Organizações que usam o Microsoft Copilot no Microsoft 365 precisam verificar se o serviço atende aos requisitos de segurança e conformidade. O relatório SOC 2 Tipo II fornece uma avaliação independente dos controles da Microsoft sobre segurança, disponibilidade e confidencialidade dos dados ao longo do tempo. Muitas equipes de conformidade precisam desse relatório para satisfazer políticas internas de gerenciamento de riscos ou obrigações regulatórias externas. Este artigo explica o que o relatório SOC 2 Tipo II cobre, como solicitá-lo pelo Portal de Confiança de Serviços da Microsoft e como revisar as seções principais relevantes para o Copilot.
Principais Conclusões: Como Solicitar e Revisar o Relatório SOC 2 do Copilot
- Portal de Confiança de Serviços da Microsoft > Relatórios de Auditoria > SOC 2 Tipo II: O local principal para baixar o relatório mais recente do Microsoft 365 e do Copilot.
- Relatório SOC 2 Tipo II: Abrange controles por um período mínimo de seis meses, não um ponto único no tempo como o Tipo I.
- Seção de atividades de controle: Revise a descrição dos controles relacionados à criptografia de dados, gerenciamento de acesso e gerenciamento de mudanças para os serviços do Copilot.
O que o Relatório SOC 2 Tipo II Abrange para o Copilot
O relatório SOC 2 Tipo II é uma auditoria independente realizada por uma empresa de contabilidade licenciada. Ele avalia o design e a eficácia operacional dos controles da Microsoft durante um período definido, geralmente 12 meses. Para o Microsoft Copilot, o relatório abrange os serviços subjacentes do Microsoft 365 que suportam o Copilot, incluindo Azure Active Directory, Exchange Online, SharePoint Online e o Centro de Conformidade do Microsoft 365. O relatório não lista o Copilot como um serviço auditado separado, mas os controles que se aplicam ao Microsoft 365 também se aplicam ao Copilot, pois ele opera na mesma infraestrutura.
O relatório inclui as seguintes seções:
- Relatório do auditor independente: A opinião do auditor sobre se os controles foram projetados e operaram eficazmente durante o período de auditoria.
- Declaração da administração: A declaração da Microsoft de que os controles descritos no relatório estavam em vigor e operando eficazmente.
- Descrição do sistema: Detalhes sobre os limites do sistema Microsoft 365, infraestrutura, software, dados e processos.
- Objetivos e atividades de controle: Uma matriz de objetivos de controle e as atividades específicas que a Microsoft realiza para alcançá-los. Esta seção é a mais relevante para revisores.
- Controles complementares do usuário: Controles que a Microsoft espera que os clientes implementem, como autenticação multifator e políticas de classificação de dados.
O relatório não cobre recursos específicos do Copilot, como recuperação de dados fundamentados ou processamento de prompts em detalhes. Essas capacidades dependem dos mesmos controles subjacentes para criptografia em repouso e em trânsito, registro de acesso e isolamento de dados.
Como Solicitar o Relatório SOC 2 Tipo II para o Copilot
O relatório está disponível para todos os clientes do Microsoft 365 que assinaram um acordo de não divulgação com a Microsoft. Siga estas etapas para acessá-lo pelo Portal de Confiança de Serviços da Microsoft.
- Acesse o Portal de Confiança de Serviços da Microsoft
Vá para servicetrust.microsoft.com e faça login com uma conta corporativa ou de estudante que tenha pelo menos a função de Leitor Global no seu locatário do Microsoft 365. Se você não tiver a função correta, peça ao administrador do locatário para conceder acesso. - Aceite o acordo de não divulgação
Se você ainda não aceitou o NDA, o portal solicitará que você o revise e aceite. O NDA é um acordo legal padrão que restringe como você pode compartilhar o conteúdo do relatório. Você deve aceitá-lo uma vez por locatário. - Navegue até Relatórios de Auditoria
No menu de navegação à esquerda, selecione Relatórios de Auditoria. Em seguida, selecione Relatórios SOC no submenu. - Localize o relatório SOC 2 Tipo II
Procure o relatório intitulado Relatório SOC 2 Tipo II do Microsoft 365 ou um nome semelhante que inclua o período de auditoria. O relatório é publicado em formato PDF. O relatório mais recente cobre o período de 1º de outubro de 2023 a 30 de setembro de 2024. Baixe o arquivo PDF. - Verifique o escopo do relatório
Abra o PDF e verifique a seção Descrição do Sistema. Confirme se o relatório abrange os serviços do Microsoft 365 que sua organização usa, como Exchange Online, SharePoint Online e Azure Active Directory. Esses são os serviços dos quais o Copilot depende.
Como Revisar o Relatório SOC 2 Tipo II para Conformidade do Copilot
Depois de obter o relatório, concentre-se nas seções que afetam diretamente como o Copilot lida com os dados da sua organização.
Objetivos e Atividades de Controle
Esta seção lista cada objetivo de controle e as atividades de controle correspondentes. Procure objetivos relacionados à criptografia de dados, acesso lógico e gerenciamento de mudanças. Por exemplo, o objetivo de controle Acesso Lógico e Físico descreve como a Microsoft restringe o acesso aos sistemas de armazenamento e processamento de dados do Copilot. Verifique se as atividades de controle incluem revisões periódicas de acesso, aplicação de autenticação multifator e registro de ações administrativas.
Controles Complementares do Usuário
Esta seção lista os controles que sua organização deve implementar para manter a eficácia dos controles da Microsoft. Para o Copilot, os controles complementares mais relevantes são:
- Aplicar autenticação multifator para todos os usuários que acessam o Copilot
- Classificar e rotular documentos confidenciais antes de habilitar o Copilot para essas bibliotecas de documentos
- Configurar políticas de prevenção contra perda de dados para impedir que o Copilot compartilhe dados restritos
- Revisar regularmente os logs de auditoria do Copilot usando o portal de conformidade do Microsoft 365 Purview
Se sua organização não implementou esses controles, o relatório SOC 2 pode não cobrir totalmente seus requisitos de conformidade.
Opinião do Auditor e Resultados dos Testes
A opinião do auditor independente declara se os controles estavam operando eficazmente durante o período de auditoria. Procure uma opinião sem ressalvas, o que significa que o auditor não encontrou exceções materiais. Se a opinião for com ressalvas ou adversa, revise a seção de exceções para entender quais controles falharam nos testes. Uma opinião com ressalvas não significa automaticamente que o Copilot não está em conformidade, mas indica uma lacuna de controle que a Microsoft abordou em um relatório subsequente.
Problemas Comuns ao Solicitar ou Revisar o Relatório
Não é Possível Acessar o Portal de Confiança de Serviços
Se você receber um erro de acesso negado, sua conta não possui a função necessária. Peça ao administrador do locatário para atribuir a função Leitor Global ou Leitor de Conformidade à sua conta. Essas funções concedem acesso somente leitura ao Portal de Confiança de Serviços sem conceder privilégios administrativos.
O Relatório Não Menciona o Copilot pelo Nome
O relatório SOC 2 Tipo II do Microsoft 365 não lista explicitamente o Copilot como um serviço auditado separado. Isso é normal, pois o Copilot é um recurso que opera sobre os serviços existentes do Microsoft 365. Para confirmar que o Copilot está coberto, verifique a seção de escopo do relatório quanto à inclusão de serviços como Azure Active Directory, Exchange Online e SharePoint Online. Todo o processamento de dados do Copilot ocorre dentro desses serviços.
O Período do Relatório Não Corresponde ao Seu Ciclo de Auditoria
Se o período fiscal ou de auditoria da sua organização não estiver alinhado com o período do relatório, você pode solicitar uma carta-ponte da Microsoft. Uma carta-ponte é uma carta do auditor da Microsoft que confirma que não houve mudanças significativas nos controles entre o final do período do relatório e a data atual. Para solicitar uma carta-ponte, entre em contato com seu representante de conta da Microsoft ou envie uma solicitação pelo Portal de Confiança de Serviços em Documentos > Solicitar Documentos.
SOC 2 Tipo II vs SOC 2 Tipo I: Principais Diferenças para o Copilot
| Item | SOC 2 Tipo II | SOC 2 Tipo I |
|---|---|---|
| Descrição | Avalia o design e a eficácia operacional dos controles ao longo de um período | Avalia o design dos controles em um único ponto no tempo |
| Período de auditoria | Mínimo de seis meses, geralmente 12 meses | Sem período de auditoria, apenas uma data instantânea |
| Relevância para o Copilot | Exigido pela maioria das equipes de conformidade empresarial para comprovar eficácia contínua dos controles | Menos útil, pois não verifica se os controles estavam realmente em operação ao longo do tempo |
| Disponibilidade do relatório | Publicado anualmente no Portal de Confiança de Serviços | Publicado com menos frequência, geralmente como suplemento |
| Caso de uso do cliente | Usado para auditorias anuais de conformidade e avaliações de risco | Usado para integração inicial de fornecedores ou verificação rápida |
O relatório SOC 2 Tipo II é o documento padrão que as equipes de conformidade solicitam para o Copilot. Relatórios Tipo I sozinhos não são suficientes para a maioria das estruturas regulatórias, como HIPAA ou FedRAMP. Se sua organização precisar de ambos, baixe primeiro o relatório Tipo II e verifique se um relatório Tipo I está disponível na mesma seção de Relatórios SOC do Portal de Confiança de Serviços.
Agora você pode solicitar e revisar o relatório SOC 2 Tipo II do Microsoft Copilot usando o Portal de Confiança de Serviços da Microsoft. Concentre-se na seção de objetivos de controle para verificar se os controles de criptografia, gerenciamento de acesso e gerenciamento de mudanças estão em vigor. Revise também os controles complementares do usuário para garantir que sua organização configurou autenticação multifator e classificação de dados antes de habilitar o Copilot. Para uma revisão de conformidade mais detalhada, compare o escopo do relatório com os requisitos regulatórios específicos da sua organização, como GDPR ou ISO 27001, e solicite uma carta-ponte se o período do relatório não estiver alinhado com seu ciclo de auditoria.