When você're prepping o seu primeiro SOC 2 auditoria, mapear cada Trust Service Criteria na matriz de controlos você can entregar para o auditor. — Claude Skill
Um Skill Claude para Claude Code por Alireza Rezvani — executar /soc2-compliance no Claude·Atualizado em 18 de jun. de 2026
criar SOC 2 matriz de controlos e lacuna analysis para primeiro-time auditorias.
- primeiro-time SOC 2 auditoria prep: Type I ou Type II readiness assessment
- Trust Service Criteria mapped para a matriz de controlos template
- lacuna analysis: which controls are em falta, which precisar de evidência, which are weak
- fornecedor management section para subprocessador revê
- Output: matriz de controlos plus lacuna relatório plus auditoria-readiness checklist
Para quem é
O que faz
o seu CEO promised o largest negócio in pipe a SOC 2 relatório. você've never done one. Walk o framework: which TSC categories apply (most SaaS = CC1-CC9 plus A1), what's a Type I vs Type II in o seu case, what controls você already have, what's em falta.
Auditor wants o matriz de controlos antes kickoff. Walk o seu setup, gerar o table mapping each criterion para o seu atual control (com evidência reference) ou lacuna (com remediation step).
Auditor flagged subprocessador revê as weak. criar o fornecedor inventário, classify by dados sensitivity, attach último rever date plus SOC 2 relatório status, surface o fornecedores com no rever in 12+ months.
você passed Type II. o auditor returns in 12 months. Set up o rhythm: which evidência collects automatically, which precisa de trimestral rever, what early-warning sinais matter.
Como funciona
Start by describing o seu business: SaaS produto, hosting, cliente dados types, auditoria type (I ou II), equipa size.
Walk through Trust Service Criteria one by one. para each: do você have a control? Where's o evidência? Is it operating?
Skill cria o matriz de controlos: each criterion mapped para a control description, an evidência pointer, e a status (in place, partial, em falta).
lacuna analysis ordena em falta ou weak controls by auditoria risco e remediation effort.
Output: matriz de controlos as markdown table plus lacuna relatório plus auditoria-readiness checklist plus fornecedor inventário.
Exemplo
SaaS PM tool, primeiro SOC 2 auditoria, cliente pushing para Type II. We have Okta SSO, GitHub, AWS, Stripe, HubSpot. No security equipa yet.
Type I now (3 months prep plus 1 month auditoria), then Type II observation 6 months later. primeiro-time orgs sem security equipas deve NOT go directly para Type II.
27 controls mapped. In place: 14 (CC2-CC5 mostly política docs, plus Okta-driven access). Partial: 8 (CC6 precisa de evidência centralisation, CC7 vulnerability scanning em falta). em falta: 5 (CC8 change-management formal processo, CC9 fornecedor revê).
1. Formal CC8 change-management política plus GitHub PR rever enforcement. 2. CC9 fornecedor inventário plus sub-processor revê para AWS, Stripe, HubSpot. 3. CC7.4 vulnerability scanning cadence (semanal plus post-deploy). 4. CC6.8 trimestral access rever. 5. CC2.3 risco-assessment doc.
antes kickoff com auditor: política docs centralised, matriz de controlos shared, evidência folder structure created (one per criterion), fornecedor inventário complete, último 90 days de access-rever logs exported.
Métricas que melhora
Funciona com
Usado como fonte de dados ou contexto de Google Sheets para produzir um resultado mais completo e verificável.
fornecedor agreements e subprocessador attestations para CC9
Usado como fonte de dados ou contexto de Jira para produzir um resultado mais completo e verificável.
Usado como fonte de dados ou contexto de Notion para produzir um resultado mais completo e verificável.
Quer usar Conformidade SOC 2?
Escolha como começar.
Instale e execute este skill localmente no seu computador.
Abra um terminal no seu computador e cole este comando:
Isto descarrega o skill com todos os ficheiros para o seu computador:
Adicione -g no fim para o tornar disponível em todos os seus projetos.
Inicie o Claude Code, depois escreva o comando:
SOC 2 conformidade
SOC 2 Type I e Type II conformidade preparation para SaaS companies. Covers Trust Service Criteria mapping, matriz de controlos generation, evidência collection, lacuna analysis, e auditoria readiness assessment.
Table de Contents
- Overview
- Trust Service Criteria
- matriz de controlos Generation
- lacuna Analysis workflow
- evidência Collection
- auditoria Readiness checklist
- fornecedor Management
- Continuous conformidade
- Anti-Patterns
- Tools
- References
- Cross-References
Overview
What Is SOC 2?
SOC 2 (System e Organization Controls 2) is an auditing framework developed by o AICPA that evaluates how a service organization manages cliente dados. It applies para qualquer technology company that stores, processos, ou transmits cliente information — primarily SaaS, cloud infrastructure, e managed service providers.
Type I vs Type II
| Aspect | Type I | Type II |
|---|---|---|
| Scope | Design de controls at a point in time | Design AND operating effectiveness over a period |
| Duration | Snapshot (single date) | Observation window (3-12 months, typically 6) |
| evidência | Control descriptions, políticas | Control descriptions + operating evidência (logs, tickets, screenshots) |
| Cost | $20K-$50K (auditoria fees) | $30K-$100K+ (auditoria fees) |
| Timeline | 1-2 months (auditoria phase) | 6-12 months (observation + auditoria) |
| Best para | primeiro-time conformidade, rapid market precisar de | Mature organizations, enterprise clientes |
Who precisa de SOC 2?
- SaaS companies selling para enterprise clientes
- Cloud infrastructure providers handling cliente workloads
- dados processors managing PII, PHI, ou financial dados
- Managed service providers com access para cliente systems
- qualquer fornecedor whose clientes require third-party assurance
Typical Journey
lacuna Assessment → Remediation → Type I auditoria → Observation Period → Type II auditoria → Annual Renewal
(4-8 wk) (8-16 wk) (4-6 wk) (6-12 mo) (4-6 wk) (ongoing)
Trust Service Criteria
SOC 2 is organized around five Trust Service Criteria (TSC) categories. Security is obrigatório para cada SOC 2 relatório; o remaining four are opcional e selected based on business precisar de.
Security (Common Criteria CC1-CC9) — obrigatório
o foundation de cada SOC 2 relatório. mapeia para COSO 2013 principles.
| Criteria | Domain | Key Controls |
|---|---|---|
| CC1 | Control Environment | Integrity/ethics, board oversight, org structure, competence, accountability |
| CC2 | Communication & Information | Internal/external communication, information qualidade |
| CC3 | risco Assessment | risco identification, fraud risco, change impacto analysis |
| CC4 | Monitoring Activities | Ongoing monitoring, deficiency evaluation, corrective ações |
| CC5 | Control Activities | políticas/procedures, technology controls, deployment through políticas |
| CC6 | Logical & Physical Access | Access provisioning, authentication, encryption, physical restrictions |
| CC7 | System operações | Vulnerability management, anomaly detection, incidente resposta |
| CC8 | Change Management | Change authorization, testing, aprovação, emergency changes |
| CC9 | risco mitigação | fornecedor/business partner risco management |
Availability (A1) — opcional
| Criteria | Focus | Key Controls |
|---|---|---|
| A1.1 | Capacity management | Infrastructure scaling, resource monitoring, capacity planning |
| A1.2 | Recovery operações | Backup procedures, disaster recovery, BCP testing |
| A1.3 | Recovery testing | DR drills, failover testing, RTO/RPO validation |
Select when: clientes depend on o seu uptime; você have SLAs; downtime causes direct impacto de negócio.
Confidentiality (C1) — opcional
| Criteria | Focus | Key Controls |
|---|---|---|
| C1.1 | Identification | dados classification política, confidential dados inventário |
| C1.2 | Protection | Encryption at rest e in transit, DLP, access restrictions |
| C1.3 | Disposal | Secure deletion procedures, media sanitization, retenção enforcement |
Select when: você handle trade secrets, proprietary dados, ou contractually confidential information.
Processing Integrity (PI1) — opcional
| Criteria | Focus | Key Controls |
|---|---|---|
| PI1.1 | precisão | Input validation, processing verifica, output verification |
| PI1.2 | Completeness | Transaction monitoring, reconciliation, error handling |
| PI1.3 | Timeliness | SLA monitoring, processing delay alerts, batch job monitoring |
| PI1.4 | Authorization | Processing authorization controls, segregation de duties |
Select when: dados precisão is critical (financial processing, healthcare records, analytics platforms).
Privacy (P1-P8) — opcional
| Criteria | Focus | Key Controls |
|---|---|---|
| P1 | Notice | Privacy política, dados collection notice, purpose limitation |
| P2 | Choice & Consent | Opt-in/opt-out, consent management, preference tracking |
| P3 | Collection | Minimal collection, lawful basis, purpose specification |
| P4 | usar, retenção, Disposal | Purpose limitation, retenção schedules, secure disposal |
| P5 | Access | dados subject access pedidos, correction rights |
| P6 | Disclosure & Notification | Third-party sharing, breach notification |
| P7 | qualidade | dados precisão verification, correction mechanisms |
| P8 | Monitoring & Enforcement | Privacy program monitoring, complaint handling |
Select when: você processo PII e clientes expect privacy assurance (complements GDPR conformidade).
matriz de controlos Generation
A matriz de controlos mapeia each TSC criterion para specific controls, responsáveis, evidência, e testing procedures.
Matrix Structure
| campo | Description |
|---|---|
| Control ID | Unique identifier (e.g., SEC-001, AVL-003) |
| TSC Mapping | Which criteria o control addresses (e.g., CC6.1, A1.2) |
| Control Description | What o control does |
| Control Type | Preventive, Detective, ou Corrective |
| responsável | Responsible person/team |
| Frequency | Continuous, diário, semanal, mensal, trimestral, Annual |
| evidência Type | Screenshot, Log, política, Config, ticket |
| Testing Procedure | How o auditor verifies o control |
Control Naming Convention
{CATEGORY}-{NUMBER}
SEC-001 through SEC-NNN → Security
AVL-001 through AVL-NNN → Availability
CON-001 through CON-NNN → Confidentiality
PRI-001 through PRI-NNN → Processing Integrity
PRV-001 through PRV-NNN → Privacy
workflow
- Select applicable TSC categories based on business precisa de
- Run ¤KEEP0¤ para gerar o baseline matrix
- Customize controls para match o seu actual environment
- atribuir responsáveis e evidência requirements
- validar cobertura — cada selected TSC criterion devem have at least one control
lacuna Analysis workflow
Phase 1: atual declarar Assessment
- Document existing controls — inventário todos security políticas, procedures, e technical controls
- mapear para TSC — alinhar existing controls para Trust Service Criteria
- Collect evidência samples — gather proof that controls exist e operate
- Interview control responsáveis — verify understanding e execution
Phase 2: lacuna Identification
Run ¤KEEP0¤ against o seu atual controls para identify:
- em falta controls — TSC criteria com no corresponding control
- Partially implemented — Control exists but lacks evidência ou consistency
- Design lacunas — Control designed but does não adequately address o criteria
- Operating lacunas (Type II only) — Control designed correctly but não operating effectively
Phase 3: Remediation Planning
para each lacuna, define:
| campo | Description |
|---|---|
| lacuna ID | Reference identifier |
| TSC Criteria | Affected criteria |
| lacuna Description | What is em falta ou insufficient |
| Remediation ação | Specific steps para close o lacuna |
| responsável | Person responsible para remediation |
| prioridade | Critical / High / Medium / Low |
| Target Date | Completion deadline |
| Dependencies | Other lacunas ou projects that devem complete primeiro |
Phase 4: Timeline Planning
| prioridade | Target Remediation |
|---|---|
| Critical | 2-4 weeks |
| High | 4-8 weeks |
| Medium | 8-12 weeks |
| Low | 12-16 weeks |
evidência Collection
evidência Types by Control Category
| Control Area | Primary evidência | Secondary evidência |
|---|---|---|
| Access Management | utilizador access revê, provisioning tickets | Role matrix, access logs |
| Change Management | Change tickets, aprovação records | Deployment logs, test results |
| incidente resposta | incidente tickets, postmortems | Runbooks, escalamento records |
| Vulnerability Management | Scan relatórios, patch records | Remediation timelines |
| Encryption | Configuration screenshots, certificate inventário | Key rotation logs |
| Backup & Recovery | Backup logs, DR test results | Recovery time measurements |
| Monitoring | Alert configurations, dashboard screenshots | On-call schedules, escalamento records |
| política Management | Signed políticas, version history | Training completion records |
| fornecedor Management | fornecedor assessments, SOC 2 relatórios | contrato revê, risco registers |
Automation oportunidades
| Area | Automation Approach |
|---|---|
| Access revê | Integrate IAM com ticketing (automatic trimestral rever gatilhos) |
| Configuration evidência | Infrastructure-as-code snapshots, conformidade-as-code tools |
| Vulnerability scans | Scheduled scanning com auto-generated relatórios |
| Change management | Git-based auditoria trail (commits, PRs, aprovações) |
| Uptime monitoring | automatizado SLA dashboards com historical dados |
| Backup verification | automatizado restore tests com success/failure logging |
Continuous Monitoring
Move a partir de point-in-time evidência collection para continuous conformidade:
- automatizado evidência gathering — scripts that pull evidência on schedule
- Control dashboards — real-time visibility em control status
- Alert-based monitoring — notify when a control drifts out de conformidade
- evidência repository — centralized, timestamped evidência storage
auditoria Readiness checklist
Pre-auditoria Preparation (4-6 Weeks antes)
- todos controls documented com descriptions, responsáveis, e frequencies
- evidência collected para o entire observation period (Type II)
- matriz de controlos reviewed e lacunas remediated
- políticas signed e distributed dentro do último 12 months
- Access revê completed dentro do obrigatório frequency
- Vulnerability scans atual (no critical/high unpatched > SLA)
- incidente resposta plano tested dentro do último 12 months
- fornecedor risco assessments atual para todos subservice organizations
- DR/BCP tested e documented dentro do último 12 months
- Employee security training completed para todos staff
Readiness Scoring
| pontuação | Rating | Meaning |
|---|---|---|
| 90-100% | auditoria pronto | Proceed com confiança |
| 75-89% | Minor lacunas | Address antes scheduling auditoria |
| 50-74% | Significant lacunas | Remediation obrigatório |
| < 50% | não pronto | Major program criar-out needed |
Common auditoria Findings
| Finding | Root Cause | Prevention |
|---|---|---|
| Incomplete access revê | manual processo, no reminders | Automate trimestral rever gatilhos |
| em falta change aprovações | Emergency changes bypass processo | Define emergency change procedure com post-hoc aprovação |
| Stale vulnerability scans | Scanner misconfigured | automatizado semanal scans com alerting |
| política não acknowledged | No tracking mechanism | Annual e-assinatura workflow |
| em falta fornecedor assessments | No fornecedor inventário | Maintain fornecedor register com rever schedule |
fornecedor Management
Third-Party risco Assessment
cada fornecedor that accesses, stores, ou processos cliente dados devem be assessed:
- fornecedor inventário — maintain a register de todos service providers
- risco classification — categorize fornecedores by dados access level
- Due diligence — collect SOC 2 relatórios, security questionnaires, certifications
- Contractual protections — ensure DPAs, security requirements, breach notification cláusulas
- Ongoing monitoring — annual reassessment, continuous news monitoring
fornecedor risco Tiers
| Tier | dados Access | Assessment Frequency | Requirements |
|---|---|---|---|
| Critical | processos/stores cliente dados | Annual + continuous monitoring | SOC 2 Type II, penetration test, security rever |
| High | Accesses cliente environment | Annual | SOC 2 Type II ou equivalent, questionnaire |
| Medium | Indirect access, suporte tools | Annual questionnaire | Security certifications, questionnaire |
| Low | No dados access | Biennial questionnaire | Basic security questionnaire |
Subservice Organizations
When o seu SOC 2 relatório relies on controls at a subservice organization (e.g., AWS, GCP, Azure):
- Inclusive method — o seu relatório covers o subservice org's controls (requires their cooperation)
- Carve-out method — o seu relatório excludes their controls but references their SOC 2 relatório
- Most companies usar carve-out e incluir complementary utilizador entity controls (CUECs)
Continuous conformidade
a partir de Point-in-Time para Continuous
| Aspect | Point-in-Time | Continuous |
|---|---|---|
| evidência collection | manual, antes auditoria | automatizado, ongoing |
| Control monitoring | Periodic rever | Real-time dashboards |
| Drift detection | Found during auditoria | Alert-based, immediate |
| Remediation | Reactive | Proactive |
| auditoria preparation | 4-8 week scramble | Always pronto |
Implementation Steps
- Automate evidência gathering — cron jobs, API integrations, IaC snapshots
- criar control dashboards — aggregate control status na single view
- Configure drift alerts — notify when controls fall out de conformidade
- Establish rever cadence — semanal control responsável verificar-ins, mensal steering
- Maintain evidência repository — centralized, timestamped, auditor-accessible
Annual Re-Assessment Cycle
| Quarter | Activities |
|---|---|
| Q1 | Annual risco assessment, política refresh, fornecedor reassessment lançar |
| Q2 | Internal control testing, remediation de findings |
| Q3 | Pre-auditoria readiness rever, evidência completeness verificar |
| Q4 | External auditoria, management assertion, relatório distribution |
Anti-Patterns
| Anti-Pattern | Why It Fails | Better Approach |
|---|---|---|
| Point-in-time conformidade | Controls degrade between auditorias; lacunas found during auditoria | Implement continuous monitoring e automatizado evidência |
| manual evidência collection | Time-consuming, inconsistent, error-prone | Automate com scripts, IaC, e conformidade platforms |
| em falta fornecedor assessments | Auditors assinalar incomplete fornecedor due diligence | Maintain fornecedor register com risco-tiered assessment schedule |
| copy-paste políticas | Generic políticas don't match actual operações | Tailor políticas para o seu actual environment e technology stack |
| Security theater | Controls exist on paper but aren't followed | Verify operating effectiveness; criar controls em workflows |
| Skipping Type I | Jumping para Type II sem foundational readiness | Start com Type I para validar control design antes observation |
| Over-scoping TSC | Including todos 5 categories when only Security is needed | Select categories based on actual cliente/business requirements |
| Treating auditoria as a project | conformidade degrades depois o relatório is issued | criar conformidade em diário operações e engenharia culture |
Tools
matriz de controlos Builder
gera a SOC 2 matriz de controlos a partir de selected TSC categories.
# gerar full security matrix in markdown
python scripts/control_matrix_builder.py --categories security --format md
# gerar matrix para multiple categories as JSON
python scripts/control_matrix_builder.py --categories security,availability,confidentiality --format json
# todos categories, CSV output
python scripts/control_matrix_builder.py --categories security,availability,confidentiality,processing-integrity,privacy --format csv
evidência Tracker
Tracks evidência collection status per control.
# verificar evidência status a partir da matriz de controlos
python scripts/evidence_tracker.py --matrix controls.json --status
# JSON output para integration
python scripts/evidence_tracker.py --matrix controls.json --status --json
lacuna Analyzer
Analyzes atual controls against SOC 2 requirements e identifies lacunas.
# Type I lacuna analysis
python scripts/gap_analyzer.py --controls current_controls.json --type type1
# Type II lacuna analysis (inclui operating effectiveness)
python scripts/gap_analyzer.py --controls current_controls.json --type type2 --json
References
- Trust Service Criteria Reference — todos 5 TSC categories com sub-criteria, control objetivos, e evidência examples
- evidência Collection Guide — evidência types per control, automation tools, documentation requirements
- Type I vs Type II Comparison — Detailed comparison, timeline, cost analysis, e upgrade path
Cross-References
- gdpr-dsgvo-expert — SOC 2 Privacy criteria overlaps significantly com GDPR requirements; usar together when processing EU personal dados
- information-security-manager-iso27001 — ISO 27001 Annex A controls mapear closely para SOC 2 Security criteria; organizations pursuing both can share evidência
- isms-auditoria-expert — auditoria methodology e finding management patterns transfer directly para SOC 2 auditoria preparation