Elevando o padrão de confiança: como a Fluid Attacks completou um ciclo de auditoria integrado em SOC, ISO, PCI DSS e GDPR

Mais do que um marco

Para Rafael Álvarez, assessor executivo e cofundador da Fluid Attacks, esta conquista é motivo de orgulho por várias razões: o momento, a tecnologia de suporte, as melhorias internas que exigiu e o padrão que estabelece para o futuro. Igualmente importante, ele vê este resultado como o início de uma nova etapa e não como o fim de um projeto. O verdadeiro desafio agora é sustentar o sistema de gestão, ajudá-lo a evoluir e continuar a elevar o rigor das operações da empresa. Essa visão de longo prazo já está a moldar conversas internas sobre possíveis enquadramentos futuros, como a ISO 22301 e a ISO/IEC 42001.

Esse é o verdadeiro significado do trabalho de garantia quando é feito corretamente. Frameworks de confiança não devem funcionar como rótulos decorativos. Devem forçar melhores decisões: definição de escopo mais precisa, propriedade de controles mais clara, práticas de evidência mais robustas, melhor documentação e hábitos operacionais mais resilientes, que reflitam autorregulação, maturidade e disciplina institucional. Neste ciclo, foi exatamente isso que aconteceu.

O que a Fluid Attacks alcançou, precisamente

Ao comunicar sobre conformidade e garantia, a precisão importa: ISO 27001 e 27701 são certificações; ISO 27017 e 27018 são melhor descritas publicamente como controles alinhados a esses padrões; SOC 2 é uma atestação; o GDPR é uma questão de conformidade com requisitos legais; e PCI DSS é uma validação.

Dentro desse enquadramento, a Fluid Attacks obteve a certificação ISO/IEC 27001:2022 e ISO/IEC 27701:2019 para o seu sistema de gestão de segurança da informação e privacidade. O certificado foi emitido pela Kompleye Attestation LLC, que auditou o sistema e confirmou que este cumpria os requisitos das normas aplicáveis. Este certificado, tal como o de ISO/IEC 27017:2015 e ISO/IEC 27018:2019, apresenta uma data original de registo de 25 de fevereiro de 2026, com data de expiração de 24 de fevereiro de 2029. A conformidade com estas últimas normas ISO evidencia o alinhamento da Fluid Attacks às configurações padrão de segurança em nuvem e à proteção de informações de identificação pessoal (PII) em serviços de nuvem.

A Fluid Attacks também obteve uma atestação SOC 2 Type II e um relatório SOC 3, ambos com a Kompleye como auditor independente de serviços. O relatório SOC 2 avalia a adequação do desenho e a eficácia operacional dos controles relacionados com a segurança para as soluções de segurança de aplicações (AppSec) da Fluid Attacks. O relatório SOC 3 cobre o mesmo período e oferece uma declaração pública de garantia sobre a eficácia desses controles, sem divulgar os detalhes sensíveis contidos no relatório SOC 2.

Para pagamentos, a Fluid Attacks alcançou a validação PCI DSS v4.0.1 através de uma Attestation of Compliance ligada ao Self-Assessment Questionnaire A-EP, com a Internet Security Auditors (IsecAuditors) a atuar como avaliadora de segurança qualificada. O resultado registou uma classificação global de COMPLIANT. O modelo de pagamento descrito na documentação é intencionalmente limitado: os dados do titular do cartão são capturados por provedores de pagamento externos compatíveis com PCI, e os sistemas da Fluid Attacks não armazenam, processam nem transmitem por si mesmos dados de conta brutos.

Em paralelo, a empresa documentou e reforçou os controles de privacidade e as estruturas de governança que suportam a conformidade com o GDPR, incluindo um Sistema de Gestão de Privacidade da Informação, um Registo de Atividades de Tratamento, procedimentos relativos aos direitos dos titulares dos dados, um Encarregado de Proteção de Dados designado, compromissos de notificação de violações, governança de subcontratantes e práticas de privacy by design.

Por que esta combinação de frameworks importa

Cada um destes frameworks aborda uma dimensão diferente da confiança, mas, na prática, eles reforçam-se mutuamente para formar um modelo de garantia mais coerente:

ISO/IEC 27001 estabelece o sistema de gestão da segurança da informação. Exige que uma organização identifique riscos, defina controles, atribua responsabilidades e opere um programa estruturado de melhoria contínua. ISO/IEC 27701 estende essa lógica à privacidade, adicionando requisitos relevantes sobre como as organizações processam dados pessoais como controladoras e operadoras. ISO/IEC 27017 e 27018 acrescentam orientações de controles específicos para a nuvem e para a privacidade.

SOC 2 Type II fornece garantia de terceiros de que os controles não estão apenas bem concebidos, mas também a funcionar de forma eficaz ao longo do tempo — uma validação operacional delimitada no tempo que é especialmente valiosa para clientes que querem provas de que os compromissos de segurança se refletem na prática do dia a dia. SOC 3 complementa-o, fornecendo uma declaração de garantia de alto nível para públicos mais amplos.

PCI DSS concentra-se especificamente na proteção de dados de cartões de pagamento e dos sistemas e processos que suportam as transações de pagamento. GDPR, por sua vez, não é um framework de certificação, mas uma regulamentação legal que rege a forma como as organizações lidam com dados pessoais e protegem os direitos das pessoas. Juntos, estes enquadramentos formam um modelo em camadas de confiança: governança, garantia operacional, responsabilização pela privacidade, segurança de pagamentos e conformidade legal a funcionar em combinação, e não de forma isolada.

Essa complementariedade também foi um facilitador-chave da própria auditoria integrada. Como observa Diego, os auditores adotaram uma abordagem estratégica para mapear e reutilizar evidências entre requisitos sobrepostos em ISO 27001, SOC 2, GDPR e outros enquadramentos relacionados, reduzindo testes redundantes, diminuindo a carga administrativa e poupando tempo sem enfraquecer o rigor.

Os fornecedores por trás da conquista

A confiança no asseguramento depende não apenas do que uma empresa diz ter alcançado, mas também de quem a avaliou e sob que modelo de credibilidade. A Fluid Attacks concluiu este trabalho com o apoio de três fornecedores principais: Vanta, Kompleye e IsecAuditors. Cada um desempenhou um papel distinto na cadeia de garantia.

Vanta funcionou como a plataforma de automação da conformidade por trás do esforço. Não foi a auditora, mas foi essencial para tornar o projeto gerível. Notavelmente, a Vanta adotou uma das recomendações da Fluid Attacks para lidar com auditorias que abrangem múltiplos frameworks — um detalhe que sublinha o quão incomum este projeto foi. Como assinala Diego, a Vanta simplificou o trabalho ao integrar-se com ferramentas que monitorizam os controles de segurança, garantindo que os documentos se mantenham atualizados e fornecendo aos auditores acesso às evidências. Na prática, isso significou centralizar a recolha de evidências, reduzir o trabalho manual e ajudar a equipa a reutilizar informações de controlo em múltiplos frameworks.

Kompleye desempenhou dois papéis distintos. Para SOC, atuou como auditor independente de serviços, avaliando os controles frente aos AICPA Trust Services Criteria e emitindo os relatórios formais de atestação. Para ISO, Kompleye Attestation LLC atuou como organismo de certificação, auditando o sistema de gestão e emitindo os certificados. Essa distinção importa porque “atestação” e “certificação” não são termos intercambiáveis. A atividade ISO da Kompleye é apoiada pela acreditação ANAB, o que significa que o organismo de certificação está, ele próprio, sujeito a supervisão externa. Essa camada adicional de verificação reforça a credibilidade dos certificados emitidos sob a sua autoridade.

IsecAuditors liderou a parte de PCI DSS do projeto como avaliadora de segurança qualificada. Esse papel existe no ecossistema do PCI Security Standards Council precisamente para garantir que as validações PCI sejam realizadas por empresas independentes com competência e autorização para avaliar se o ambiente de pagamentos e os controles cumprem os requisitos do SAQ aplicável e para emitir uma validação formal de conformidade. Neste compromisso, a Isec tratou do lado PCI enquanto a Kompleye tratou de SOC e ISO, permitindo à Fluid Attacks prosseguir com uma estrutura de garantia integrada, em vez de fragmentada.

Como o projeto se desenvolveu

O esforço foi ambicioso desde o início. Segundo Diego, a fase de seleção dos fornecedores envolveu a avaliação dos preços e da experiência de cada um dos três fornecedores. Embora a Fluid Attacks já utilizasse a Vanta há alguns anos, a equipe ainda a comparou com concorrentes antes de renovar. A diretiva era clara: encontrar uma combinação de fornecedores capaz de suportar um ciclo de auditoria integrada e não apenas uma série de avaliações desconectadas. Essa estrutura surgiu por meio da Isec e de sua parceira, a Kompleye, com a Vanta apoiando as operações diárias de conformidade.

Outro desafio inicial foi definir o escopo da certificação. O escopo inicial da ISO cobria toda a empresa e todos os seus processos, o que era demasiado amplo e pouco estratégico para uma primeira certificação. Isso precisou ser reduzido para algo rigoroso, porém gerenciável. O escopo final centrou-se na prestação segura de Continuous Hacking (planos Essential e Advanced), incluindo o tratamento de dados pessoais — uma escolha que reforçou o foco e a viabilidade sem diluir o valor da certificação.

No que diz respeito ao PCI, determinar se o caminho apropriado de autoavaliação era SAQ A ou SAQ A-EP exigiu análise técnica e contratual e causou atrasos. Não se tratava de uma distinção trivial. O questionário tinha de refletir a arquitetura real, o fluxo de informação de pagamento e a distribuição de responsabilidades entre a Fluid Attacks e os provedores de pagamento externos.

Uma vez iniciada a execução, a colaboração interna tornou-se um dos mais fortes motores de sucesso. Os colaboradores envolvidos nas entrevistas de auditoria contribuíram para manter o processo em andamento. Ao mesmo tempo, a fase de auditoria interna expôs uma fraqueza comum nos programas de certificação, frequentemente subestimada: omissões na documentação. Evidências insuficientes e documentação incompleta criaram obstáculos durante as auditorias e exigiram trabalho corretivo enquanto o projeto ainda decorria.

Nem todos os enquadramentos exigiram o mesmo tipo de esforço. O processo de recertificação SOC foi relativamente fluido porque grande parte das evidências e muitas das práticas subjacentes já existiam do ciclo anterior. A certificação ISO, por contraste, exigiu melhorias mais substanciais na documentação, formalização de políticas, gestão da privacidade, resposta a incidentes e gestão de mudanças. Esse contraste é uma das ilustrações mais claras de como um único projeto integrado pode, simultaneamente, tratar da recertificação de sistemas já estabelecidos e do desenvolvimento daqueles de primeiro ciclo.

O que melhorou dentro da Fluid Attacks

Um dos resultados mais fortes deste projeto é que mudou práticas internas e não apenas o estatuto externo. A equipe tornou-se mais disciplinada na coleta, preservação e mapeamento de evidências. A definição do escopo tornou-se mais estratégica. E a empresa melhorou a sua capacidade de reutilizar evidências validadas em múltiplas normas, em vez de lidar com cada framework isoladamente.

O ciclo de auditoria também reforçou uma realidade organizacional importante: a conformidade significativa não pode ser totalmente externalizada. Ferramentas, auditores e compliance são importantes, mas nenhum deles pode substituir a responsabilização interna. Líderes e membros da equipe ainda precisam participar ativamente de entrevistas, fornecer evidências, responder perguntas difíceis e assumir a responsabilidade pelos controles em suas respectivas áreas. Diego deixa isto especialmente claro: esforços de certificação integrada desta dimensão exigem que a própria organização assuma um papel ativo de coordenação, em vez de deixar toda a estrutura do processo aos fornecedores.

Essa responsabilização interna faz parte do que torna este marco significativo. Demonstra não só que a Fluid Attacks passou por avaliações externas, mas também que fortaleceu os hábitos e sistemas necessários para sustentar a garantia ao longo do tempo.

Lições aprendidas

Várias lições deste esforço destacam-se e valem a pena ser mantidas visíveis para ciclos futuros:

• Defina o escopo estrategicamente antes que a auditoria comece. Um escopo demasiado amplo aumenta os custos, intensifica a pressão sobre os prazos e eleva o risco de não conformidade.

• Realize auditorias internas com o mesmo rigor das externas. Um relatório interno fraco compromete tanto a preparação do programa quanto a credibilidade.

• Tome a experiência com plataformas de automação de GRC (governança, gestão de riscos e conformidade) como um critério explícito na seleção de fornecedores. Em projetos multi-enquadramento, a tecnologia de suporte molda a eficiência com que as evidências podem ser recolhidas, mapeadas e revistas.

• Identifique e corrija as omissões na documentação o quanto antes. Estão entre os riscos mais frequentes e controláveis nos esforços de certificação ISO.

• Garanta a participação ativa dos líderes e das pessoas responsáveis pelos processos no escopo, especialmente durante as entrevistas e a recolha de evidências.

A parte mais difícil começa agora

Obter estas certificações, atestações, validações e alinhamentos é um marco significativo para a Fluid Attacks, enquanto empresa de AppSec. Mas o objetivo crucial daqui para a frente é mantê-los — sustentar o sistema de gestão, preservar a qualidade das evidências, continuar a aperfeiçoar políticas e controles e manter o compromisso com a segurança com o nível de rigor que tornou este marco possível.

A confiança não se constrói publicando uma lista de enquadramentos. Constrói-se realizando o trabalho necessário para conquistá-los, escolhendo avaliadores independentes e acreditados, melhorando a disciplina interna e mantendo esse padrão após o término do ciclo de auditoria. A Fluid Attacks elevou seu padrão de confiança. O próximo desafio é mantê-lo e, potencialmente, adotar futuros frameworks, como ISO 22301 e ISO/IEC 42001, para reforçar ainda mais a forma como a empresa opera. Se você tiver interesse em revisar nossos relatórios de certificação e compliance, convidamos você a visitar nosso Trust Center.