SOC 2 não é primariamente um questionário de segurança — é uma auditoria de operações. Os critérios de confiança mais rigorosamente avaliados pelos auditores são disponibilidade, gestão de mudanças e integridade do processamento: exatamente os controles que dependem de execução recorrente e com evidência por múltiplas pessoas e times.
Os controles que quebram com mais frequência em revisões SOC 2 não são os que nunca foram construídos. São os que existem no papel mas nunca foram executados de forma consistente: solicitações de mudança fechadas sem registro de aprovação jurídica, revisões de acesso realizadas sem evidência documentada, avaliações de continuidade de fornecedores sem owner nomeado e sem documento anexado.
Controle 1: Aprovações de gestão de mudanças. Todo deploy em produção deve passar por revisão técnica, avaliação de segurança e validação pós-implantação. No Cadenio, cada etapa é um gate de aprovação com campo de evidência obrigatório. Um deploy não pode ser marcado como concluído sem os três gates terem sido liberados — e o log de atividades do run registra quem aprovou o quê e quando.
Controle 2: Revisão de acesso lógico. Revisões trimestrais são mandatórias na maioria dos escopos SOC 2, mas o padrão de falha não é pulá-las — é realizá-las sem nenhuma trilha de auditoria. No Cadenio, o run de revisão programada abre automaticamente, as tarefas são atribuídas aos donos de cada sistema, e o run não pode fechar sem decisões documentadas sobre cada conta revisada. O SLA garante que nenhum trimestre passe sem o início da revisão.
Controle 3: Timelines de resposta a incidentes. O tempo de detecção ao contenimento é medido em auditorias SOC 2. Com resposta a incidentes via Slack, os timestamps são informais. No Cadenio, o registro de detecção é uma tarefa obrigatória com timestamp rígido. As ações de contenimento têm owners e janelas de SLA explícitas. Se o tempo da detecção ao contenimento inicial excede o alvo de política, o alerta de SLA dispara e fica registrado no run.
Controles 4 a 6 seguem o mesmo padrão: avaliações de risco de fornecedor com SLA de renovação e anexo obrigatório de questionário, testes de continuidade do negócio com fechamento dependente de evidência, e conclusão de treinamento de segurança rastreada por run em vez de planilha. Cada um converte um processo recorrente de linguagem de política em um Flow operacional com accountability e evidência incorporados.
Quando os auditores chegam, o pacote de evidência de cada ciclo de controle não é reconstituído a partir de e-mails — é recuperado do histórico de runs. Cada run concluído carrega o log completo de atividades: quem executou, o que foi aprovado, quando cada gate foi liberado e o que foi anexado. O tempo de resposta a uma solicitação de auditor para um controle gerenciado no Cadenio cai de dias para minutos.