Certificações de compliance são o reconhecimento formal por um organismo de Avaliação da Conformidade de que uma Organização atende a requisitos previamente definidos e relacionados à gestão de riscos e privacidade, demonstrando ser competente para realizar suas atividades com confiança. Em outras palavras, as certificações atestam, através de uma entidade independente, que possuímos sólidos controles e processos estabelecidos de tratamento de riscos e no tratamento e proteção de dados de nossos clientes.
O projeto de certificação da Digibee visa aumentar a confiança de clientes, prospects e investidores de que os processos e tecnologias da Digibee correspondem aos mais atuais padrões de mercado. Alguns segmentos de clientes exigem determinadas certificações de suas plataformas e parceiros, o que inclui a Digibee.
Projeto de certificação da Digibee
Optamos por contratar a plataforma Laika para fazer a gestão do projeto de certificação, sendo ela uma oferta composta dos seguintes pontos:
Uma plataforma de automação e gerenciamento de compliance;
Apoio consultivo para acelerar o processo de certificação (temos o apoio de um arquiteto de compliance dedicado);
Auxílio às empresas para cumprirem com os padrões de segurança exigidos por reguladores e clientes corporativos, como por exemplo SOC 2, ISO 27001 e HIPAA. Este projeto está sendo liderado pelo time de Produto da Digibee e temos como objetivo obter as primeiras certificações ainda em 2022.
Quais são as nossas certificações em andamento?
A Digibee optou por SOC 2 e PCI-DSS como as primeiras certificações. Abaixo apresentamos um panorama do escopo dessas certificações:
SOC 2
A SOC 2 (System and Organization Controls 2) é um tipo de relatório de auditoria que atesta a confiabilidade dos serviços prestados por uma organização prestadora de serviços. É comumente usado para avaliar os riscos associados a soluções de software terceirizadas que armazenam dados de clientes online.
A certificação SOC 2 é uma das mais importantes para qualquer plataforma SaaS e leva tipicamente cerca de 6 meses a 1 ano para ser obtida.
É importante observar que SOC 2 se aplica a empresas que operam ou fazem negócios na América do Norte, principalmente nos EUA. Porém, ela também é importante em outras localidades e para plataformas SaaS esta certificação se tornou imprescindível.
Ao concluir sua auditoria SOC 2, os auditores fornecem às empresas um relatório detalhado para ser compartilhado com clientes, parceiros e investidores. Este relatório inclui uma descrição do sistema e controles para proteger os dados mantidos ou transferidos por meio dele, incluindo ainda uma classificação da postura de segurança da informação do sistema.
SOC 2 Tipo I: Certificação inicial SOC 2. Ela oferece um panorama sobre um período onde foram aplicados controles e políticas.
SOC 2 Tipo II: Certificação focada em garantia e monitoramento de que as etapas do SOC 2 Tipo I estejam sendo implementadas de forma recorrente.
Sua obtenção só é possível após 3 meses de implantação bem-sucedida do SOC 2 Tipo I.
Uma vez implantada, já cumprimos com vários requisitos solicitados pela PCI-DSS (setor financeiro), o que irá reduzir o tempo total de projeto para obtenção destas outras certificações.
PCI-DSS
PCI-DSS: A Payment Card Industry (PCI) compliance é exigida por empresas de cartão de crédito para ajudar a garantir a segurança das transações no setor de pagamentos. Esta é uma certificação bastante solicitada pelo setor financeiro.
A conformidade com PCI-DSS não é apenas um requisito para evitar o roubo de identidade, mas também está repleta de práticas recomendadas para detectar, prevenir e remediar violações de dados. Tornar-se compatível com PCI-DSS também protege nossa organização caso ocorra uma violação e vazamento de dados.
Considerações finais
Clientes e prospects que desejem informações sobre o relatório do SOC 2 Type I e a Engagement Letter do PCI-DSS podem solicitá-los ao seu CSM ou time de Vendas.