Pular para o conteúdo principal
SVDY Logo
Central de confiança

/

Previsto Q1 2027

Cronograma SOC 2 Type II

Publicamos um roteiro aberto até o SOC 2 Type II para que os clientes possam planejar suas compras com base nele. Marcos honestos, sem "teatro de compliance" — o Type II exige uma janela real de observação de 6 meses, não uma auditoria de um dia.

Marcos

2026-Q1

Concluído

Prontidão da arquitetura

AWS multi-AZ + AES-256 em repouso + TLS 1.2+ + Secrets Manager + IAM com privilégio mínimo. Todos os controles fundamentais já em produção.

2026-Q2

Concluído

Arquitetura pronta para GDPR

Auditoria de privacidade ondas 1 a 4 concluídas: minimização de dados, fluxos de direito ao esquecimento, gates de consentimento e tratamento biométrico sob o artigo 9(2)(a).

2026-Q3

Em andamento

Logs de auditoria e resposta a incidentes

Trilha de auditoria centralizada (retenção de 1 a 3 anos por plano), runbook de resposta a incidentes, rotação on-call e protocolo de notificação de incidentes.

2026-Q4

Em andamento

Seleção de auditor — Vanta + A-LIGN

Selecionamos a Vanta para automação de compliance (coleta contínua de evidências de AWS, Stripe, Okta, GitHub, SES) e a A-LIGN como firma auditora. A SVDY se junta ao mesmo stack usado por Linear, Ramp, ClickUp e Loom.

2026-Q4

Planejado

Avaliação de prontidão

Análise de gaps conduzida pela Vanta e revisão humana de prontidão pela A-LIGN. Cobre políticas, controles de acesso, gestão de mudanças, gestão de fornecedores e criptografia, e identifica gaps remanescentes antes do início da janela de observação de 6 meses.

2027-Q1

Planejado

Início do período de auditoria

Começa a janela de observação de 6 meses. Coleta contínua de evidências — efetividade operacional dos controles ao longo do tempo, não em um único ponto.

2027-Q2

Planejado

Encerramento do período de auditoria

O auditor finaliza a revisão das evidências. Entrevista de saída e resposta da gestão. Começa a redação do relatório.

2027-Q3

Planejado

Emissão do relatório SOC 2 Type II

Relatório final disponível aos clientes sob NDA. Inicia-se a cadência anual de re-auditoria; o relatório é atualizado todo ano com um novo período de observação Type II.

Seleção de fornecedores

Optamos por ferramentas padrão do mercado em vez de construir um pipeline de compliance sob medida. Na fase pré-clientes, isso troca cerca de US$ 25 mil/ano por tempo de engenharia direcionado a produto.

Vanta — plataforma de automação de compliance

Coleta contínua de evidências de AWS, Stripe, Okta, GitHub e SES. Mais de 1500 clientes, incluindo Linear, Ramp, ClickUp e Loom. Módulos SOC 2 + GDPR + ISO 27001 + HIPAA na mesma plataforma.

A-LIGN — firma auditora

Maior parceira auditora da Vanta; cerca de 40% dos relatórios SOC 2 Type II gerados com Vanta passam pela A-LIGN. Especialidade em SaaS para PMEs. Preço intermediário e cerca de 3 semanas para entregar o relatório após o fim do período de auditoria.

Por que Type II e não Type I

O SOC 2 Type I atesta que os controles existiam em um momento específico; o Type II atesta que eles funcionaram de forma efetiva por um período (em geral 6 meses). Os times de TI enterprise descartam o Type I — é praticamente uma foto. O Type II é o que eles realmente pedem.

Pulamos o Type I e vamos direto para o Type II para evitar a armadilha do "marco inútil". Isso adiciona cerca de 6 meses ao cronograma, mas gera um relatório que os clientes realmente usam.

Precisa preencher um questionário de segurança hoje?

Até o SOC 2 Type II ser publicado no Q3 2027, oferecemos:

Respostas CAIQ-Lite à matriz padrão CSA Cloud Controls Matrix.

Respostas personalizadas a questionários específicos de cada fornecedor (importações de Vanta, Drata ou SecurityScorecard — geralmente 3 dias úteis).

Diagramas de arquitetura e descrições de fluxo de dados assinados pela liderança de engenharia.

Escreva para security@svdy.com