobrindo todos os sistemas em escopo
Escopo de pentest

Tipos de pentest para a certificação SOC 2

O escopo do SOC 2 define quais sistemas e controles serão auditados. O pentest deve cobrir os sistemas incluídos no escopo de auditoria.

Pentest Web

Aplicações SaaS e portais do cliente no escopo do SOC 2. CC6.1, CC6.6 e CC7.1.

Pentest API

APIs que expõem dados de clientes a terceiros. CC6.3 (acesso baseado em necessidade) e CC9.2.

Pentest Cloud

Infraestrutura cloud no escopo da auditoria. AWS, Azure ou GCP com mapeamento para Trust Services Criteria.

Pentest de Infraestrutura

Redes e servidores incluídos no sistema de serviços auditado. CC6.7 e critérios de disponibilidade.

Pentest Active Directory

Gestão de identidades e acesso privilegiado. CC6.2 e CC6.3 para controles de autenticação.

Pentest AI e LLM

Para empresas SaaS que usam IA no produto. CC9 (gestão de riscos de fornecedores) e controles de disponibilidade.

Atendemos especificamente empresas SaaS que precisam de SOC 2 para seus clientes corporativos.

Pentest alinhado aos Trust Services Criteria

Relatório mapeado para os critérios CC6, CC7, CC9, A1 e C1 com evidências para auditores AICPA.

Solicitar orçamento