Service Organization Controls (SOC)Service Organization Controls (SOC)

Visão geral dos relatórios SOC 1, 2 e 3SOC 1, 2, and 3 Reports overview

Cada vez mais, as empresas terceirizam funções básicas, como o armazenamento de dados e o acesso a aplicativos, utilizando Provedores de Serviços de Nuvem (CSPs) e outras organizações de serviços.Increasingly, businesses outsource basic functions such as data storage and access to applications to cloud service providers (CSPs) and other service organizations. Em resposta, o American Institute of Certified Public Accountants (AICPA) desenvolveu a estrutura Service Organization Controls (SOC), um padrão de controles que protege a confidencialidade e a privacidade de informações armazenadas e processadas na nuvem.In response, the American Institute of Certified Public Accountants (AICPA) has developed the Service Organization Controls (SOC) framework, a standard for controls that safeguard the confidentiality and privacy of information stored and processed in the cloud. Ele está alinhado com o International Standard on Assurance Engagements (ISAE), o padrão de relatório de informações para organizações internacionais de serviço.This aligns with the International Standard on Assurance Engagements (ISAE), the reporting standard for international service organizations.

As auditorias de serviços baseadas na estrutura do SOC são divididas em duas categorias — SOC 1 e SOC 2 — que se aplicam aos serviços de nuvem da Microsoft dentro do escopo.Service audits based on the SOC framework fall into two categories — SOC 1 and SOC 2 — that apply to in-scope Microsoft cloud services.

A auditoria do SOC 1, concebida para empresas CPA que auditam balanços financeiros, avalia a eficiência dos controles internos do CSP que afetam os relatórios financeiros de um cliente que utiliza os serviços de nuvem do provedor.A SOC 1 audit, intended for CPA firms that audit financial statements, evaluates the effectiveness of a CSP's internal controls that affect the financial reports of a customer using the provider's cloud services. Declaração sobre os Standards for Attestation Engagements (SSAE 18) e o International Standards for Assurance Engagements No.The Statement on Standards for Attestation Engagements (SSAE 18) and the International Standards for Assurance Engagements No. 3402 (ISAE 3402) são as normas sob as quais a auditoria é realizada e é a base do relatório do SOC 1.3402 (ISAE 3402) are the standards under which the audit is performed, and is the basis of the SOC 1 report.

A auditoria do SOC 2 avalia a eficiência do sistema CSP com base no AICPA Trust Service Principles and Criteria.A SOC 2 audit gauges the effectiveness of a CSP's system based on the AICPA Trust Service Principles and Criteria. O Attest Engagement under Attestation Standards (AT) Section 101 é a base dos relatórios do SOC 2 e SOC 3.An Attest Engagement under Attestation Standards (AT) Section 101 is the basis of SOC 2 and SOC 3 reports.

Ao concluir a auditoria do SOC 1 ou SOC 2, o auditor do serviço apresenta seu parecer em um relatório SOC 1 Tipo 2 ou SOC 2 Tipo 2, que descreve o sistema do CSP e avalia a legitimidade da descrição fornecida pelo CSP de seus controles.At the conclusion of a SOC 1 or SOC 2 audit, the service auditor renders an opinion in a SOC 1 Type 2 or SOC 2 Type 2 report, which describes the CSP's system and assesses the fairness of the CSP's description of its controls. Ele também avalia se os controles do CSP foram projetados apropriadamente, se estavam em operação em determinada data e se funcionaram de forma efetiva durante um período específico.It also evaluates whether the CSP's controls are designed appropriately, were in operation on a specified date, and were operating effectively over a specified time period.

Os auditores também podem criar um relatório do SOC 3 (uma versão abreviada do relatório de auditoria do SOC 2 Tipo 2) para usuários que desejam ter uma garantia dos controles do CSP, mas não precisam de um relatório completo do SOC 2.Auditors can also create a SOC 3 report — an abbreviated version of the SOC 2 Type 2 audit report — for users who want assurance about the CSP's controls but don't need a full SOC 2 report. O relatório do SOC 3 será concedido apenas se o CSP tiver um parecer de auditoria não qualificado para o SOC 2.A SOC 3 report can be conferred only if the CSP has an unqualified audit opinion for SOC 2.

Relatórios da Microsoft e do SOC 1, 2 e 3Microsoft and SOC 1, 2, and 3 Reports

Os serviços de nuvem cobertos pela Microsoft são auditados pelo menos uma vez por ano por auditores independentes, usando a estrutura de relatórios do SOC.Microsoft covered cloud services are audited at least annually against the SOC reporting framework by independent third-party auditors. A auditoria dos serviços de nuvem da Microsoft inclui os controles de segurança de dados, disponibilidade, integridade de processamento e confidencialidade, assim como se aplica aos princípios de confiança no escopo de cada serviço.The audit for Microsoft cloud services covers controls for data security, availability, processing integrity, and confidentiality as applicable to in-scope trust principles for each service.

A Microsoft obteve os relatórios SOC 1 Type 2, SOC 2 Type 2 e SOC 3.Microsoft has achieved SOC 1 Type 2, SOC 2 Type 2, and SOC 3 reports. Em geral, a disponibilidade dos relatórios do SOC 1 e SOC 2 se restringe a clientes que assinaram contratos de confidencialidade com a Microsoft; o relatório do SOC 3 está disponível publicamente.In general, the availability of SOC 1 and SOC 2 reports is restricted to customers who have signed nondisclosure agreements with Microsoft; the SOC 3 report is publicly available.

Serviços de nuvem no Escopo da Microsoft Microsoft in-scope cloud services

Serviços cobertos pelo SOC 1 e SOC 2Covered services for SOC 1 and SOC 2

Serviços cobertos pelo SOC 3Covered services for SOC 3

Auditorias, relatórios e certificadosAudits, reports, and certificates

Ciclo de auditoriaAudit cycle

Os serviços de nuvem da Microsoft são auditados pelo menos anualmente, seguindo as normas do SOC 1 (SSAE18, ISAE 3402), SOC 2 (AT Section 101) e SOC 3.Microsoft cloud services are audited at least annually against SOC 1 (SSAE18, ISAE 3402), SOC 2 (AT Section 101), and SOC 3 standards.

Azure, Dynamics 365, Segurança de aplicativos na nuvem da Microsoft, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream e Centro de dados da MicrosoftAzure, Dynamics 365, Microsoft Cloud App Security, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream, and Microsoft Datacenters

Office 365Office 365

Perguntas frequentesFrequently asked questions

Como posso obter cópia dos relatórios do SOC?How can I get copies of the SOC reports?

Com os relatórios, os auditores podem comparar os resultados dos serviços de nuvem de negócios da Microsoft com seus próprios requisitos legais e regulatórios.With the reports, your auditors can compare Microsoft business cloud services results with your own legal and regulatory requirements.

Com que frequência os relatórios do SOC para o Azure são emitidos?How often are Azure SOC reports issued?

Os relatórios SOC do Azure, Segurança do aplicativo na nuvem da Microsoft, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream e Centros de dados da Microsoft Datacenters em uma janela de execução de 12 meses (período de auditoria) com novos relatórios emitidos semestralmente (os períodos de término são nos dias 31 de março e 30 de setembro).SOC reports for Azure, Microsoft Cloud App Security, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream, and Microsoft Datacenters are based on a rolling 12-month run window (audit period) with new reports issued semi-annually (period ends are March 31 and September 30). As bridge letters são emitidas a cada trimestre para cobrir o período dos três meses anteriores.Bridge letters are issued each quarter to cover the prior three month period. Por exemplo, a carta de janeiro cobre 10/01-12/31, a carta de abril cobre 01/01-03/31, a letra de julho cobre 04/01-06/30 e a letra de outubro cobre 07/01-09/30.For example, the January letter covers 10/1-12/31, the April letter covers 1/1-3/31, the July letter covers 4/1-6/30, and the October letter covers 7/1-9/30. Os clientes podem baixar os relatórios mais recentes no Portal de Confiança do Serviço.Customers can download the latest reports from the Service Trust Portal.

Preciso conduzir uma auditoria própria dos datacenters da Microsoft?Do I need to conduct my own audit of Microsoft datacenters?

Não.No. A Microsoft compartilha as certificações e os relatórios de auditoria independente com os clientes para que possam confirmar a conformidade da Microsoft com seus compromissos de segurança.Microsoft shares the independent audit reports and certifications with customers so that they can verify Microsoft compliance with its security commitments.

Posso usar a conformidade da Microsoft no processo de certificação de minha organização?Can I use Microsoft's compliance in my organization's certification process?

Sim.Yes. Quando você faz a migração de seus aplicativos e dados para os serviços de nuvem da Microsoft cobertos, é possível ampliar as auditorias e certificações obtidas pela Microsoft.When you migrate your applications and data to covered Microsoft cloud services, you can build on the audits and certifications that Microsoft holds. Os relatórios independentes atestam a eficácia dos controles que a Microsoft implementou para ajudar a manter a segurança e a privacidade de seus dados.The independent reports attest to the effectiveness of controls that Microsoft has implemented to help maintain the security and privacy of your data.

Por onde começo a iniciativa de conformidade em minha empresa?Where do I start with my organization's own compliance effort?

O SOC Toolkit for Service Organizationsé um recurso conveniente para entender os processos de geração de relatórios do SOC e promover sua utilização pela organização.The SOC Toolkit for Service Organizations is a helpful resource for understanding SOC reporting processes and promoting your organization's use of them.

Usar o Gerenciador de Conformidade da Microsoft para avaliar o riscoUse Microsoft Compliance Manager to assess your risk

OGerenciador de Conformidade da Microsoft é um recurso no Centro de conformidade do Microsoft 365 para ajudá-lo a entender a postura de conformidade da sua organização e executar ações para ajudar a reduzir os riscos.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação.Compliance Manager offers a premium template for building an assessment for this regulation. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade.Find the template in the assessment templates page in Compliance Manager. Saiba como criar avaliações no Compliance Manager.Learn how to build assessments in Compliance Manager.

RecursosResources