Teste de segurança e gerenciamento de vulnerabilidades SOC 2
Os auditores SOC 2 Tipo II examinam seu programa de gerenciamento de vulnerabilidades durante todo o período de auditoria. Os dias em que as verificações pontuais satisfaziam os auditores acabaram. KENSAI fornece a trilha de evidências contínua que as auditorias SOC 2 modernas exigem.
Iniciar avaliação SOC 2 → Agende uma demonstraçãoCritérios Comuns SOC 2 para Gerenciamento de Vulnerabilidades
O SOC 2 é baseado nos Critérios de Serviços de Confiança (TSC) do AICPA. Evidências de gerenciamento de vulnerabilidade são exigidas principalmente sob aCritérios Comuns (CC)relacionado às operações do sistema e gerenciamento de mudanças:
A entidade utiliza procedimentos de detecção e monitoramento para identificar alterações nas configurações, novas vulnerabilidades e anomalias. Os auditores querem ver: verificação contínua de vulnerabilidades, processos documentados e evidências de que o monitoramento é contínuo — e não apenas trimestral.
Os incidentes de segurança (incluindo a exploração de vulnerabilidades) são identificados e respondidos. O gerenciamento de vulnerabilidades alimenta diretamente o processo de resposta a incidentes.
Mudanças na infraestrutura, dados, software e processos são autorizadas, projetadas, desenvolvidas, documentadas, testadas, revisadas e implementadas. A verificação de vulnerabilidades após alterações é uma evidência esperada.
A entidade seleciona e desenvolve atividades de mitigação de riscos, incluindo identificação e remediação de vulnerabilidades. É aqui que seus SLAs de priorização e correção de vulnerabilidades são avaliados.
💡 Tipo I vs Tipo II:SOC 2 Tipo I é uma avaliação pontual. O Tipo II cobre um período (normalmente de 6 a 12 meses). Para o Tipo II, os auditores coletarão amostras de evidências de varredura de vulnerabilidades durante todo o período de auditoria e procurarão uma execução consistente e repetível. Uma única varredura no mês 11 não passará.
O que os auditores do SOC 2 realmente pedem
Com base em solicitações comuns de auditores em trabalhos SOC 2, aqui está o que você precisará fornecer:
| Tipo de evidência | Freqüência | O que os auditores querem |
|---|---|---|
| Resultados da verificação de vulnerabilidade | Mensal ou contínuo | Carimbos de data e hora, escopo, contagem de descobertas, detalhamento de gravidade |
| Relatório de teste de penetração | Anual | Metodologia, escopo, resultados, status de remediação |
| Rastreamento de remediação | Contínuo | Trilha de emissão de tickets desde a descoberta até a correção e o novo teste |
| Registros de gerenciamento de patches | Contínuo | Patches críticos aplicados dentro do SLA (normalmente 30 dias) |
| Política de gestão de vulnerabilidades | Na auditoria | Política escrita com definições de gravidade e SLAs de correção |
| Documentação de aceitação de risco | Por exceção | Aceitação de risco assinada para vulnerabilidades conhecidas não corrigidas |
Teste de penetração para SOC 2
Embora o SOC 2 não exija explicitamente a frequência dos testes de penetração, praticamente todos os relatórios confiáveis do SOC 2 incluem evidências anuais de testes de penetração. Os auditores veem isso como evidência de um programa maduro de gestão de vulnerabilidades.
Requisitos principais para evidências de pentest SOC 2:
- Realizado por um terceiro qualificado (não apenas pela equipe de segurança interna)
- O escopo abrange sistemas no escopo do SOC 2 (não apenas um subconjunto)
- O relatório inclui descobertas com classificações de gravidade e recomendações de correção
- Remediação de descobertas Altas/Críticas documentadas com confirmação de novo teste
- Resumo executivo adequado para inclusão no próprio relatório SOC 2
Como a KENSAI apoia a conformidade com SOC 2
✓ Evidência de verificação contínua
Varreduras diárias ou semanais com relatórios com registro de data e hora fornecem a trilha de evidências contínua que os auditores SOC 2 Tipo II exigem durante todo o período de auditoria.
✓ Acompanhamento de SLA de remediação
Defina e rastreie SLAs de correção por gravidade. KENSAI gera relatórios que mostram a conformidade com os cronogramas documentados de correção de vulnerabilidades.
✓ Verificação acionada por alterações
Acione verificações automaticamente após alterações na infraestrutura para atender aos requisitos CC8.1 para testes de segurança de alterações.
✓ Relatórios prontos para auditoria
Exporte histórico de varredura, métricas de correção e análise de tendências em formatos projetados para revisão por auditores. Reduza significativamente o tempo de preparação da auditoria.
✓ Fluxo de trabalho de aceitação de riscos
Documente as decisões de aceitação de riscos para vulnerabilidades que não podem ser remediadas imediatamente, com assinaturas de aprovadores e datas de revisão.
✓ Relatórios de Cobertura de Ativos
Demonstre aos auditores que todos os sistemas dentro do escopo são cobertos pelo seu programa de gerenciamento de vulnerabilidades com inventário abrangente de ativos.
Construindo um programa de gerenciamento de vulnerabilidades pronto para SOC 2
- Defina sua política de gerenciamento de vulnerabilidades— Definições de gravidade do documento, SLAs de correção (por exemplo, Crítico: 7 dias, Alto: 30 dias, Médio: 90 dias)
- Faça um inventário de todos os ativos no escopo— O inventário completo de ativos é a base; você não pode escanear o que você não conhece
- Implementar varredura contínua— Em exames mínimos semanais; diariamente preferido para sistemas voltados para a Internet
- Estabeleça fluxos de trabalho de correção— Ingressos, proprietários, prazos e critérios de fechamento com evidências
- Teste de penetração anual— Contratar um terceiro qualificado pelo menos uma vez por ano
- Exceções de documento— Para vulnerabilidades que não podem ser corrigidas imediatamente, documente a aceitação do risco com justificativa comercial
- Demonstrar melhoria de tendência— Os auditores querem ver um programa que esteja melhorando ao longo do tempo, e não estático
Passe na auditoria SOC 2 com confiança
KENSAI fornece varredura contínua de vulnerabilidades, rastreamento de remediação e relatórios prontos para auditoria que o SOC 2 Tipo II exige. Comece a construir sua trilha de evidências hoje.
Inicie a conformidade com SOC 2 → Fale com um especialista em conformidade