"SOC 2, ISO 27001 e GDPR: O que Cada Um Realmente Cobre para um Comprador"

Q: Qual é a diferença entre SOC 2 Tipo 1 e Tipo 2?

O Tipo 1 é um atestado em um ponto no tempo de que os controles do vendor foram *projetados* adequadamente em uma data específica, essencialmente um instantâneo. O Tipo 2 é um atestado de período de observação (geralmente 6 a 12 meses) de que os controles foram *projetados e estavam operando efetivamente* ao longo do tempo. O Tipo 2 é o padrão de aquisição enterprise; o Tipo 1 é aceitável apenas como relatório ponte para vendors dentro do primeiro ano de auditoria.

Q: Preciso da ISO 27001 se já tenho o SOC 2?

Para a maioria dos compradores do mercado médio dos EUA, não: o SOC 2 Tipo 2 cobre o mesmo terreno prático para aquisição nos EUA. A ISO 27001 se torna relevante se você vende para empresas europeias ou da Ásia-Pacífico, opera em setores internacionais regulamentados ou precisa demonstrar um sistema de gestão formalizado (ISMS) em vez de controles em um ponto no tempo. Muitos vendors buscam ambos para cobertura de mercado, mas um SOC 2 Tipo 2 sólido geralmente é suficiente para a postura interna de um comprador exclusivamente nos EUA.

Q: A conformidade com o GDPR é exigida para compradores que operam apenas nos EUA?

O GDPR se aplica onde quer que você processe dados pessoais de residentes da UE, independentemente de onde sua empresa esteja sediada. Uma empresa dos EUA sem clientes da UE, sem funcionários da UE e sem visitantes de sites da UE sendo rastreados tem exposição limitada. Mas se você tiver algum cliente da UE, usuários do seu produto sediados na UE ou funcionários da UE cujos dados estejam na ferramenta SaaS, o GDPR se aplica, e você precisa de um DPA com cada vendor que toque esses dados. Consulte um advogado sobre casos limítrofes de escopo territorial, como marketing para residentes da UE a partir de servidores nos EUA.

Q: Como verifico se o SOC 2 de um vendor é legítimo?

Solicite o relatório completo sob NDA, não apenas a carta de atestado de uma página. Verifique quatro coisas: (1) o auditor é uma firma de CPA licenciada (verifique o AICPA PCPS); (2) o relatório é Tipo 2 com período de auditoria encerrado nos últimos 12 meses; (3) a seção de escopo nomeia explicitamente os produtos e a infraestrutura que você está comprando; e (4) você lê a seção de "Exceções" ou "Resultados de Testes": um relatório com múltiplas exceções de controle e sem narrativa de remediação é um sinal de alerta mesmo que o título diga "sem deficiências materiais."

Q: O que devo perguntar sobre residência de dados?

Faça três perguntas específicas: (1) Em quais regiões geográficas os dados do cliente estão armazenados em repouso e podemos restringi-los contratualmente a uma região específica (por exemplo, apenas UE, apenas EUA)? (2) Onde os backups são armazenados e os backups cruzam fronteiras regionais? (3) Qual mecanismo de transferência (Cláusulas Contratuais Padrão, decisão de adequação, Data Privacy Framework) governa qualquer fluxo transfronteiriço e está no DPA? Vendors que não conseguem responder a isso por escrito não devem tocar em dados regulamentados.

Q: E se o meu vendor de SaaS usar sub-processadores?

Cada sub-processador é efetivamente outro vendor na sua cadeia de suprimentos com acesso aos seus dados. Exija três coisas no DPA: (1) uma lista pública atual e mantida de sub-processadores com o serviço que cada um fornece; (2) aviso antecipado (idealmente 30+ dias) quando sub-processadores são adicionados ou alterados, dando a você a chance de objetar; e (3) obrigações de repasse: o vendor deve impor aos sub-processadores os mesmos termos de proteção de dados que aceitou de você. Preste atenção especial aos sub-processadores de IA/ML, que frequentemente aparecem apenas depois que um produto adiciona funcionalidades de IA.

Q: Por quanto tempo um relatório SOC 2 é válido?

Não há expiração formal, mas os compradores enterprise geralmente tratam relatórios com mais de 12 meses como desatualizados. O período de auditoria de um vendor deve ter terminado no último ano e uma nova auditoria deve estar em andamento ou agendada. Solicite a "carta ponte" (também chamada de carta de lacuna) se você estiver avaliando entre o final do último período de auditoria e a emissão do próximo relatório: é uma carta de gestão do vendor confirmando que não houve mudanças materiais nos controles no intervalo.

Q: O que é um Acordo de Processamento de Dados (DPA) e por que ele importa mais do que "em conformidade com o GDPR"?

Um DPA é o contrato assinado que converte o vendor de "uma empresa com uma política de privacidade" em "um processador de dados juridicamente vinculado que age conforme as suas instruções." Ele define quais dados eles processam, para qual finalidade, com qual segurança, com quais sub-processadores, sob qual mecanismo de transferência, com qual prazo de notificação de violação e o que acontece na rescisão. Sem um DPA assinado, "em conformidade com o GDPR" é linguagem de marketing sem força jurídica, e em uma auditoria de regulador, *você* (o controlador) carrega a responsabilidade, não o vendor.

O diretor de aquisição tinha um checklist. Havia dois itens na linha de conformidade: "em conformidade com SOC 2" e "em conformidade com GDPR." Cada vendor que avaliaram marcou as duas caixas. O diretor se sentiu confiante. Então o jurídico sinalizou que a conformidade com GDPR do vendor se referia a uma política de privacidade desatualizada, não a um Acordo de Processamento de Dados assinado. E até que o TI apontou que o SOC 2 cobria um escopo que excluía a integração que estavam comprando.

O problema não era desonestidade. O problema era que "em conformidade com SOC 2" e "em conformidade com GDPR" são frases que podem ser tecnicamente precisas enquanto ocultam lacunas significativas. Um vendor pode ter certificação SOC 2 para seu produto principal e não para o módulo de IA que você está implantando. Um vendor pode estar em conformidade com o GDPR no sentido de ter publicado uma política de privacidade sem estar em conformidade com o GDPR no sentido de ter assinado um DPA juridicamente vinculante com você.

Esses três frameworks são certificações e leis de tipos diferentes. Eles não substituem uns aos outros. Eles não se sobrepõem da forma que uma caixa de verificação implica. E os vendors frequentemente enfatizam aqueles que possuem enquanto obscurecem as lacunas naqueles que não possuem.

Este guia explica o que cada framework realmente cobre e como usar esse conhecimento em conversas com vendors.

Fatos Essenciais: Panorama de Conformidade para Compradores do Mercado Médio

SOC 2 Tipo 1 vs. Tipo 2: O Tipo 1 é um instantâneo em um ponto no tempo do design dos controles; o Tipo 2 audita a operação dos controles ao longo de uma janela de observação de 6 a 12 meses. O Tipo 2 é o padrão de aquisição enterprise: relatórios do Tipo 1 são mais comuns em vendors dentro de 12 meses de sua primeira auditoria.

Adoção global da ISO 27001: A pesquisa da ISO reportou aproximadamente 71.549 certificados ISO/IEC 27001 válidos em todo o mundo na edição mais recente, com Reino Unido, Japão e Índia liderando as contagens. A penetração entre vendors SaaS dos EUA permanece menor do que o SOC 2.

Precedentes de multas GDPR: A multa de 1,2 bilhão de euros da Meta em maio de 2023 (DPC Irlanda) por transferências ilegais de dados UE-EUA permanece o recorde. Amazon (746 milhões de euros, 2021), Instagram (405 milhões de euros, 2022) e TikTok (345 milhões de euros, 2023) todos superaram nove dígitos. O GDPR é o único dos três frameworks com força monetária direta.

Demanda dos compradores: RFPs de setores regulamentados (serviços financeiros, saúde, governo) tratam o SOC 2 Tipo 2 como obrigatório; uma parcela significativa de compradores enterprise também exige a ISO 27001 junto com ele. Os DPAs do GDPR são requisitos básicos para qualquer vendor que processe dados de residentes da UE.

Lacuna de notificação de violações: O GDPR exige notificação ao regulador em 72 horas. SOC 2 e ISO 27001 exigem processos de resposta a incidentes, mas não estabelecem um prazo fixo de notificação ao cliente: o DPA é onde você negocia esse prazo.

Visão Geral dos Frameworks: O que Você Está Realmente Comparando

Framework	Tipo	O que É	Quem Emite	Escopo
SOC 2	Padrão de auditoria	Atestado de controles em um ponto no tempo	Auditor terceirizado (firma de CPA)	Definido pela declaração de escopo do vendor
ISO 27001	Padrão de gestão	Certificação de sistema de gestão de segurança da informação	Organismo de certificação (credenciado)	Definido pelo escopo do ISMS
GDPR	Lei	Requisito legal para processamento de dados pessoais de residentes da UE	Regulamento da UE (aplicado pelas APDs)	Aplica-se a todos os dados pessoais de residentes da UE

A distinção fundamental: SOC 2 e ISO 27001 são certificações voluntárias que um vendor obtém por meio de uma auditoria ou avaliação de terceiros. O GDPR é um requisito legal. Não importa se o vendor buscou certificação: se está processando dados pessoais de residentes da UE, está sujeito a ele.

O Mapa de Cobertura de Conformidade

O Mapa de Cobertura de Conformidade é um modelo mental do lado do comprador que atribui a cada framework a superfície de risco específica que ele realmente aborda: o SOC 2 cobre controles de segurança operacional dos EUA e é a linha de base para aquisição na América do Norte; a ISO 27001 cobre a postura de gestão de segurança da informação internacional e sinaliza maturidade para compradores europeus e da Ásia-Pacífico; e o GDPR (via DPA assinado) cobre o processamento de dados pessoais da UE e é o único framework que inclui requisitos de residência de dados, transferência lícita e direitos dos titulares de dados. Use o mapa para identificar lacunas: um vendor com SOC 2 Tipo 2 mas sem DPA não está coberto para dados da UE; um vendor com ISO 27001 mas sem SOC 2 pode ser barrado em revisões enterprise nos EUA; um vendor com DPA mas sem atestado de segurança tem papelada jurídica sem controles verificados. Você precisa da combinação que corresponde aos seus fluxos de dados, não da que o vendor faz marketing.

SOC 2: O que Cobre e O que Não Cobre

O que o SOC 2 Realmente É

SOC 2 (System and Organization Controls 2) é um padrão de auditoria desenvolvido pelo American Institute of CPAs (AICPA). Um relatório SOC 2 é produzido por uma firma de CPA independente que revisou os controles do vendor em relação aos Critérios de Trust Service.

Existem dois tipos de relatórios SOC 2:

Tipo I: Uma avaliação em um ponto no tempo. O auditor confirmou que os controles do vendor foram projetados adequadamente em uma data específica. Esse é um instantâneo. Informa que os controles existiam naquele dia.

Tipo II: Uma avaliação de período cobrindo 6 a 12 meses. O auditor confirmou que os controles não apenas foram projetados adequadamente, mas operavam efetivamente ao longo do tempo. Este é o padrão que você deve exigir.

Os Cinco Critérios de Trust Service

Um relatório SOC 2 pode cobrir um ou mais destes critérios:

Critério	O que Cobre
Segurança (CC)	Controles de acesso, criptografia, gestão de vulnerabilidades, resposta a incidentes
Disponibilidade (A)	Uptime do sistema, monitoramento de desempenho, recuperação de desastres
Integridade de Processamento (PI)	Integralidade e precisão do processamento de dados
Confidencialidade (C)	Proteção de informações confidenciais conforme os compromissos do vendor
Privacidade (P)	Coleta, uso, retenção e descarte de informações pessoais

A maioria dos vendors cobre apenas Segurança e Disponibilidade. Isso importa porque os critérios de Confidencialidade e Privacidade são os que governam como o vendor lida com seus dados além dos controles básicos de acesso. Se você está colocando dados sensíveis de clientes, dados financeiros ou dados de RH em uma ferramenta, pergunte especificamente se os critérios de Confidencialidade e Privacidade estão no escopo. O processo completo de revisão de segurança cobre como interpretar a seção de escopo de um SOC 2 e o que fazer quando o relatório contém exceções.

O que o SOC 2 NÃO Cobre

Integrações específicas de terceiros. Se o vendor usa um provedor de IA de terceiros, data warehouse ou ferramenta de analytics, esse componente pode estar explicitamente excluído do escopo do SOC 2. Leia a seção de escopo.
Seu uso do produto. O SOC 2 audita os controles do vendor, não como você configurou o produto. Se você definiu permissões fracas ou configurações de compartilhamento, isso está fora do escopo.
Postura no dia atual. Um SOC 2 de 14 meses atrás reflete o estado do vendor há 14 meses. Rotatividade de equipe, mudanças de infraestrutura e novos recursos de produto desde então não estão cobertos.

Perguntas a Fazer com Base no SOC 2

O seu relatório SOC 2 atual é Tipo I ou Tipo II?
Quais critérios de Trust Service ele cobre? Inclui Confidencialidade e Privacidade?
Qual é o período de auditoria? Há um relatório do ano atual em andamento?
Posso revisar a seção de escopo do relatório? Quais infraestruturas e produtos estão explicitamente excluídos?
Há exceções ou opiniões qualificadas no relatório?
Quais sub-processadores de terceiros estão no escopo versus excluídos?

Sinais de alerta:

Relatório Tipo I apresentado como equivalente ao Tipo II
Relatório com mais de 12 meses sem auditoria atual em andamento
Escopo que exclui o produto ou módulo específico que você está comprando
Recusa em compartilhar o relatório sob NDA

ISO 27001: O que Cobre e O que Não Cobre

O que a ISO 27001 Realmente É

A ISO 27001 é um padrão internacional para Sistemas de Gestão de Segurança da Informação (ISMS), publicado e mantido pela Organização Internacional de Normalização (ISO). A certificação significa que um vendor implementou uma abordagem documentada e sistemática para gerir riscos de segurança da informação, cobrindo políticas, processos, pessoas e tecnologia.

Diferente do SOC 2, que audita controles específicos em relação a critérios definidos, a ISO 27001 certifica a existência e a operação de um sistema de gestão para segurança da informação. O padrão tem dois componentes principais:

Cláusulas principais: Requisitos para o ISMS (avaliação de riscos, comprometimento da liderança, planejamento, operação, avaliação, melhoria)
Controles do Anexo A: 93 categorias de controles cobrindo segurança física, gestão de acesso, criptografia, relacionamentos com fornecedores, gestão de incidentes e mais

O que a ISO 27001 NÃO Cobre

Privacidade de dados. A ISO 27001 é um padrão de segurança, não de privacidade. Ela não aborda especificamente os direitos dos titulares de dados, limitações de retenção de dados ou requisitos de consentimento para o processamento de dados pessoais. Para privacidade, você precisa do GDPR ou equivalente.
Resultados técnicos específicos. A certificação ISO 27001 significa que um sistema de gestão existe. Ela não certifica que controles técnicos específicos estão implementados. Um vendor pode ser certificado pela ISO 27001 com controles técnicos relativamente fracos, se esses controles estiverem documentados e gerenciados dentro do ISMS.
A arquitetura do produto. O escopo do ISMS pode ser restrito, cobrindo sistemas de TI corporativos, mas não a infraestrutura do produto. Verifique se o escopo cobre os sistemas específicos que você está usando.

Perguntas a Fazer com Base na ISO 27001

Qual é o escopo da sua certificação ISO 27001? Ele inclui o ambiente de produção do produto?
Qual organismo de certificação emitiu o certificado e quando?
Quando é a sua próxima auditoria de vigilância?
O seu ISMS cobre os controles do Anexo A relevantes para o nosso caso de uso (especificamente gestão de acesso, criptografia e relacionamentos com fornecedores)?
Como você gerencia os riscos de segurança da informação de fornecedores para sub-processadores de terceiros?

O relacionamento entre ISO 27001 e SOC 2: Muitos vendors buscam ambos. A ISO 27001 tem reconhecimento internacional mais forte; o SOC 2 tem maior penetração no mercado dos EUA. Um vendor com ISO 27001 mas sem SOC 2 pode ser adequado dependendo da sua geografia e setor. Um vendor com SOC 2 mas sem ISO 27001 é o perfil padrão do mercado médio dos EUA. Para ferramentas habilitadas para IA, nenhum dos dois padrões cobre completamente as questões adicionais de tratamento de dados sobre treinamento de modelos, por isso o guia de avaliação de SaaS habilitado para IA adiciona uma camada separada a esta revisão.

O Regulamento Geral sobre a Proteção de Dados é uma lei da UE que governa a coleta, o processamento e o armazenamento de dados pessoais de residentes da UE. O texto completo do regulamento GDPR é publicado no EUR-Lex e se aplica a qualquer organização que processe dados pessoais de residentes da UE, independentemente de onde a organização esteja sediada.

Para um comprador de SaaS, a relevância do GDPR se apresenta de duas formas:

Você é um controlador de dados. Você decide quais dados pessoais são coletados e por quê. Se a sua ferramenta SaaS coleta ou processa dados pessoais de residentes da UE em seu nome, você precisa de um Acordo de Processamento de Dados (DPA) com o vendor.
O vendor é um processador de dados. Ele processa dados pessoais conforme as suas instruções. O DPA governa os termos sob os quais ele processa esses dados.

O DPA: O Documento que Realmente Importa

"Em conformidade com o GDPR" sem um DPA assinado não tem validade jurídica. O DPA é o contrato que estabelece:

Quais dados pessoais o vendor processa em seu nome
Os propósitos e meios de processamento
As obrigações do vendor quanto à segurança de dados, notificação de violações e gestão de sub-processadores
O mecanismo para transferências transfronteiriças de dados (Cláusulas Contratuais Padrão ou equivalente)
Os direitos dos titulares de dados e como o vendor os apoia
Exclusão e devolução de dados na rescisão do contrato

Checklist de DPA (15 itens):

Titulares de dados fora da UE. O GDPR não cobre os dados de indivíduos dos EUA, da Austrália ou de outros países fora da UE. Outras regulamentações podem se aplicar (CCPA para a Califórnia, LGPD para o Brasil, etc.), mas o GDPR especificamente cobre residentes da UE. As diretrizes do Comitê Europeu de Proteção de Dados fornecem interpretações autorizadas do escopo territorial para organizações que não têm certeza se o GDPR se aplica aos seus fluxos de dados específicos.
Dados anonimizados. Dados verdadeiramente anonimizados (onde a reidentificação não é possível) estão fora do escopo do GDPR. Dados pseudonimizados (onde a reidentificação é possível com uma chave) ainda estão no escopo.
Dados de contato B2B. Em muitas jurisdições, as informações de contato comercial de empresas (não de consumidores individuais) ficam fora da definição de dados pessoais do GDPR. Isso é contestado e específico da jurisdição.

Posso receber uma cópia do seu DPA padrão antes de assinar o contrato principal?
Você tem uma lista atual de sub-processadores e como é fornecido o aviso quando os sub-processadores mudam?
Qual mecanismo você usa para transferências transfronteiriças de dados (CCPs, decisão de adequação)?
Qual é o seu processo para responder a solicitações de direitos dos titulares de dados (exclusão, acesso, portabilidade)?
Qual é o seu compromisso de notificação de violação e como ele se compara ao padrão de 72 horas do GDPR?
Se as funcionalidades de IA estão no escopo, os dados do cliente são usados para treinamento? Há opção de exclusão e isso está no DPA?
Quais dados pessoais são processados se usarmos apenas [módulo específico do produto]?

Sinais de alerta:

O vendor apresenta sua política de privacidade como o DPA
O DPA inclui o direito de usar dados do cliente para treinamento de modelos sem opção de exclusão
A lista de sub-processadores não é mantida ou tem mais de 6 meses
O compromisso de notificação de violação excede 72 horas
Nenhum mecanismo especificado para transferências transfronteiriças

A Tabela de Comparação dos Frameworks

Pergunta	O SOC 2 Responde	A ISO 27001 Responde	O GDPR Responde
O vendor tem controles de segurança?	Sim (se Tipo II, critério de Segurança)	Sim (framework de controles do Anexo A)	Não (segurança é um requisito, não auditado)
Meus dados são tratados com confidencialidade adequada?	Parcialmente (se critério de Confidencialidade no escopo)	Parcialmente (controles do Anexo A)	Sim (o DPA governa isso)
Meus direitos de privacidade estão protegidos?	Parcialmente (se critério de Privacidade no escopo)	Não	Sim (direitos dos titulares de dados)
Isso se aplica a dados pessoais da UE?	Não (voluntário, neutro geograficamente)	Não (voluntário, neutro geograficamente)	Sim (obrigatório para dados da UE)
O escopo é verificável?	Sim (no relatório)	Sim (escopo do certificado)	Sim (no DPA)
Aborda notificação de violações?	Parcialmente (controles de resposta a incidentes)	Parcialmente (gestão de incidentes)	Sim (notificação em 72 horas)

Como Usar Isso em Conversas com Vendors

Não diga: "Você está em conformidade com SOC 2 e GDPR?"

Em vez disso, pergunte:

"Posso ver a seção de escopo e os critérios de Trust Service no seu relatório SOC 2 Tipo II atual?"
"O escopo da sua ISO 27001 cobre o ambiente de produção do produto?"
"Posso receber o seu DPA antes de assinarmos? Quais sub-processadores estão listados e algum deles é um provedor de IA?"

Essas perguntas revelam as informações que a conformidade teatral oculta. Um vendor com conformidade genuína as responde diretamente. Um vendor com conformidade teatral as responde com linguagem de marketing. Depois de reunir essas informações, o checklist de diligência de vendor mostra como integrar as descobertas de conformidade em uma avaliação completa de risco antes de qualquer contrato ser assinado. E quando chegar a hora de negociar, as cláusulas problemáticas em contratos SaaS cobrem as cláusulas de DPA e responsabilidade que protegem seus direitos de dados após a assinatura.

Como o Rework Aborda a Conformidade para Sua Própria Postura e para Rastrear a Sua

O Rework trata a conformidade como um artefato divulgado, não uma afirmação de marketing. Publicamos o escopo da nossa postura de segurança em rework.com/pricing e disponibilizamos nossos atestados atuais, DPA e lista de sub-processadores a potenciais clientes sob NDA antes da assinatura do contrato, não depois. Os dados do cliente não são usados para treinar funcionalidades de IA, e esse compromisso está escrito no DPA em vez de enterrado em uma política de privacidade. Para compradores que processam dados pessoais da UE, assinamos Cláusulas Contratuais Padrão como mecanismo de transferência e nos comprometemos com o aviso de mudança de sub-processador.

Separadamente, o Rework Work Ops (a partir de US$ 6/usuário/mês) é a ferramenta que muitos dos nossos clientes do mercado médio usam para rastrear seu próprio inventário de conformidade de vendors: um registro simplificado de datas de relatórios SOC 2, janelas de renovação da ISO 27001, versões de DPA, listas de sub-processadores e próximas auditorias de vigilância para cada SaaS no stack. Em vez de gerenciar isso em uma planilha dispersa, os responsáveis de aquisição e TI usam os boards do Work Ops com datas de revisão automatizadas para que um relatório SOC 2 ficando desatualizado ou uma mudança de sub-processador apareça como uma tarefa, não como uma surpresa descoberta na próxima renovação.

Perguntas Frequentes

Saiba Mais

Revisão de Segurança e Conformidade: O que um Comprador do Mercado Médio Deve Realmente Verificar: o processo de revisão de cinco camadas que este contexto de framework possibilita
O Checklist de Diligência Pré-Compra de Vendor para Compradores do Mercado Médio: onde a revisão de conformidade se encaixa no framework mais amplo de diligência
Cláusulas Problemáticas em Contratos SaaS: Renovação Automática, Limites de Uso e Rescisão: os termos contratuais que afetam seus direitos de dados após a assinatura
Avaliando SaaS Habilitado para IA: O que É Real, O que É Marketing: como as funcionalidades de IA expandem as perguntas sobre GDPR e tratamento de dados
Política de governança de IA para departamentos: políticas internas que complementam os requisitos de conformidade do lado do vendor
Templates de avaliação de prontidão para IA: como avaliar a prontidão de tratamento de dados da sua própria organização antes de implantar SaaS com IA

Framework de Compra de SaaS para Operadores

Visão Geral dos Frameworks: O que Você Está Realmente Comparando

O Mapa de Cobertura de Conformidade

SOC 2: O que Cobre e O que Não Cobre

O que o SOC 2 Realmente É

Os Cinco Critérios de Trust Service

O que o SOC 2 NÃO Cobre

Perguntas a Fazer com Base no SOC 2

ISO 27001: O que Cobre e O que Não Cobre

O que a ISO 27001 Realmente É

O que a ISO 27001 NÃO Cobre

Perguntas a Fazer com Base na ISO 27001

O DPA: O Documento que Realmente Importa

A Tabela de Comparação dos Frameworks

Como Usar Isso em Conversas com Vendors

Como o Rework Aborda a Conformidade para Sua Própria Postura e para Rastrear a Sua

Perguntas Frequentes

Saiba Mais

On this page

Framework de Compra de SaaS para Operadores

SOC 2, ISO 27001 e GDPR: O que Cada Um Realmente Cobre para um Comprador

Visão Geral dos Frameworks: O que Você Está Realmente Comparando

O Mapa de Cobertura de Conformidade

SOC 2: O que Cobre e O que Não Cobre

O que o SOC 2 Realmente É

Os Cinco Critérios de Trust Service

O que o SOC 2 NÃO Cobre

Perguntas a Fazer com Base no SOC 2

ISO 27001: O que Cobre e O que Não Cobre

O que a ISO 27001 Realmente É

O que a ISO 27001 NÃO Cobre

Perguntas a Fazer com Base na ISO 27001

GDPR: O que Cobre e O que Não Cobre

O que o GDPR Realmente É

O DPA: O Documento que Realmente Importa

O que o GDPR NÃO Cobre

Perguntas a Fazer com Base no GDPR

A Tabela de Comparação dos Frameworks

Como Usar Isso em Conversas com Vendors

Como o Rework Aborda a Conformidade para Sua Própria Postura e para Rastrear a Sua

Perguntas Frequentes

Saiba Mais

On this page