Controles de Sistema e Organização (SOC) 1 Tipo 2

Visão geral do SOC 1 Tipo 2

Os SOC (Controles de Sistema e Organização) para Organizações de Serviço são relatórios de controle interno criados pelo AICPA (American Institute of Certified Public Controls). Foram concebidos para examinar os serviços fornecidos por uma organização de serviços para que os utilizadores finais possam avaliar e resolver o risco associado a um serviço externo.

Um atestado SOC 1 Tipo 2 é executado em:

SSAE N.º 18, Normas de Atestado: Esclarecimento e Recodificação, que inclui a secção AT-C 320, Relatórios sobre um Exame de Controlos numa Organização de Serviço Relevante para o Controlo Interno sobre Relatórios Financeiros das Entidades de Utilizador (AICPA, Normas Profissionais).
Relatório SOC 1 sobre um Exame de Controles em uma Organização de Serviço Relevante para o Controle Interno de Entidades de Usuário Sobre Relatórios Pinanceiros (Guia AICPA).

Para além da Declaração AICPA sobre As Normas para Compromissos de Atestado 18 (SSAE 18), a auditoria do Microsoft 365 SOC 1 Tipo 2 é realizada de acordo com o Standard Internacional sobre Compromissos de Garantia N.º 3402 (ISAE 3402). O atestado SOC 1 substitui o SAS 70 e é adequado para comunicar controlos numa organização de serviço relevante para as entidades de utilizador controlos internos sobre relatórios financeiros. Um relatório Tipo 2 inclui a opinião do auditor sobre a eficácia do controle para alcançar os objetivos de controle relacionados durante o período de monitoramento especificado.

Plataformas e serviços na cloud no âmbito da Microsoft

O relatório de atestado SOC 1 tipo 2 do Azure mostra o âmbito serviços online da Microsoft:

Azure (para obter informações detalhadas, consulte Ofertas de Conformidade do Microsoft Azure)
Azure DevOps (veja relatório de atestado soc 1 tipo 2 do SOC 1 do Azure DevOps separado)
Dynamics 365 (para obter informações detalhadas, veja Azure relatório de atestado SOC 1 Tipo 2)
Microsoft Defender XDR
Microsoft Defender for Cloud Apps
Microsoft Defender para Ponto de Extremidade
Microsoft Defender para Identidade?
Microsoft Intune
Área de Trabalho Gerenciada da Microsoft
Microsoft Stream
Especialistas em ameaças da Microsoft
Portal de Indicação
Power Apps
Power Automate
Power BI
Agentes virtuais do Power
Conformidade de atualização

Os seguintes serviços online da Microsoft estão no âmbito do relatório de atestado do Microsoft 365 SOC 1 Tipo 2.

Azure, Dynamics 365 e SOC 1

Para obter mais informações sobre o Azure, o Dynamics 365 e outros serviços de conformidade do serviços online, consulte oferta do SOC 1 do Azure.

Microsoft 365 e SOC 1

Ambientes do Microsoft 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Microsoft 365 e serviços no âmbito

Utilize a tabela seguinte para determinar a aplicabilidade dos serviços e subscrições do Microsoft 365:

Aplicabilidade	Serviços no escopo
Comercial	Equipas do Bing (incluindo ObjectStore, Notícias Empresariais – Um Serviço e Recursos de Infraestrutura Semânticos), Sistema de Proteção de Dados do Cliente, Serviços Educativos (incluindo Informações, Gateway do Microsoft LMS, LTI do OneDrive, Progresso da Leitura/Tarefas, Sincronização de Dados Escolares, Reconhecedor de Matemática/Solver e Coach de pesquisa), Exchange Online, Proteção do Exchange Online, IDEAs Personalization Runtime Service, Loki, M365 Usage Reports, Microsoft Defender para Aplicativos de Nuvem (App Governance), Microsoft Defender for Office 365 (incluindo Advanced Hunting, Attack Simulation and Training, and One Cyber endpoint protection), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview (incluindo Auditoria, Conformidade de Comunicações, Gestor de Conformidade, Gestão do Ciclo de Vida de Dados, Gestor de Registos, Prevenção de Perda de Dados, Deteção de Dados Eletrónicos, Proteção de Informações, Plataforma de Comentários Unificados, Gestão de Riscos Internos, Serviços de Classificação de Dados, Correspondência de Dados Exata e Inferência de ML), Microsoft Sway, Microsoft Teams, Colaboração do Office, Office para a Web (anteriormente denominado "Office Online"), Serviços do OneNote, Outlook Web Application, Serviço de Documentos do PowerPoint Online, Encriptação de Serviço com Chave de Cliente, Serviço de Anotação de Consultas, Canal em Tempo Real, Ajuda remota, Search Content Service, SharePoint Online (incluindo OneDrive, Backup do Microsoft 365, Project Online, Tópicos Viva e Ligações Viva), Tasks Business Scenario Service, Viva Glint, Viva Goals, Viva Insights (incluindo Informações Pessoais, Informações de Gestor e Líder e Informações Avançadas), Aprendizagem Viva, Viva Pulse, Whiteboard e Windows 365
GCC	Bing Teams (incluindo ObjectStore), Customer Lockbox, Exchange Online, Proteção do Exchange Online, IDEAs Personalization Runtime Service, Loki, M365 Usage Reports, Microsoft Defender para Aplicativos de Nuvem (App Governance), Microsoft Defender para Office 365 (incluindo Investigação Avançada, Simulação e Preparação de Ataques e One Cyber Endpoint Protection), Microsoft Forms, Microsoft Planner Microsoft Priva, Microsoft Purview (incluindo Auditoria, Conformidade de Comunicações, Gestor de Conformidade, Gestão do Ciclo de Vida de Dados, Gestor de Registos, Prevenção de Perda de Dados, Deteção de Dados Eletrónicos, Proteção de Informações, Plataforma de Comentários Unificados, Gestão de Riscos Internos, Serviços de Classificação de Dados, Correspondência de Dados Exata e Inferência de ML), Microsoft Teams, Colaboração do Office, Office para a Web (anteriormente denominado "Office Online"), OneNote Services, Outlook Web Aplicação, Serviço de Documentos do PowerPoint Online, Encriptação de Serviços com Chave de Cliente, Serviço de Anotação de Consultas, Canal em Tempo Real, Ajuda remota, Serviço de Pesquisa de Conteúdos, SharePoint Online (incluindo OneDrive, Backup do Microsoft 365 Project Online, Tópicos Viva e Ligações Viva), Serviço de Cenário de Negócio de Tarefas, Informações Viva (incluindo Informações Pessoais), Quadro e Windows 365
GCC Alta	Bing Teams (incluindo ObjectStore), Customer Lockbox, Exchange Online, Proteção do Exchange Online, Loki, M365 Usage Reports, Microsoft Defender para Aplicativos de Nuvem (App Governance), Microsoft Defender para Office 365 (incluindo Investigação Avançada, Simulação e Preparação de Ataques e One Cyber Endpoint Protection), Microsoft Forms, Microsoft Planner Microsoft Priva, Microsoft Purview (incluindo Auditoria, Conformidade de Comunicações, Gestor de Conformidade, Gestão do Ciclo de Vida de Dados, Gestor de Registos, Prevenção de Perda de Dados, Deteção de Dados Eletrónicos, Proteção de Informações, Plataforma de Comentários Unificados, Gestão de Riscos Internos, Serviços de Classificação de Dados, Correspondência de Dados Exata e Inferência de ML), Microsoft Teams, Colaboração do Office, Office para a Web (anteriormente denominado "Office Online"), OneNote Services, Outlook Web Aplicação, Serviço de Documentos do PowerPoint Online, Encriptação de Serviços com Chave de Cliente, Serviço de Anotação de Consultas, Canal em Tempo Real, SharePoint Online (incluindo OneDrive, Backup do Microsoft 365, Project Online, Tópicos Viva e Ligações Viva), Serviço de Cenário de Negócio de Tarefas, Informações Viva (incluindo Informações Pessoais), Quadro e Windows 365
DoD	Bing Teams (incluindo ObjectStore), Customer Lockbox, Exchange Online, Proteção do Exchange Online, Loki, M365 Usage Reports, Microsoft Defender para Aplicativos de Nuvem (App Governance), Microsoft Defender para Office 365 (incluindo Investigação Avançada, Simulação e Preparação de Ataques e One Cyber Endpoint Protection), Microsoft Forms, Microsoft Planner Microsoft Priva, Microsoft Purview (incluindo Auditoria, Conformidade de Comunicações, Gestor de Conformidade, Gestão do Ciclo de Vida de Dados, Gestor de Registos, Prevenção de Perda de Dados, Deteção de Dados Eletrónicos, Proteção de Informações, Plataforma de Comentários Unificados, Gestão de Riscos Internos, Serviços de Classificação de Dados, Correspondência de Dados Exata e Inferência de ML), Microsoft Teams, Colaboração do Office, Office para a Web (anteriormente denominado "Office Online"), OneNote Services, Outlook Web Aplicação, Serviço de Documentos do PowerPoint Online, Encriptação de Serviço com Chave de Cliente, Serviço de Anotação de Consultas, Canal em Tempo Real, SharePoint Online (incluindo OneDrive, Backup do Microsoft 365, Project Online, Tópicos Viva e Ligações Viva), Serviço de Cenário de Negócio de Tarefas, Informações Viva (incluindo Informações Pessoais) e Quadro

Relatórios de auditoria do Microsoft 365

Os clientes podem transferir os Relatórios soc 2 do Microsoft 365 SOC 1 para Central e Microsserviços através do Portal de Confiança do Serviço.
O Portal de Confiança do Serviço também fornece cartas de bridge e relatórios de auditoria adicionais.

Para transferir relatórios de atestado SOC 1 e SOC 2 e quaisquer cartas de bridge, precisa de uma subscrição existente ou conta de avaliação gratuita no Microsoft 365 ou Microsoft 365 para o Governo Norte-Americano.

Perguntas frequentes

Com que frequência são emitidos os relatórios SOC do Microsoft 365?

A Microsoft encomenda um exame completo do SOC 1 Tipo 2 e SOC 2 Tipo 2 de Office 365 anualmente. Os relatórios do auditor sobre estes exames (também conhecidos como auditorias) são emitidos assim que estiverem prontos após essa auditoria. O relatório SOC 3, baseado no exame SOC 2, é emitido ao mesmo tempo.

Uma vez que a Microsoft não controla o âmbito de investigação do exame nem o período de tempo da conclusão do auditor, não existe um período de tempo definido quando estes relatórios são emitidos. Normalmente, os relatórios são emitidos alguns meses após o fim do período em análise. A Microsoft não permite lacunas nos períodos consecutivos de exame de um exame para o outro.

A Microsoft também encomenda um exame SOC 1 e SOC 2 Tipo 1 de meados do ano do Microsoft 365 para novos serviços Microsoft emitidos desde a última auditoria SOC Tipo 2. As auditorias do tipo 1 não olham para trás durante um período de desempenho.

Devido à natureza sofisticada da Office 365, o âmbito do serviço é grande se for examinado como um todo. Este âmbito grande pode levar a atrasos na conclusão do exame. A Microsoft organiza todos os exames descritos anteriormente em duas categorias: Serviços Principais e Microsserviços. A Microsoft emite um relatório no âmbito de cada exame.

As auditorias soc tipo 2 examinam uma janela de execução sem interrupção de 12 meses (também conhecida como período de auditoria ou período mais formal de desempenho) com exames realizados anualmente para o período de 1 a outubro a 30 de setembro do próximo ano civil. O exame é iniciado prontamente após a conclusão do período de desempenho.

A Microsoft também emite letras de ponte (também conhecidas como letras de lacuna). Estes auto atestados da Microsoft não são relatórios baseados em exames do auditor. A Microsoft emite cartas de bridge durante o período de desempenho atual que ainda não está completo e pronto para análise de auditoria. A Microsoft emite cartas de bridge no final de cada trimestre para atestar o desempenho durante o período de três meses anterior. Devido ao período de desempenho das auditorias soc tipo 2, as cartas de ponte são normalmente emitidas em dezembro, março, junho e setembro do período operacional atual.

Como podem os clientes beneficiar do atestado do Microsoft 365 SOC 1 Tipo 2?

Os clientes podem utilizar o atestado do Microsoft 365 SOC 1 Tipo 2 quando seguem os seus próprios requisitos de conformidade específicos da indústria financeira, tais como Sarbanes-Oxley (SOX), Federal Financial Institutions Examination Council (FFIEC), Gramm-Leach-Bliley Act (GLBA), entre outros.

Onde posso obter a documentação de auditoria do Microsoft 365 SOC, incluindo as cartas de bridge da Microsoft?

Para obter ligações para a documentação de auditoria, veja a secção relatório de auditoria do Portal de Confiança do Serviço. Tem de ter uma subscrição existente ou uma conta de avaliação gratuita no Microsoft 365 ou microsoft 365 para iniciar sessão. Em seguida, você pode baixar certificados de auditoria, relatórios de avaliação e outros documentos aplicáveis para ajudá-lo com seus próprios requisitos regulatórios.

Onde posso ver respostas de gerenciamento para exceções detectadas?

A maioria dos exames tem algumas observações sobre um ou mais dos controlos específicos examinados. Espera-se um número de observações. As respostas de gestão a quaisquer exceções estão localizadas no final do relatório de atestado SOC. Procure "Resposta de Gestão" no documento.

Onde posso ver as responsabilidades da entidade do usuário?

As responsabilidades das entidades do utilizador são as responsabilidades de controlo necessárias para que o sistema como um todo cumpra as normas de controlo SOC 2. Estas responsabilidades estão localizadas no final do relatório de atestado SOC. Procure no documento "Responsabilidades da Entidade do Utilizador".

Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco

O Gestor de Conformidade do Microsoft Purview é uma funcionalidade no portal do Microsoft Purview que o ajuda a compreender a postura de conformidade da sua organização e a tomar medidas para reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos

Comentários

Esta página foi útil?

Last updated on 2025-05-16