Pular para o conteúdo principal

Certificações e Attestations

📥Download deste documento em formato editávelDOCX
Recomendado

Versão: 1.0 Última Atualização: [PREENCHER_DATA] Responsável: [PREENCHER_NOME] Próxima Revisão: [PREENCHER_DATA]

1. Objetivo

Este documento consolida todas as certificações de segurança da informação e privacidade obtidas pela organização, incluindo:

  • Certificações vigentes e seus escopos
  • Status de renovação e manutenção
  • Certificações em andamento
  • Roadmap de certificações planejadas
  • Attestations e relatórios disponíveis

2. Resumo Executivo

2.1 Status Geral

CertificaçãoStatusValidade
ISO 27001[OBTIDA/EM ANDAMENTO/PLANEJADA/N/A][DATA]
ISO 27701[OBTIDA/EM ANDAMENTO/PLANEJADA/N/A][DATA]
SOC 2 Type II[OBTIDA/EM ANDAMENTO/PLANEJADA/N/A][DATA]
SOC 2 Type I[OBTIDA/EM ANDAMENTO/PLANEJADA/N/A][DATA]
PCI DSS[OBTIDA/EM ANDAMENTO/PLANEJADA/N/A][DATA]

2.2 Linha do Tempo

2023          2024          2025          2026
──┬─────────────┬─────────────┬─────────────┬──
  │             │             │             │
  ▼             ▼             ▼             ▼
[EVENTO 1]  [EVENTO 2]  [EVENTO 3]  [EVENTO 4]

3. Certificações Obtidas

3.1 ISO/IEC 27001:2022

Status

[OBTIDA / EM ANDAMENTO / PLANEJADA]

Informações Gerais

CampoInformação
NormaISO/IEC 27001:2022
TítuloSistema de Gestão de Segurança da Informação
Status[CERTIFICADO/EM PROCESSO/PLANEJADO]
Número do Certificado[PREENCHER]
Data de Emissão[DD/MM/AAAA]
Data de Validade[DD/MM/AAAA]
Organismo Certificador[NOME DA CERTIFICADORA]
Organismo de Acreditação[INMETRO/UKAS/OUTROS]

Escopo da Certificação

[TRANSCREVER O ESCOPO EXATO CONFORME CERTIFICADO]

Exemplo: "Desenvolvimento, operação e suporte da plataforma SaaS, incluindo os processos de desenvolvimento de software, operações de infraestrutura cloud e atendimento ao cliente."

Declaração de Aplicabilidade (SoA)

ControlesTotalAplicáveisImplementados
Anexo A ISO 2700193[XX][XX]

Localidades Cobertas

LocalidadeEndereçoTipo
[NOME][ENDEREÇO]Sede/Escritório/Data Center
[NOME][ENDEREÇO]Sede/Escritório/Data Center

Auditorias

TipoDataResultadoPróxima
Certificação Inicial[DATA][APROVADO]N/A
Vigilância 1[DATA][APROVADO/PENDENTE][DATA]
Vigilância 2[DATA][APROVADO/PENDENTE][DATA]
Recertificação[DATA][APROVADO/PENDENTE][DATA]

Não Conformidades

AuditoriaMaioresMenoresStatus
[DATA][X][X][FECHADAS/ABERTAS]

3.2 ISO/IEC 27701:2019

Status

[OBTIDA / EM ANDAMENTO / PLANEJADA]

Informações Gerais

CampoInformação
NormaISO/IEC 27701:2019
TítuloExtensão para Gestão de Informações de Privacidade
Pré-requisitoISO 27001
Status[CERTIFICADO/EM PROCESSO/PLANEJADO]
Número do Certificado[PREENCHER]
Data de Emissão[DD/MM/AAAA]
Data de Validade[DD/MM/AAAA]
Organismo Certificador[NOME DA CERTIFICADORA]

Papel Certificado

PapelCertificado?Anexo Aplicável
Controlador (PII Controller)[SIM/NÃO]Anexo A
Operador (PII Processor)[SIM/NÃO]Anexo B

Escopo

[TRANSCREVER O ESCOPO EXATO]

Controles Específicos

SeçãoDescriçãoAplicáveisImplementados
7Orientações ISO 27002 para PIMS[XX][XX]
8Orientações adicionais (Operador)[XX][XX]

3.3 SOC 2 Type II

Status

[OBTIDA / EM ANDAMENTO / PLANEJADA]

Informações Gerais

CampoInformação
FrameworkSOC 2 (AICPA)
TipoType II
Status[EMITIDO/EM PROCESSO/PLANEJADO]
Período Coberto[DATA INÍCIO] a [DATA FIM]
Data do Relatório[DD/MM/AAAA]
Firma de Auditoria[NOME DA FIRMA CPA]

Trust Services Criteria Cobertos

CritérioIncluídoDescrição
Security[SIM/NÃO]Proteção contra acesso não autorizado
Availability[SIM/NÃO]Disponibilidade para operação
Processing Integrity[SIM/NÃO]Processamento completo e preciso
Confidentiality[SIM/NÃO]Proteção de informações confidenciais
Privacy[SIM/NÃO]Coleta e uso de informações pessoais

Escopo do Sistema

[DESCREVER O SISTEMA/SERVIÇO COBERTO PELO SOC 2]

Subservice Organizations

OrganizaçãoServiçoTipo de Carve-out
[PROVEDOR CLOUD]InfraestruturaInclusive/Carve-out
[OUTROS][SERVIÇO]Inclusive/Carve-out

Exceções/Qualificações

TipoDescriçãoImpacto
[EXCEÇÃO/QUALIFICAÇÃO][DESCRIÇÃO][IMPACTO]

Disponibilidade do Relatório

ItemInformação
Disponível mediante NDA[SIM/NÃO]
Bridge Letter disponível[SIM/NÃO]
Contato para solicitação[EMAIL]

3.4 Outras Certificações

PCI DSS (se aplicável)

CampoInformação
Versão[4.0/3.2.1]
Nível[1/2/3/4]
Status[CERTIFICADO/SAQ/N/A]
Validade[DATA]
QSA[NOME]

Certificações Específicas de Cloud

CertificaçãoProvedorStatus
AWS Well-ArchitectedAWS[STATUS]
Azure Security BenchmarkAzure[STATUS]
Google Cloud SecurityGCP[STATUS]

4. Certificações em Andamento

4.1 [NOME DA CERTIFICAÇÃO]

CampoInformação
Norma/Framework[NOME]
Fase Atual[GAP ANALYSIS/IMPLEMENTAÇÃO/AUDITORIA]
Previsão de Conclusão[DATA]
Responsável[NOME]
Consultor/Certificadora[NOME]

Cronograma

FaseInícioTérminoStatus
Gap Analysis[DATA][DATA][CONCLUÍDO/EM ANDAMENTO/PENDENTE]
Remediação de Gaps[DATA][DATA][CONCLUÍDO/EM ANDAMENTO/PENDENTE]
Auditoria Interna[DATA][DATA][CONCLUÍDO/EM ANDAMENTO/PENDENTE]
Auditoria de Certificação[DATA][DATA][CONCLUÍDO/EM ANDAMENTO/PENDENTE]

Investimento

ItemValor Estimado
ConsultoriaR$ [VALOR]
CertificaçãoR$ [VALOR]
FerramentasR$ [VALOR]
TotalR$ [VALOR]

5. Roadmap de Certificações

5.1 Planejamento Estratégico

AnoCertificaçãoJustificativaPrioridade
[ANO]ISO 27001Base para programa de segurançaAlta
[ANO]ISO 27701Conformidade LGPD demonstrávelAlta
[ANO]SOC 2 Type IIRequisito de clientes enterpriseMédia
[ANO+1][OUTRAS][JUSTIFICATIVA][PRIORIDADE]

5.2 Dependências

ISO 27001 ──────┐
                ├──▶ ISO 27701
ISO 27002 ──────┘

ISO 27001 ──────▶ SOC 2 Type II (facilita)

5.3 Recursos Necessários

Recurso[ANO][ANO+1][ANO+2]
OrçamentoR$ [X]R$ [X]R$ [X]
Headcount dedicado[X] FTE[X] FTE[X] FTE
Consultoria externa[SIM/NÃO][SIM/NÃO][SIM/NÃO]

6. Attestations e Relatórios Disponíveis

6.1 Documentos para Due Diligence

DocumentoDisponibilidadeRequisitos
Certificado ISO 27001PúblicaN/A
Certificado ISO 27701PúblicaN/A
SOC 2 Type II ReportMediante NDAAssinatura de NDA
SOC 2 Bridge LetterMediante NDAAssinatura de NDA
Pentest Executive SummaryMediante NDAAssinatura de NDA
SoA (Statement of Applicability)RestritaAvaliação caso a caso

6.2 Processo de Solicitação

Para solicitar documentos:

  1. Enviar solicitação para: [EMAIL]
  2. Informar: empresa solicitante, motivo, documentos desejados
  3. Aguardar análise (até 5 dias úteis)
  4. Se aprovado, assinar NDA (quando aplicável)
  5. Receber documentos via canal seguro

6.3 Self-Assessments

AssessmentFrequênciaÚltima DataResultado
VSA (Vendor Security Assessment)Sob demanda[DATA][SCORE]
SIG LiteAnual[DATA][SCORE]
CAIQ (CSA)Anual[DATA]Disponível

7. Manutenção das Certificações

7.1 Calendário de Auditorias

CertificaçãoTipoData PrevistaResponsável
ISO 27001Vigilância[DATA][NOME]
ISO 27701Vigilância[DATA][NOME]
SOC 2Renovação[DATA][NOME]

7.2 Atividades de Manutenção

AtividadeFrequênciaPróxima Execução
Auditoria internaAnual[DATA]
Análise crítica pela direçãoSemestral[DATA]
Revisão de políticasAnual[DATA]
Atualização de riscosTrimestral[DATA]
Testes de controlesContínuoN/A

7.3 Custos Anuais de Manutenção

CertificaçãoCusto AnualObservações
ISO 27001R$ [VALOR]Vigilância + taxas
ISO 27701R$ [VALOR]Incluído na 27001 ou separado
SOC 2R$ [VALOR]Auditoria anual
TotalR$ [VALOR]

8. Contatos

FunçãoNomeE-mail
Responsável por Certificações[NOME][EMAIL]
DPO[NOME][EMAIL]
CISO[NOME][EMAIL]
Solicitação de DocumentosN/A[EMAIL]

9. Anexos

9.1 Cópias de Certificados

CertificadoAnexo
ISO 27001[LINK/ARQUIVO]
ISO 27701[LINK/ARQUIVO]
SOC 2 Cover Letter[LINK/ARQUIVO]

9.2 Documentos Relacionados

  • Gap Analysis ISO 27701
  • Declaração de Conformidade LGPD
  • Política de Segurança da Informação
  • Statement of Applicability (SoA)

10. Controle de Versões

VersãoDataAutorAlterações
1.0[DATA][NOME]Versão inicial

Este documento deve ser atualizado sempre que houver alteração no status das certificações.