Os critérios de serviços de confiança (TSC) são um conjunto de padrões usados para avaliar a eficácia dos controles de uma organização relacionados à segurança, processamento integridade, confidencialidade e disponibilidade.
O que são critérios de serviços de confiança?
O termo "critérios de serviços de confiança" refere-se a uma estrutura abrangente desenvolvida para avaliar a adequação e a eficácia dos controles de uma organização em vários aspectos da proteção de dados e do desempenho do sistema. Especificamente, o TSC concentra-se nos princípios de segurança, disponibilidade, processamento e integridade, confidencialidade e privacidade. É usado principalmente no contexto de auditorias, como SOC 2 (Controles de Sistema e Organização), para garantir que as organizações de serviços atendam a requisitos rigorosos quanto à proteção de informações confidenciais e à confiabilidade de seus sistemas operacionais.
Ao avaliar esses critérios, as organizações demonstram seu comprometimento em manter altos padrões de proteção de dados, resiliência operacional e privacidade, essenciais para construir confiança com clientes e stakeholders. O TSC oferece uma abordagem estruturada para avaliar os controles internos de uma organização, garantindo que eles não apenas estejam em conformidade com os padrões do setor, mas também minimizem os riscos associados a eles. violação de dadossistema tempo de inatividade, E outros vulnerabilidades.
Quais são os cinco critérios de serviços de confiança?
Os cinco critérios dos serviços de confiança são:
- Segurança. Este critério concentra-se na proteção de sistemas e dados contra acessos não autorizados, ataques e violações. Ele garante a implementação de medidas de segurança adequadas para evitar danos aos ativos da organização e preservar a confidencialidade, a integridade e a disponibilidade das informações.
- Disponibilidade. Este critério avalia se os sistemas e serviços fornecidos pela organização estão disponíveis para operação e uso conforme acordado. Envolve a avaliação da capacidade da organização de manter uptime e conhecer acordos de nível de serviço (SLAs).
- Integridade do processamentoEste critério garante que os processos do sistema sejam completos, precisos e oportunos. Ele avalia se o sistema consegue processar dados de forma consistente, de acordo com os objetivos do negócio e as expectativas do usuário.
- Confidencialidade. Este critério se concentra em garantir que as informações classificadas como confidenciais sejam protegidas de acordo com sua sensibilidade. Envolve a proteção de dados sensíveis contra acesso e divulgação não autorizados.
- PrivacidadeEste critério garante que os dados pessoais sejam coletados, utilizados, retidos, divulgados e descartados em conformidade com as leis e regulamentações de privacidade aplicáveis. Ele avalia a capacidade da organização de manter a privacidade das informações pessoais de forma a atender às obrigações legais e contratuais.
Critérios de Serviços de Confiança e Integração COSO
Os critérios de serviços fiduciários e a estrutura do Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO) são essenciais para avaliar os controles internos de uma organização, mas se concentram em diferentes aspectos da governança e da gestão de riscos. A integração do TSC com o COSO pode ajudar as organizações a garantir uma abordagem abrangente à gestão de riscos, à conformidade e à eficácia dos controles internos.
A critérios de serviços de confiança, Como mencionado, incluem cinco áreas principais: segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade. Esses critérios são usados principalmente em auditorias como a SOC 2 para avaliar se os controles de uma organização são projetados e operam de forma eficaz para proteger os dados e garantir a confiabilidade das operações do sistema. Os critérios ajudam as organizações a demonstrar seu compromisso com a proteção de dados confidenciais, garantindo alta disponibilidade dos sistemas e protegendo os direitos de privacidade, entre outros aspectos.
A Framework COSO, por outro lado, fornece um conjunto mais amplo e abrangente de princípios e práticas para um controle interno eficaz. Inclui cinco componentes: ambiente de controle, avaliação de riscos, atividades de controle, informação e comunicação e monitoramento. A estrutura COSO é comumente usada para avaliar controles internos em áreas como relatórios financeiros e conformidade com leis e regulamentos, e é um padrão amplamente adotado para governança e gestão de riscos.
Integração dos Critérios de Serviços de Confiança e da Estrutura COSO
A integração do TSC e do COSO cria um ambiente de controle interno mais robusto para uma organização, garantindo que tanto os aspectos técnicos quanto os organizacionais da gestão de riscos sejam adequadamente abordados. Isso inclui:
- Ambiente de controleO ambiente de controle do COSO envolve definir o tom na cúpula, garantindo o comprometimento da liderança com a segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade. Isso está alinhado com o TSC, que exige supervisão de alto nível dos controles projetados para proteger sistemas e dados.
- Avaliação de riscoTanto o TSC quanto o COSO enfatizam a importância das avaliações de risco. Os critérios de segurança e privacidade do TSC exigem que as organizações identifiquem e mitiguem os riscos a informações sensíveis, enquanto o componente de avaliação de risco do COSO garante que os riscos — financeiros, operacionais e de conformidade — sejam devidamente identificados, avaliados e gerenciados.
- Atividades de controle. As atividades de controle do COSO garantem a implementação de políticas e procedimentos para lidar com os riscos identificados. Isso apoia diretamente o TSC, especialmente em áreas como integridade e confidencialidade do processamento, onde processos detalhados devem ser elaborados para garantir o processamento preciso dos dados e a proteção das informações confidenciais.
- Informação e comunicação. Ambas as estruturas enfatizam a importância de garantir que as informações relevantes sejam comunicadas de forma eficaz em toda a organização. Os critérios de privacidade e segurança do TSC exigem que as informações sobre as práticas de tratamento de dados sejam comunicadas de forma clara e transparente, enquanto o componente do COSO enfatiza o papel da comunicação na gestão dos controles internos e na garantia da responsabilização.
- do PacienteO componente de monitoramento do COSO garante que os controles internos sejam continuamente avaliados e aprimorados. Isso está alinhado aos requisitos do TSC para monitoramento contínuo de controles, especialmente em áreas como segurança e disponibilidade, para garantir que os sistemas permaneçam seguros, acessíveis e livres de vulnerabilidades.
Critérios de Serviços de Confiança no SOC 2
No contexto do SOC 2, os TSC são os padrões usados para avaliar e avaliar os controles implementados por organizações de serviços para proteger dados confidenciais, garantir a confiabilidade do sistema e manter a privacidade.
SOC 2 é uma estrutura usada principalmente para avaliar a segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade dos sistemas e dados de uma organização. Esses critérios ajudam a determinar se os controles da organização atendem a requisitos específicos para proteger informações confidenciais e atender às expectativas de seus clientes e partes interessadas.
Os relatórios SOC 2 são normalmente usados por empresas de tecnologia, especialmente aquelas que oferecem cloudbaseado ou SaaS (software como serviço) soluções, para demonstrar seu comprometimento em manter os mais altos padrões de proteção de dados, privacidade e segurança.
Os cinco critérios de serviços confiáveis no SOC 2 são:
- Segurança. O critério de segurança concentra-se na proteção dos sistemas contra acesso não autorizado, ataques cibernéticose outras formas de intrusão. Avalia se os sistemas e dados de uma organização estão protegidos contra ameaças internas e externas. As principais medidas de segurança podem incluir firewalls, criptografia, sistemas de detecção de intrusão, e outros controles técnicos que impedem acesso não autorizado ou modificação de dados.
- DisponibilidadeEste critério avalia se os sistemas e serviços da organização estão disponíveis para operação e uso conforme pretendido. Ele avalia a capacidade da organização de manter o tempo de atividade e cumprir os acordos de nível de serviço. Isso é fundamental para clientes que dependem da disponibilidade de serviços para suas próprias operações, como em cloud soluções de hospedagem ou SaaS.
- Integridade do processamentoA integridade do processamento garante que os sistemas processem os dados de forma precisa, completa e em tempo hábil. Este critério avalia se os processos do sistema funcionam corretamente e entregam os resultados pretendidos, o que é essencial para clientes que dependem da confiabilidade das informações processadas. Isso pode incluir a validação da precisão das transações, o processamento em tempo hábil e o tratamento adequado de erros.
- ConfidencialidadeO critério de confidencialidade concentra-se na proteção de informações sensíveis contra acesso ou divulgação não autorizados. Ele avalia a capacidade da organização de proteger dados confidenciais, como propriedade intelectual, segredos comerciais e informações pessoais, em conformidade com as leis de privacidade de dados e obrigações contratuais. Isso pode incluir criptografia, armazenamento seguro e protocolos de acesso restrito.
- Privacidade. O critério de privacidade garante que as informações pessoais sejam coletadas, usadas, retidas, divulgadas e descartadas de acordo com as leis de privacidade relevantes, como a GDPR ou CCPA. Ela garante que as organizações implementem práticas que protejam os dados pessoais, protegendo os direitos de privacidade dos indivíduos e, ao mesmo tempo, cumprindo os requisitos legais e regulatórios.
Critérios de Serviços Confiáveis e Outras Estruturas de Conformidade
Aqui está uma comparação do TSC usado no SOC 2 com outras estruturas de conformidade populares:
| Estrutura de conformidade | Áreas/critérios principais | Foco | Casos de uso típicos |
| SOC 2 (Critérios de serviços de confiança) | Segurança, Disponibilidade, Integridade de Processamento, Confidencialidade, Privacidade | Avalia a eficácia dos controles internos relacionados à segurança, privacidade, disponibilidade e integridade de dados para organizações de serviços | Cloud provedores de serviços, empresas de SaaS, provedores de serviços de TI |
| SOC 1 | Objetivos de controle para relatórios financeiros (sem critérios de confiança) | Concentra-se em controles relacionados a relatórios financeiros, especialmente para organizações usuárias que dependem de serviços terceirizados | Serviços financeiros terceirizados, serviços de folha de pagamento e empresas de contabilidade |
| ISO / IEC 27001 | Segurança da Informação Sistema de Gestão (SGSI) | Concentra-se no estabelecimento, implementação e manutenção de um sistema de gestão de segurança da informação (SGSI) | Empresas que exigem um sistema abrangente de segurança da informação |
| HIPAA (Lei de Portabilidade e Responsabilidade de Seguros de Saúde) | Segurança, Privacidade, Notificação de Violação, Aplicação | Concentra-se na proteção da privacidade e segurança das informações de saúde no setor de saúde dos EUA | Organizações de saúde, prestadores de serviços de saúde, empresas de seguros de saúde |
| GDPR (Regulamento Geral de Proteção de Dados) | Proteção de Dados, Privacidade | Protege os dados pessoais e a privacidade de indivíduos dentro da União Europeia | Empresas que lidam com dados pessoais de residentes da UE, corporações multinacionais |
| PCI DSS (Indústria de Cartões de Pagamento) Data Security Padrão) | Proteção de Dados, Segurança de Rede, Monitoramento e Controle de Acesso | Concentra-se em proteger as informações do cartão de pagamento e garantir transações seguras para os titulares do cartão | Plataformas de comércio eletrônico, comerciantes, processadores de pagamento, instituições financeiras |
| NIST Cybersecurity Framework | Identificar, Proteger, Detectar, Responder, Recuperar | Fornece uma abordagem baseada em risco para melhorar a infraestrutura e a resiliência da segurança cibernética | Entidades governamentais, infraestrutura crítica, empresas que buscam orientação abrangente sobre segurança cibernética |
| FISMA (Lei Federal de Modernização da Segurança da Informação) | Segurança e Privacidade | Concentra-se em garantir a proteção dos sistemas de informação e dados federais | Agências, contratantes e entidades federais dos EUA que trabalham com dados federais |
| CSA ESTRELA (Cloud Registro de Segurança, Confiança e Garantia da Security Alliance) | Segurança, Privacidade, Governança, Risco e Conformidade | Cloud padrões de segurança focados na postura de segurança de cloud provedores e a confiança que eles estabelecem com os clientes | Cloud provedores, empresas que utilizam cloud Serviços |
Exemplos de critérios de serviços de confiança
Aqui estão alguns exemplos de como o TSC é aplicado em diferentes cenários:
- Segurança. Um processador de pagamento online implementa Autenticação multifatorial tanto para usuários quanto para administradores. Isso garante que apenas indivíduos autorizados tenham acesso a informações confidenciais de pagamento e sistemas de processamento, reduzindo o risco de acesso não autorizado ou ataques cibernéticos.
- Disponibilidade. A cloud provedor de hospedagem implementa um automatizado backup e recuperação de desastres Solução com SLA de 99.9% de disponibilidade. Isso garante que os sites e dados dos clientes estejam sempre disponíveis, mesmo durante interrupções inesperadas do sistema ou desastres, garantindo tempo de inatividade e interrupção do serviço mínimos.
- Integridade de processamento. Um fornecedor de software de suporte ao cliente garante que todas as consultas dos clientes sejam registradas automaticamente e encaminhadas para a equipe de suporte apropriada em minutos. O sistema fornece em tempo real atualizações e confirmações, garantindo a precisão dos dados e o processamento oportuno das solicitações dos clientes.
- Confidencialidade. Um escritório de advocacia utiliza criptografia para proteger dados confidenciais de clientes armazenados em seu banco de dados. Além disso, o acesso a documentos confidenciais é limitado apenas a funcionários autorizados, garantindo que documentos jurídicos e comunicações com clientes não sejam expostos a terceiros não autorizados.
- Privacidade. Um profissional de saúde coleta informações pessoais de saúde (PHI) dos pacientes, mas implementa procedimentos rigorosos de tratamento de dados. Isso inclui a criptografia de PHI em trânsito e em repouso, além de permitir que os pacientes acessem e excluam seus dados, em conformidade com regulamentações de privacidade como a HIPAA.
Por que os critérios dos serviços de confiança são importantes?
Os critérios de serviços de confiança são importantes porque fornecem uma maneira estruturada e padronizada para as organizações demonstrarem seu compromisso com a segurança e o gerenciamento de dados, garantindo serviços confiáveis e protegendo a privacidade dos clientes. Aqui estão alguns motivos importantes pelos quais os TSCs são cruciais:
- Cria confiança com clientes e partes interessadas. Organizações que atendem aos critérios de serviços de confiança demonstram seu compromisso em proteger informações confidenciais e manter a confiabilidade operacional. Isso promove a confiança com clientes, parceiros e stakeholders, o que é vital para o crescimento e a retenção dos negócios.
- Melhora a proteção e a segurança dos dados. Os critérios ajudam as organizações a implementar medidas de segurança robustas para proteger os dados contra acesso não autorizado, ataques cibernéticos e violações. Ao focar nos aspectos de segurança e confidencialidade, o TSC garante que as informações sensíveis sejam protegidas adequadamente.
- Oferece suporte à conformidade regulatória. Muitas estruturas regulatórias, como o RGPD, HIPAA e PCI DSS, sobrepõem-se aos critérios estabelecidos no TSC. A adesão a esses padrões ajuda as organizações a atender aos requisitos legais e regulatórios, reduzindo o risco de não conformidade e potenciais penalidades.
- Mitiga riscos operacionais. Ao focar na disponibilidade e na integridade do processamento, a TSC garante que os sistemas sejam resilientes, precisos e estejam disponíveis quando necessário. Isso minimiza os riscos de falhas no sistema, erros de dados ou interrupções de serviço que podem impactar as operações comerciais e a satisfação do cliente.
- Melhora a eficiência operacional. A implementação do TSC ajuda as organizações a otimizar seus processos, identificar fragilidades e aprimorar seu ambiente de controle. Isso leva a uma gestão de riscos mais eficiente, reduz despedimentos, e garante que os recursos sejam alocados adequadamente para manter a integridade do sistema.
- Oferece uma vantagem competitiva. A conformidade com os critérios de serviços de confiança demonstra que uma organização segue as melhores práticas do setor. Isso diferencia uma empresa em mercados competitivos, pois os clientes têm maior probabilidade de escolher prestadores de serviços que priorizam data security, privacidade e confiabilidade operacional.
- Reduz o risco de violações de dados e responsabilidades legais. Com a privacidade e a confidencialidade sendo componentes essenciais do TSC, as organizações estão mais bem equipadas para proteger os dados dos clientes contra violações. Ao seguir esses critérios, as organizações minimizam as chances de violações de dados dispendiosas, processos judiciais ou danos à reputação.
- Permite relatórios transparentes. A conformidade com o TSC é frequentemente verificada por meio de auditorias externas, como os relatórios SOC 2. Essas avaliações de terceiros proporcionam transparência e validação independente do compromisso de uma organização com a proteção de dados, oferecendo segurança a clientes e investidores.
Quem mantém os critérios dos serviços de confiança?
Os critérios para serviços fiduciários são mantidos pelo Instituto Americano de Contadores Públicos Certificados (AICPA). O AICPA é uma organização profissional que define padrões para auditoria, contabilidade e relatórios nos Estados Unidos.
O AICPA desenvolveu os critérios de serviços de confiança como parte da estrutura SOC, que inclui os relatórios SOC 1, SOC 2 e SOC 3. Esses critérios são revisados e atualizados regularmente pelo AICPA para se alinharem aos padrões da indústria em evolução, aos avanços tecnológicos e aos requisitos regulatórios. O TSC serve como base para avaliar os controles das organizações de serviços sobre segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade, especialmente no contexto das auditorias SOC 2 e SOC 3.
O AICPA garante que os critérios permaneçam relevantes consultando especialistas do setor e partes interessadas, permitindo que as organizações demonstrem conformidade com as melhores práticas e garantam a proteção de dados confidenciais e a integridade do sistema.
Com que frequência os controles de critérios dos serviços de confiança devem ser atualizados?
Os controles dos critérios de serviços de confiança devem ser atualizados regularmente para garantir que permaneçam eficazes e alinhados com a evolução dos padrões de segurança, privacidade e regulatórios. No entanto, a frequência das atualizações depende de vários fatores, como mudanças nos sistemas da organização, ameaças emergentes e mudanças nos requisitos regulatórios. Aqui estão algumas diretrizes sobre quando os controles devem ser revisados e atualizados:
- Monitoramento e atualizações contínuas. Os controles devem ser monitorados continuamente, e quaisquer lacunas ou ineficiências devem ser motivo de revisão. Auditorias internas regulares, monitoramento automatizado e coleta de inteligência sobre ameaças ajudam a identificar áreas onde os controles podem precisar ser atualizados com mais frequência.
- Revisão anual. Recomenda-se que as organizações revisem seus controles de TSC pelo menos uma vez por ano para garantir que estejam alinhados aos padrões atuais do setor e às ameaças em evolução. Uma revisão anual ajuda as organizações a se manterem proativas na adaptação a novos riscos, tecnologias e requisitos de conformidade. Também garante que quaisquer mudanças no ambiente de negócios ou operacional sejam refletidas nos controles.
- Seguindo grandes mudanças. Se uma organização passa por uma grande atualização do sistema, uma mudança na arquitetura (por exemplo, movendo-se para o cloud), ou uma atualização de infraestrutura crítica, é importante revisar e, potencialmente, atualizar os controles. Da mesma forma, se a organização se fundir ou adquirir outra empresa, os controles existentes devem ser revisados para garantir a integração com os novos processos de negócios.
- Após mudanças regulatórias ou legais. Mudanças nas leis de proteção de dados (por exemplo, RGPD, CCPA) ou regulamentações do setor (por exemplo, HIPAA, PCI DSS) podem exigir atualizações nos controles da organização para garantir a conformidade contínua com as novas estruturas legais.
- Em resposta a vulnerabilidades ou incidentes de segurança identificados. Caso uma vulnerabilidade seja descoberta ou ocorra uma violação de dados, os controles devem ser revisados imediatamente para garantir que medidas apropriadas estejam em vigor para evitar incidentes semelhantes no futuro. Essa revisão pode resultar no reforço das políticas de segurança, na adição de novas ferramentas de monitoramento ou em alterações nos procedimentos de tratamento de dados.
- Como parte das auditorias SOC 2. Se uma organização for submetida a uma auditoria SOC 2 Tipo II, que avalia a eficácia operacional dos controles ao longo de um período (geralmente de 6 a 12 meses), é uma boa prática revisar e possivelmente atualizar os controles em preparação para a auditoria. A auditoria SOC 2 avalia se os controles da organização foram projetados e estão operando de forma eficaz, portanto, é essencial garantir que os controles estejam atualizados e abrangentes antes da auditoria.
