SOC 2 e LGPD para Startups SaaS: Guia Completo para CTOs
Tudo que você precisa saber sobre SOC 2 Type II e LGPD para plataformas SaaS — o que são, por que importam, quanto custam e por onde começar.
Por que compliance importa para o seu SaaS
Em 2019, a LGPD entrou em vigor no Brasil. Em 2024, a ANPD começou a aplicar multas. No mesmo período, clientes enterprise no Brasil e no exterior passaram a exigir SOC 2 como pré-requisito para assinar contratos.
Essas não são mais "coisas do futuro". São bloqueadores de venda ativos para qualquer SaaS B2B que almeja clientes médios ou grandes.
Este guia explica o que cada certificação requer, como elas se complementam e como planejar a jornada de compliance sem destruir o roadmap de produto.
O que é SOC 2?
SOC 2 (Service Organization Control 2) é um padrão de auditoria desenvolvido pelo AICPA (Instituto Americano de CPAs) que avalia se uma empresa de tecnologia tem controles adequados para proteger dados dos clientes.
Os cinco Trust Service Criteria
| Critério | O que avalia | |---|---| | Security (obrigatório) | Controles para prevenir acesso não-autorizado | | Availability | Uptime e recuperação de desastres | | Processing Integrity | Dados processados de forma completa e precisa | | Confidentiality | Proteção de informações confidenciais | | Privacy | Coleta e uso de dados pessoais |
Type I vs. Type II
- SOC 2 Type I: auditoria de um momento específico. Verifica se os controles existem e estão bem desenhados. Mais rápido de obter (3–6 meses).
- SOC 2 Type II: auditoria de um período (geralmente 6 ou 12 meses). Verifica se os controles funcionam na prática, ao longo do tempo. É o que clientes enterprise exigem.
Regra prática: comece com Type I para ter um relatório para mostrar enquanto acumula evidências para o Type II.
O que é LGPD?
A Lei Geral de Proteção de Dados (Lei 13.709/2018) é a legislação brasileira de proteção de dados pessoais, inspirada no GDPR europeu. Ela se aplica a qualquer operação de tratamento de dados pessoais realizada no Brasil ou de pessoas no Brasil.
Conceitos fundamentais
Dados pessoais: qualquer informação que identifique ou possa identificar uma pessoa natural. Nome, e-mail, CPF, IP, cookie ID, localização.
Dados sensíveis: subconjunto com proteção reforçada — dados biométricos, saúde, raça, orientação sexual, convicções religiosas/políticas, dados de crianças.
Controlador: quem decide o que fazer com os dados. Na maioria dos SaaS, é você.
Operador: quem processa dados por conta do controlador. Seus fornecedores de cloud, analytics, e-mail são operadores.
Bases legais para tratamento: você precisa de uma base legal para processar dados. As mais comuns para SaaS:
- Execução de contrato (processar dados para entregar o serviço)
- Legítimo interesse (melhorar o produto, segurança)
- Consentimento (marketing, cookies não-essenciais)
- Cumprimento de obrigação legal
Como SOC 2 e LGPD se complementam
Eles não são redundantes — cobrem ângulos diferentes:
| Aspecto | SOC 2 | LGPD | |---|---|---| | Foco | Controles técnicos e organizacionais | Direitos dos titulares e bases legais | | Escopo geográfico | Global (auditoria por empresa americana) | Brasil (tratamento de dados de pessoas no Brasil) | | Quem exige | Clientes enterprise B2B (EUA, global) | Lei federal brasileira | | Penalidade por não-conformidade | Perda de contrato / reputação | Até 2% do faturamento, máx. R$ 50M por infração | | Certificação | Relatório de auditoria independente | Não há certificação — é conformidade contínua |
Um SaaS que vende para empresas brasileiras e americanas precisa dos dois. E a boa notícia: os controles técnicos se sobrepõem bastante.
Controles técnicos que atendem SOC 2 e LGPD simultaneamente
Controle de acesso
- MFA obrigatório para todos os funcionários com acesso a sistemas de produção
- Princípio do menor privilégio: cada pessoa acessa apenas o que precisa
- Revisão trimestral de permissões
- Offboarding imediato com remoção de acessos
Criptografia
- TLS 1.2+ em trânsito (HTTPS everywhere)
- AES-256 em repouso para dados sensíveis
- Gerenciamento de chaves com AWS KMS ou HashiCorp Vault
- Nunca armazenar chaves em código ou variáveis de ambiente não-gerenciadas
Logging e auditoria
- Logs de acesso a dados pessoais com
user_id,action,timestamp,resource - Logs imutáveis (não podem ser apagados pelo time de operações)
- Retenção de 12 meses
- Alertas para acessos fora do padrão
Gestão de vulnerabilidades
- Scan de dependências no CI (Dependabot, Snyk)
- Pentesting anual por empresa externa
- Processo de patch para vulnerabilidades críticas (máx. 7 dias)
- Bug bounty ou disclosure policy pública
Backup e recuperação
- Backup diário com retenção de 30 dias
- Teste de restauração mensal documentado
- RTO (Recovery Time Objective) e RPO (Recovery Point Objective) definidos e testados
Roteiro de implementação em 6 meses
Mês 1–2: Fundação
- Inventário de dados: mapeie quais dados pessoais você coleta, onde ficam e por que
- Política de segurança: documente suas políticas (controle de acesso, incidentes, desenvolvimento seguro)
- Avaliação de fornecedores: verifique se AWS, Stripe, SendGrid etc. têm seus próprios relatórios SOC 2
- DPO ou responsável: designe um encarregado de dados (LGPD)
Mês 3–4: Implementação técnica
- Implementar controles de acesso listados acima
- Configurar logging centralizado (CloudWatch, Datadog)
- Implantar gestão de vulnerabilidades no CI/CD
- Criar política de resposta a incidentes com playbooks
- Adicionar consentimento de cookies e atualizar política de privacidade
Mês 5: Preparação para auditoria
- Coletar evidências de que os controles funcionam (screenshots, logs, registros)
- Contratar empresa de auditoria (KPMG, Deloitte, ou especializadas como Prescient Assurance)
- Treinamento de segurança para todo o time
- Teste de incidente simulado (tabletop exercise)
Mês 6: Auditoria Type I
A auditoria Type I leva 4–8 semanas. Você recebe o relatório e começa imediatamente a acumular evidências para o Type II (período de observação de 6–12 meses).
Custos reais
| Item | Custo estimado | |---|---| | Implementação de controles técnicos (eng.) | R$ 80.000 – R$ 150.000 | | Plataforma de compliance (Vanta, Drata, Tugboat) | US$ 10.000 – US$ 25.000/ano | | Auditoria SOC 2 Type I | US$ 8.000 – US$ 20.000 | | Auditoria SOC 2 Type II | US$ 15.000 – US$ 40.000 | | Adequação LGPD (jurídico + técnico) | R$ 30.000 – R$ 70.000 | | DPO externo (se não tiver interno) | R$ 2.000 – R$ 8.000/mês |
Total para primeiro ano (Type I): R$ 160.000 – R$ 300.000
É um investimento significativo. Mas um contrato enterprise perdido por falta de SOC 2 costuma valer mais do que isso.
Case real: TatameLabs
A TatameLabs é uma plataforma SaaS multi-tenant para gestão de academias de jiu-jitsu construída pela Codevops. Desde o início, implementamos:
- Arquitetura multi-tenant com schema isolation no PostgreSQL
- Conformidade LGPD com logging de acesso a dados pessoais
- Criptografia AES-256 para dados sensíveis de alunos
- Integração ASAAS/PIX com tokenização de dados de pagamento
- Controles de acesso com RBAC por academia (tenant)
O resultado foi um produto que conquistou clientes que exigem conformidade e se tornou referência técnica no segmento.
Próximos passos
Compliance é complexo, mas há um caminho estruturado. A Codevops já guiou vários SaaS por essa jornada — de startups que precisavam de um primeiro relatório SOC 2 para fechar um contrato até plataformas enterprise com auditorias anuais.
Falar com especialista em compliance → · O que é SOC 2? Explicação detalhada → · LGPD para plataformas SaaS →
Precisa de ajuda com segurança & compliance?
A Codevops transforma ideias em produtos reais. Cuidamos de toda a parte técnica para que você foque no seu negócio. Respondemos em até 12 horas.
Falar com especialista →