Skip to content
← Voltar aos artigos
4 min de leitura#compliance #soc2 #cis

CIS Benchmark vs SOC 2: qual seu time realmente precisa

Os dois são chamados de frameworks de segurança, mas resolvem problemas diferentes. Guia honesto pra decidir se você precisa de um, do outro, ou dos dois.

CISO chega pra cabeça de engenharia: "precisamos de SOC 2". Engenheiro sênior responde: "mas a gente já segue o CIS Benchmark". Alguém mais novo no time pergunta: "então temos os dois?", e a sala para.

O mal-entendido é comum porque a indústria empilha os dois no mesmo guarda-chuva de "security framework". São coisas diferentes. Resolvem problemas diferentes. Fazer uma não te exime da outra. Este post separa.

O que cada um é, em uma frase

CIS Benchmark (Center for Internet Security) é uma lista de configurações técnicas concretas pra um sistema específico. Tipo "o parâmetro X no serviço Y deve estar no valor Z". É gratuito e auditável via tooling.

SOC 2 (Service Organization Control 2) é um relatório de auditoria que atesta que sua empresa opera controles de segurança, disponibilidade, integridade, confidencialidade e privacidade. É pago, emitido por auditor independente, e só auditável via evidência.

CIS é um padrão técnico. SOC 2 é um processo organizacional auditado. CIS te diz o que configurar. SOC 2 te diz como provar que você opera uma empresa segura.

Exemplo concreto

Você tem um bucket S3 guardando dados de clientes.

CIS Benchmark (AWS Foundations Benchmark v3.0, controle 2.1.1) diz: "Ensure S3 bucket policy is set to deny HTTP requests." É um check técnico. Dá pra validar em 1 segundo com aws s3api get-bucket-policy mais um parser. Passa ou falha, sem cinza.

SOC 2 (Common Criteria CC6.1) diz: "The entity implements logical access security software, infrastructure, and architectures over protected information assets." É um controle organizacional. A validação é um auditor entrando e perguntando: "Como vocês garantem que bucket policies são revisadas? Mostre o ticket do controle. Mostre o registro do último review."

O CIS é a implementação técnica de uma pequena parte do que SOC 2 mede. Passar no CIS não te torna SOC 2 compliant. Mas estar longe do CIS certamente atrapalha o SOC 2.

Quando você precisa de CIS

Se sua empresa opera infraestrutura em AWS, GCP, Azure, Kubernetes, Windows, Linux, e você quer uma baseline técnica objetiva pra dizer "nosso ambiente está configurado corretamente", você quer o CIS. Além disso, o CIS é referenciado dentro de framework maior. SOC 2, ISO 27001, PCI-DSS, todos apontam pra ele.

Custo real: zero, o documento é público. Custo de implementação: alto, depende de quantas violações você tem hoje. Ferramentas como AWS Config managed rules, Prowler, Scout Suite ou WiserOps automatizam a verificação.

Faz sentido começar a partir do dia 1 da empresa. Não tem motivo pra adiar.

Quando você precisa de SOC 2

Se sua empresa vende pra outras empresas (B2B), tem clientes que armazenam dados sensíveis no seu produto, e começou a receber no processo de vendas pedidos de Due Diligence Questionnaire ou Vendor Risk Assessment, você vai precisar de SOC 2.

A forma final é um relatório SOC 2 Type II. Custa US$ 20–50k no primeiro ano e exige:

  • Um período de observação de 3 a 6 meses operando os controles que você diz que opera.
  • Um vendor pra auditar (Vanta, Drata, Secureframe, ou auditor direto via CPA firm).
  • Uma pessoa interna dedicada ao processo. Normalmente o head de segurança ou CTO.

Faz sentido começar quando o time comercial chega falando que perdeu deal por falta de SOC 2. Antes disso, raramente justifica o custo.

A relação entre os dois

Quando você começa SOC 2, o auditor pede controles em várias áreas. Uma delas é Configuration Management, e a prova mais eficiente desse grupo é: "nós seguimos o CIS Benchmark e temos tooling automatizado que mede compliance continuamente". Você mostra o dashboard com score CIS, o auditor marca o controle como satisfeito, seguimos.

Fazer CIS primeiro e SOC 2 depois é o caminho natural. O CIS vira evidência pro SOC 2.

O que CIS não cobre

Coisas que SOC 2 exige e CIS não tem opinião:

  • Processo de onboarding e offboarding de funcionário.
  • Gestão de incidente (runbook, post-mortem formal).
  • Revisão de acesso periódica. Quem revisou permissões no último trimestre?
  • Treinamento de segurança obrigatório.
  • Contrato com vendor crítico.
  • DR/BCP testados e documentados.

Todos esses são controles organizacionais. CIS é puramente técnico.

O que SOC 2 não cobre

Coisas que CIS detalha e SOC 2 não prescreve:

  • Configuração específica (SOC 2 diz "tenha controle de acesso", CIS diz "use MFA, rotação em 90 dias, policy sem Action:*").
  • Versões de TLS aceitáveis.
  • Retenção específica de logs.
  • Parâmetros de encryption.

SOC 2 te avalia sobre a existência de controles. CIS te diz quais são as configurações-alvo.

Resumo prático

Seu cenárioPor onde começar
Startup nascendo, 3 engenheirosCIS Benchmark e políticas básicas. SOC 2 entra quando vendas pedir.
B2B SaaS tentando fechar primeiro enterpriseCIS e começa SOC 2 Type I (2 a 3 meses de auditoria).
Empresa vendendo pra Fortune 500CIS, SOC 2 Type II, e provavelmente ISO 27001 também.
Lidando com cartão de créditoCIS e PCI-DSS (obrigatório, não opcional).
Lidando com dados de saúde nos EUACIS e HIPAA.

CIS é barato, técnico, mensurável, efeito imediato. SOC 2 é caro, organizacional, demorado, efeito de marketing e vendas. Não são substitutos, são complementares.

No WiserOps o módulo de compliance cobre CIS AWS Benchmark v3.0 automaticamente, com evidências por controle que você pode levar direto pro auditor SOC 2. Começa grátis.