SOC 2 não é questionário de segurança. É uma auditoria de operações. Os critérios de confiança que os auditores examinam com mais rigor, disponibilidade, gestão de mudanças, integridade do processamento, são exatamente os controles que dependem de execução recorrente e evidenciada por múltiplas pessoas e times. Se os processos não são estruturados, as evidências não sustentam.
Os controles que quebram com mais frequência em revisões SOC 2 não são os que nunca foram construídos. São os que existem no papel mas nunca foram executados de forma consistente. Solicitações de mudança fechadas sem registro de aprovação jurídica. Revisões de acesso realizadas sem evidência documentada. Avaliações de continuidade de fornecedores sem owner nomeado e sem documento anexado. A política existia. O registro de execução, não.
Controle 1: Aprovações de gestão de mudanças. Todo deploy em produção deve passar por revisão técnica, avaliação de segurança e validação pós-implantação. No Cadenio, cada etapa é um etapa de aprovação com campo de evidência obrigatório. Um deploy não pode ser marcado como concluído sem os três gates liberados, e o log do run registra quem aprovou o quê e quando. Chega de 'acho que o jurídico viu'.
Controle 2: Revisão de acesso lógico. Revisões trimestrais são mandatórias na maioria dos escopos SOC 2, mas a falha geralmente não é pular, é realizar sem nenhuma trilha de auditoria. No Cadenio, o run de revisão programada abre automaticamente, tarefas são atribuídas aos donos de cada sistema, e o run não pode fechar sem decisões documentadas sobre cada conta revisada. O SLA garante que nenhum trimestre passe sem início da revisão.
Controle 3: Timelines de resposta a incidentes. O tempo de detecção ao contenimento é medido em auditorias SOC 2. Com resposta via Slack, os timestamps são informais e o contexto fica espalhado. No Cadenio, o registro de detecção é tarefa obrigatória com timestamp rígido. Ações de contenimento têm owners e janelas de SLA explícitas. Se o tempo da detecção ao contenimento inicial excede o alvo de política, o alerta de SLA dispara e fica registrado no run.
Controles 4 a 6 seguem o mesmo padrão: avaliações de risco de fornecedor com SLA de renovação e questionário obrigatório em anexo, testes de continuidade do negócio com fechamento dependente de evidência, e treinamento de segurança rastreado por run em vez de planilha. Cada um converte um processo recorrente de linguagem de política em Flow operacional com accountability e evidência incorporados.
Quando os auditores chegam, o pacote de evidência de cada ciclo de controle não é reconstituído a partir de e-mails. É recuperado do histórico de runs. Cada run concluído carrega o log completo: quem executou, o que foi aprovado, quando cada gate foi liberado, o que foi anexado. O tempo de resposta a uma solicitação de auditor cai de dias para minutos para controles gerenciados no Cadenio.