Skip to content
Caso de estudoPreçosSegurançaComparativoBlog
GlossárioGuias por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Conformidade9 min de leitura

SOC 2 Compliance para SaaS no Brasil: Segurança Documental, Controles e Auditoria

Guia completo de SOC 2 compliance para empresas SaaS brasileiras: AICPA, Bacen, COAF, LGPD, CVM e preparação para auditoria Tipo II. Segurança documental alinhada ao marco regulatório brasileiro.

Equipe CheckFile
Equipe CheckFile·
Illustration for SOC 2 Compliance para SaaS no Brasil: Segurança Documental, Controles e Auditoria — Conformidade

Resumir este artigo com

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

A conformidade SOC 2 está se tornando requisito indispensável para empresas SaaS brasileiras que atendem clientes corporativos nacionais e internacionais. No Brasil, o quadro regulatório combina as exigências técnicas da AICPA com as obrigações impostas pelo Banco Central do Brasil (Bacen), pelo COAF (Conselho de Controle de Atividades Financeiras), pela CVM (Comissão de Valores Mobiliários) e pela LGPD (Lei Geral de Proteção de Dados — Lei 13.709/2018). Um relatório SOC 2 Tipo II é prova concreta de maturidade em segurança para acessar mercados enterprise no Brasil e nos Estados Unidos.

Este artigo é fornecido para fins informativos e não constitui aconselhamento jurídico ou regulatório. As referências regulatórias estão corretas na data de publicação. Consulte um escritório CPA acreditado e um advogado especializado em direito brasileiro para orientação específica.

O que é SOC 2 compliance para um SaaS brasileiro?

SOC 2 é um framework de auditoria desenvolvido pela AICPA (American Institute of Certified Public Accountants) sob a norma de atestação SSAE 18. Avalia a segurança da informação de um prestador de serviços segundo cinco Critérios de Serviços de Confiança (Trust Services Criteria): Segurança, Disponibilidade, Integridade do processamento, Confidencialidade e Privacidade.

O critério de Segurança (Common Criteria) é obrigatório; os demais quatro são opcionais conforme os compromissos de serviço (AICPA TSC 2017).

Dois tipos de relatório existem:

Tipo Âmbito Prazo Utilização
Tipo I Concepção dos controles em um momento específico 1–3 meses de preparação Primeiro relatório, empresas em fase inicial
Tipo II Eficácia operacional ao longo do tempo Período de observação 6–12 meses Contratos enterprise, due diligence

Contexto regulatório brasileiro e SOC 2

Banco Central do Brasil (Bacen) e Resolução CMN nº 4.893/2021

O Bacen publicou a Resolução CMN nº 4.893/2021, que estabelece requisitos de segurança cibernética para instituições financeiras e de pagamento. Esta resolução exige política de segurança cibernética, plano de ação e resposta a incidentes, e avaliação de riscos de prestadores de serviços — incluindo fornecedores SaaS.

Um relatório SOC 2 Tipo II é diretamente relevante para o atendimento da Resolução CMN nº 4.893/2021, especialmente nos requisitos de gestão de riscos de terceiros e continuidade de serviços. Empresas SaaS que prestam serviços a instituições financeiras reguladas pelo Bacen devem estar preparadas para apresentar evidências equivalentes às exigidas pelo relatório SOC 2.

COAF e a Lei 9.613/1998

O COAF (Conselho de Controle de Atividades Financeiras), integrado ao Bacen desde 2019, coordena a prevenção à lavagem de dinheiro e ao financiamento do terrorismo no Brasil. A Lei 9.613/1998, alterada pela Lei 12.683/2012, impõe às entidades obrigadas requisitos de identificação de clientes (KYC), comunicação de operações suspeitas e conservação de documentos por cinco anos.

Para SaaS que processam documentos de identificação (CPF, CNPJ, CNH, RG) em fluxos KYC, os controles SOC 2 de confidencialidade, integridade e trilhas de auditoria são diretamente aplicáveis. A Circular Bacen 3.978/2020 detalha os procedimentos de prevenção à lavagem de dinheiro exigidos das instituições financeiras e seus prestadores de serviços.

CVM e segurança de dados do mercado de capitais

A CVM (Comissão de Valores Mobiliários) supervisiona o mercado de capitais brasileiro. A Resolução CVM nº 35/2021 exige que intermediários e gestores de ativos adotem políticas de segurança cibernética e gestão de riscos de prestadores de serviços de tecnologia. SaaS utilizados por corretoras, gestoras e distribuidoras devem demonstrar controles de segurança compatíveis com SOC 2.

LGPD — Lei 13.709/2018

A LGPD (Lei Geral de Proteção de Dados) entrou em vigor em agosto de 2020. A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão de fiscalização. O artigo 46 da LGPD exige que controladores e operadores adotem medidas técnicas e administrativas para proteger dados pessoais.

O critério de Privacidade do SOC 2 alinha-se ao artigo 46 da LGPD, podendo ser utilizado como evidência de medidas técnicas adequadas. Contudo, a conformidade com a LGPD exige adicionalmente: registro de operações de tratamento (ROPA), gestão de incidentes com notificação à ANPD, e contratos de processamento de dados com operadores terceiros.

Segurança documental: controles críticos para SaaS brasileiros

Identificação de documentos brasileiros: CPF, CNPJ e CNH

Plataformas SaaS que processam documentos de identificação brasileiros devem implementar controles específicos:

  • CPF (Cadastro de Pessoas Físicas): validação do dígito verificador + consulta à Receita Federal
  • CNPJ (Cadastro Nacional da Pessoa Jurídica): validação + situação cadastral na Receita Federal
  • RG: validação por estado emissor (documento estadual, sem padrão nacional único)
  • CNH: validação junto ao Detran do estado emissor

A solução de validação documental automatizada suporta todos estes formatos e os integra ao fluxo de auditoria SOC 2.

Criptografia e integridade

Todos os dados documentais devem ser criptografados com AES-256 em repouso e transmitidos exclusivamente via TLS 1.3. As chaves de criptografia devem ser geridas via HSM ou serviços equivalentes (AWS KMS disponível nas regiões São Paulo/us-east-1, Azure no Brasil Sul, GCP em São Paulo).

Gestão de acessos e privilégios

Controle Frequência de revisão Evidência de auditoria
Revisão de direitos de acesso Trimestral Relatório de acesso assinado
Remoção de contas de colaboradores saídos Imediata (< 24h) Ticket ITSM com carimbo de data/hora
Acesso privilegiado (admin) Mensal Exportação de log PAM
Acesso de fornecedores terceiros Por contrato Contrato DPA + registro de acesso

Trilhas de auditoria imutáveis e retenção documental

Os registos de acesso a documentos devem ser imutáveis, com carimbo de data/hora e conservados por pelo menos 12 meses para SOC 2. Para dados sujeitos à Lei 9.613/1998 (COAF), a retenção deve ser de cinco anos. Para dados de saúde, a legislação brasileira impõe retenção de 20 anos.

Preparação para auditoria SOC 2 Tipo II no Brasil

Etapa 1 — Escopo e análise de lacunas

Antes de iniciar o período de observação, realize uma análise de lacunas cruzando os AICPA Common Criteria com os requisitos da Resolução CMN nº 4.893/2021 e da LGPD. As ferramentas de automatização SOC 2 (Vanta, Drata, Secureframe) reduzem esta fase em 40%.

Etapa 2 — Remediação das lacunas de controle

Lacunas mais comuns em SaaS brasileiros:

  • Ausência de política formal de gestão de suboperadores (exigida pela LGPD e pelo Bacen)
  • Registros de acesso não centralizados ou sem carimbo de data/hora
  • Plano de resposta a incidentes não testado
  • Ausência de DPIA (Relatório de Impacto à Proteção de Dados) para tratamentos de alto risco

Etapa 3 — Seleção do auditor CPA

O auditor SOC 2 deve ser um escritório CPA acreditado pela AICPA. No Brasil, escritórios como Deloitte, KPMG, EY e PwC realizam relatórios SOC 2. O custo de uma primeira auditoria Tipo II varia entre R$ 150.000 e R$ 600.000 dependendo do escopo, ou equivalente em USD (US$ 25.000–100.000) para relatórios emitidos para o mercado americano.

Etapa 4 — Alinhamento SOC 2, LGPD e Bacen

A conformidade simultânea com SOC 2, LGPD e Resolução CMN nº 4.893/2021 é possível com uma abordagem integrada. A tabela de mapeamento de controles entre os três frameworks reduz a duplicação de esforços em até 60%.

SOC 2 vs ISO 27001 para SaaS brasileiros

Critério SOC 2 ISO 27001
Reconhecimento Bacen/CVM Aceito como evidência Reconhecido e recomendado
Reconhecimento mercado EUA Indispensável Parcial
Alinhamento LGPD Parcial (critério Privacy) Forte (Anexo A)
Custo estimado R$ 150k–600k R$ 90k–350k
Prazo 9–14 meses (primeiro Tipo II) 6–18 meses

Custos e retorno sobre investimento

Um relatório SOC 2 Tipo II gera em média 3,2 vezes o seu custo em oportunidades comerciais desbloqueadas (Vanta State of Trust Report 2024).

Componentes do custo total para um primeiro Tipo II no Brasil:

  • Honorários de auditoria CPA: R$ 150.000–600.000 (ou US$ 25.000–100.000)
  • Remediação técnica pré-auditoria: R$ 60.000–240.000
  • Plataforma de automatização: R$ 60.000–180.000/ano
  • Tempo interno (engenharia + conformidade): 200–400 horas

Perguntas frequentes

O que é SOC 2 compliance para SaaS no Brasil?

SOC 2 compliance é o conjunto de controles de segurança, disponibilidade, confidencialidade e privacidade que um fornecedor SaaS implementa e faz auditar por um escritório CPA segundo o padrão AICPA SSAE 18. No Brasil, complementa os requisitos da LGPD, da Resolução CMN nº 4.893/2021 e das normas do COAF.

SOC 2 substitui a conformidade com a LGPD?

Não. O critério de Privacidade do SOC 2 cobre medidas técnicas semelhantes ao art. 46 da LGPD, mas não substitui as obrigações de registro de tratamentos, nomeação de DPO (quando exigido), notificação de incidentes à ANPD e demais requisitos da Lei 13.709/2018.

SOC 2 é relevante para cumprir a Resolução CMN nº 4.893/2021?

Sim. A resolução exige que instituições financeiras avaliem os riscos de segurança cibernética de seus prestadores de serviços tecnológicos. Um relatório SOC 2 Tipo II é uma das formas aceitas de demonstrar que o fornecedor SaaS possui controles adequados.

Quanto custa um audit SOC 2 Tipo II no Brasil?

O custo varia de R$ 150.000 a R$ 600.000 em honorários de auditoria, dependendo do escopo e do escritório. Escritórios internacionais (Big Four) podem emitir relatórios em inglês e português, facilitando o uso tanto no mercado brasileiro quanto no americano.

Quais documentos brasileiros precisam de controles especiais no SOC 2?

CPF, CNPJ, RG, CNH e passaporte brasileiro são dados pessoais sensíveis sob a LGPD. Seu processamento exige controles de criptografia, acesso restrito, trilhas de auditoria e políticas de retenção alinhadas tanto ao SOC 2 quanto à LGPD e à Lei 9.613/1998 (COAF).

Comece agora

Descubra as nossas ofertas adaptadas ao seu volume e fale com um especialista.

Artigos relacionados

Conformidade8 min

KYC: guia completo para empresas no Brasil em 2026

O que é KYC? Definição, obrigações legais, etapas do processo e melhores práticas para empresas no Brasil.

Ler
Conformidade8 min

Anti Money Laundering: conformidade AML

Guia completo de anti money laundering para empresas no Brasil: obrigações COAF, Bacen, Lei 9.613/1998, Circular 3.978/2020

Ler
Conformidade14 min

Verificação do Direito ao Trabalho: Guia

Guia para empregadores no Brasil: verificação do direito ao trabalho de estrangeiros, CRNM, CLT, CTPS, eSocial e penalidades do MTE.

Ler