A ISO 27001 e o SOC 2 aparecem quase sempre juntos, mencionados na mesma frase e como se fossem intercambiáveis. Ambos provam a terceiros que a tua empresa protege bem a sua informação, mas nascem em continentes diferentes, estão estruturados de forma distinta e não têm o mesmo peso consoante quem os tenha de ler. Confundi-los pode levar-te a investir meses de trabalho e um orçamento considerável naquele que o teu mercado nem sequer te está a pedir.
E, ainda assim, têm muito em comum. Ambos assentam numa auditoria externa, partilham cerca de 80% dos seus controlos e procuram o mesmo, gerar confiança junto de clientes e parceiros. A diferença está sobretudo na forma como o comprovam e perante quem.
Neste artigo explicamos-te o que é cada um, em que se distinguem e quando faz sentido apostar num, no outro ou em ambos, para que saibas exatamente o que o mercado te está a pedir e do que a tua empresa precisa.
O que é a ISO 27001?
A ISO 27001 (oficialmente ISO/IEC 27001) é a norma internacional que estabelece os requisitos para implementar, manter e melhorar um Sistema de Gestão da Segurança da Informação (SGSI). A sua última versão é de outubro de 2022 e é a referência mais reconhecida do mundo nesta matéria, presente em mais de 150 países.
A sua grande particularidade é que é certificável. Qualquer organização, seja qual for a sua dimensão ou setor, pode submeter-se a uma auditoria externa realizada por uma entidade acreditada (em Portugal, acreditada pelo IPAC) e obter um certificado oficial com validade internacional. Esse certificado tem uma validade de três anos, com auditorias anuais de acompanhamento.
A norma está organizada em dois blocos. Por um lado, as cláusulas obrigatórias (da 4 à 10), que definem como construir e operar o SGSI. Por outro, o Anexo A, com 93 controlos de segurança agrupados em quatro categorias. Cada organização justifica quais se lhe aplicam na sua Declaração de Aplicabilidade (SoA). É, além disso, o ponto de partida habitual para abordar outras normativas europeias como a diretiva NIS2 ou o Regime Jurídico da Segurança do Ciberespaço.
Pontos-chave da ISO 27001
- Norma internacional: a norma de referência para Sistemas de Gestão da Segurança da Informação (SGSI).
- Certificável: uma entidade acreditada emite um certificado oficial com validade de três anos e auditorias anuais de acompanhamento.
- Abordagem de gestão: define o que a organização tem de fazer para gerir a sua segurança de forma contínua.
- 93 controlos: o Anexo A reúne os controlos de segurança, organizados em quatro categorias (organizacionais, de pessoas, físicos e tecnológicos).
- Reconhecimento global: especialmente valorizada na UE, no Reino Unido, no setor público e por clientes internacionais.
- Base para outras normativas: ponto de partida habitual para cumprir a NIS2 e os demais deveres de cibersegurança.
O que é o SOC 2?
O SOC 2 (System and Organization Controls 2) é um referencial de auditoria desenvolvido pela AICPA (American Institute of Certified Public Accountants), o organismo norte-americano dos contabilistas certificados. Avalia como uma organização de serviços protege os dados que os clientes lhe confiam e é especialmente comum entre empresas SaaS, fornecedores cloud e empresas tecnológicas.
Ao contrário da ISO 27001, o SOC 2 não é uma certificação. A auditoria resulta num relatório de atestação emitido por uma firma de CPA (contabilistas certificados autorizados nos Estados Unidos), no qual o auditor dá a sua opinião sobre a conceção e o funcionamento dos controlos da empresa. Não existe um «certificado SOC 2» para pendurar na parede. O que recebes é um relatório detalhado que os clientes ou investidores leem, normalmente ao abrigo de um acordo de confidencialidade.
A avaliação assenta em cinco Critérios de Serviços de Confiança (Trust Services Criteria), dos quais apenas o da segurança é obrigatório. Cada empresa decide quais dos outros quatro inclui, o que faz do SOC 2 um referencial flexível em que cada organização define o seu próprio âmbito. Esse relatório pode ser de Tipo I, que avalia a conceção dos controlos num momento concreto, ou de Tipo II, que mede também a sua eficácia ao longo de um período de seis a doze meses e é considerado a garantia mais sólida.
Pontos-chave do SOC 2
- Referencial norte-americano: desenvolvido pela AICPA e muito difundido nos EUA e no ecossistema SaaS.
- Relatório, não certificação: o resultado é um relatório de atestação emitido por uma firma de CPA.
- Cinco Critérios de Serviços de Confiança: segurança (obrigatório), disponibilidade, integridade do processamento, confidencialidade e privacidade.
- Âmbito flexível: cada empresa define os controlos e os critérios que quer incluir na auditoria.
- Tipo I e Tipo II: o Tipo I avalia a conceção dos controlos e o Tipo II a sua eficácia ao longo de um período de tempo.
- Orientado a clientes e investidores: comum em processos de due diligence e na seleção de fornecedores nos EUA.
Diferenças entre a ISO 27001 e o SOC 2
Embora partilhem grande parte dos controlos e persigam o mesmo objetivo de proteger a informação, funcionam de forma diferente. A ISO 27001 certifica um sistema de gestão completo. O SOC 2 emite um relatório sobre um conjunto de controlos selecionados. Estas são as principais diferenças entre ambos.
| Critério | ISO 27001 | SOC 2 |
|---|---|---|
| Origem | ISO/IEC (internacional) | AICPA (Estados Unidos) |
| Tipo de resultado | Certificação oficial | Relatório de atestação |
| Quem audita | Entidade de certificação acreditada | Firma de CPA autorizada |
| O que recebes | Certificado com resultado aprovado ou não aprovado | Relatório detalhado com a opinião do auditor |
| Abordagem | Requisitos de um SGSI completo | Controlos sobre um serviço específico |
| Flexibilidade | Prescritivo, estrutura padronizada | Flexível, a empresa define o âmbito |
| Reconhecimento | Global, muito valorizado na UE | Predominante nos EUA |
| Validade | Três anos com auditorias anuais | O Tipo II cobre um período de 6 a 12 meses |
| Modalidades | Certificação única | Tipo I e Tipo II |
Quando escolher a ISO 27001 ou o SOC 2?
Na prática, a escolha depende menos de qual é «melhor» e mais de onde estão os teus clientes e do que te estão a pedir. Os dois referenciais são sólidos e partilham cerca de 80% dos controlos, por isso trabalhar um adianta boa parte do outro.
Se o teu mercado é europeu, se vendes ao setor público ou se concorres a concursos públicos, a opção natural é a ISO 27001. É o padrão que reguladores, administrações e clientes enterprise reconhecem na UE, e encaixa com normativas como o RGPD, a NIS2 ou o Regime Jurídico da Segurança do Ciberespaço. Para a maioria das empresas portuguesas que querem demonstrar maturidade em segurança, é o ponto de partida.
Se os teus clientes ou os teus investidores estão nos Estados Unidos, sobretudo na área SaaS ou tecnológica, o mais provável é que te peçam um relatório SOC 2. Em muitos processos de compra norte-americanos tornou-se um requisito de facto, ao ponto de alguns clientes não avançarem com um fornecedor que não o consiga mostrar.
E se a tua empresa opera dos dois lados do Atlântico, o mais sensato é ponderar os dois. Aqui a ordem importa. O mais eficiente costuma ser certificar primeiro a ISO 27001, que estrutura todo o SGSI, e apoiar-se depois nesse trabalho para o relatório SOC 2. Fazer o contrário costuma sair mais caro, porque obriga a montar todo o sistema de gestão sobre uma base que não foi pensada para isso.
Como é que o Factorial IT te ajuda com a ISO 27001 e o SOC 2?
A ISO 27001 e o SOC 2 pedem o mesmo tipo de evidências técnicas, mas a partir de ângulos diferentes. A ISO avalia se o controlo está integrado no teu sistema de gestão. O SOC 2 verifica se funciona de forma continuada durante o período auditado. O Factorial IT gera essas evidências de forma automática, com a operação do dia a dia, que é precisamente o que um auditor de Tipo II valida.

Na prática, cobre os controlos de acessos, dispositivos e inventário que ambos os referenciais analisam. Para a ISO 27001 ficam documentados e exportáveis para a Declaração de Aplicabilidade. Para o SOC 2 alimentam o critério de segurança, com o offboarding sincronizado com o RH a cortar os acessos no momento da saída e a deixar registo disso.
- Inventário de ativos de TI: catálogo automático de dispositivos, software e acessos, exportável como evidência para a SoA da ISO 27001 e para o âmbito do SOC 2.
- Gestão de acessos: permissões às ferramentas SaaS atribuídas e revogadas por função, a base do controlo A.5.15 da ISO e do critério de segurança do SOC 2.
- Segurança dos dispositivos: encriptação, palavras-passe e bloqueio aplicados em cada equipamento, com registo do estado para demonstrar o controlo de forma continuada.
- Offboarding seguro: quando um colaborador é desativado no RH, todos os seus acessos são fechados sem intervenção manual e fica registo disso para o auditor.
- Evidências de auditoria: relatórios de conformidade gerados de forma automática, prontos a exportar tanto na certificação ISO como no relatório de Tipo II.

