SOC 2 Type II: a engenharia que a auditoria não vê

Receber a certificação SOC 2 Type II é, em si, nada notável — toda empresa SaaS B2B eventualmente passa. O que vale escrever é sobre como 18 meses de preparação realmente mudaram nossa prática de engenharia. Recebemos nosso relatório SOC 2 Type II há duas semanas, e o que aprendemos no caminho importa mais do que o certificado em si.

O que esperávamos que o SOC 2 Type II fosse

Um exercício de documentação. Adicionar políticas, escrever runbooks, passar na auditoria. Voltar a entregar.

O que de fato foi

Mais ou menos metade dos 18 meses foi documentação. A outra metade foi encontrar e corrigir problemas estruturais que não percebíamos ser problemas.

O auditor encontrou três coisas em nossa infraestrutura que considerávamos “ok” e que objetivamente não eram:

1. Backups do banco eram criptografados em repouso, mas as chaves de criptografia estavam no mesmo KMS do banco. Ponto único de falha.
2. Tínhamos 11 service accounts com privilégios de admin e sem política de rotação. Rotacionávamos a cada 4 anos “quando alguém lembrava”.
3. Nosso processo de incident response tinha um passo onde o engenheiro de plantão “julgava a severidade”. Sem critérios. Só julgamento.

Cada um desses levou de 4 a 12 semanas para arrumar direito. O framework completo do AICPA dá mais cor a esse tipo de descoberta.

O ganho inesperado

Os ajustes em infraestrutura foram obviamente positivos. Mas o valor maior veio das mudanças de processo que fizemos no caminho — classificação de incidentes, rotação de chaves, reviews de acesso. Nenhuma dessas evita uma invasão por si só. Todas reduzem dramaticamente o raio de impacto quando algo dá errado.

Esperávamos que o SOC 2 Type II fosse um certificado de marketing. Acabou sendo o forçante que precisávamos de qualquer jeito — e cuja maior parte se materializou em decisões de engenharia que vão muito além de compliance.