Pular para o conteúdo
ISO 27001 ISO 27701 SOC 2 Segurança da informação Compliance

ISO 27001/27701: certificado vs alinhado

Entenda a diferença entre alinhado e certificado em ISO 27001/27701 e SOC 2 Type II. Checklist prático para avaliar fornecedores de tecnologia fiscal.

Equipe Tax360

O que cada termo significa na prática, quais evidências pedir e como isso impacta risco, compras e compliance em tecnologia fiscal.

“Estamos alinhados à ISO” e “somos certificados” não são a mesma coisa. Alinhamento costuma indicar adoção interna de boas práticas; certificação/report traz verificação independente e evidência auditável.

Na MaterImperium, estamos na fase final do processo de certificação ISO 27001 e ISO 27701. E o Tax360 foi desenhado para operar com segurança e privacidade by design, seguindo rigorosamente políticas e controles corporativos de segurança e privacidade.

Contexto e definição: “alinhado” vs “certificado” (e onde entra SOC 2)

ISO/IEC 27001 é o padrão mais difundido para requisitos de um ISMS (Information Security Management System), um sistema de gestão com ciclo contínuo (planejar, operar, medir e melhorar) para segurança da informação.

ISO/IEC 27701 trata de PIMS (Privacy Information Management System), um sistema de gestão para tratar PII de forma estruturada e alinhada a requisitos de privacidade.

SOC 2 é um report de auditoria focado em controles relevantes para Security, Availability, Processing Integrity, Confidentiality e/ou Privacy (Trust Services Criteria).

Agora, os termos que causam confusão:

  • “Alinhado” (uso comum de mercado): a empresa afirma que segue práticas e controles inspirados no padrão. Pode haver auditoria interna/consultoria, mas é, em geral, auto-declarado.
  • “Certificado (ISO)”: existe auditoria por organismo certificador, com emissão de certificado e auditorias recorrentes. A confiança depende também da competência do certificador, daí a importância de normas como a ISO/IEC 27006-1 para organismos de certificação.
  • “SOC 2 Type II”: é um report que avalia efetividade operacional dos controles ao longo de um período (não só desenho em um ponto no tempo).

Regra simples: alinhado = intenção/implementação interna; certificado/report = evidência independente.

Posicionamento MaterImperium / Tax360: nossos materiais e diferenciais já colocam ISO 27001 e 27701 como referência e SOC 2 Type II como plano (2026).

Por que isso importa (impacto)

A diferença vira decisão quando a conversa envolve risco e auditoria:

  • Compras e due diligence precisam de evidência: escopo, validade, organismo certificador, período do report, exceções.
  • Risco operacional: segurança e privacidade deixam de ser “seção do contrato” e passam a ser requisito para continuidade.
  • Compliance e governança: sem trilha de evidências (processos, registros, tratamento de incidentes), a aprovação interna trava.

No caso da MaterImperium, a política corporativa de segurança e privacidade existe para proteger informações e dados pessoais, preservando confidencialidade, integridade, disponibilidade e privacidade.

Como fazer: passo a passo para avaliar um fornecedor (ou comprovar maturidade)

Comece pelo escopo (o que está “dentro”)

Antes de falar em ISO/SOC:

  • Quais sistemas e módulos você está comprando?
  • Quais dados são processados (incluindo PII)?
  • Quais integrações e ambientes estão envolvidos?

Sem escopo, você pode aceitar um certificado/report que não cobre o que está sendo contratado.

Peça evidências no formato correto

Para ISO 27001/27701:

  • Certificado (ou status formal do processo) com escopo e organismo certificador.
  • Políticas e procedimentos: gestão de acesso, incidentes, continuidade, mudanças.
  • Evidências operacionais: revisões, registros, trilhas e rotinas.

Importante (linguagem correta): enquanto o certificado não é emitido, o termo mais preciso é “em processo de certificação”.

Para SOC 2 Type II:

  • Report (ou sumário executivo + bridge letter, se o report completo for restrito).
  • Verifique: período coberto, critérios incluídos e observações/exceções.

Valide “o auditor/certificador”, não só o selo

ISO 27006-1 descreve requisitos para quem audita/certifica ISMS, justamente para dar consistência e imparcialidade ao processo.

Conecte controle com rotina (onde “alinhado” costuma falhar)

Perguntas objetivas que expõem maturidade:

  • Como acessos são concedidos e revisados? (MFA/SSO, trilha, segregação)
  • Como incidentes são registrados, classificados e tratados?
  • Como continuidade e recuperação são testadas?
  • Como mudanças em produção são aprovadas e rastreadas?

Na MaterImperium, por política, existe diretriz explícita de seguir por completo normas e procedimentos, tratar incidentes com registro/classificação/investigação/correção e garantir continuidade com planos testados e melhorados continuamente.

Feche o loop de privacidade (LGPD)

Verifique canal e prazo para atendimento a direitos do titular e controles de segurança para dados pessoais. A Política de Privacidade descreve medidas e canal de contato para exercício de direitos.

Casos de uso / exemplos

  • Enterprise comprando SaaS fiscal (Tax/ERP/DF-e): costuma exigir evidência auditável (ISO/SOC). “Alinhado” ajuda no piloto; para contrato longo, pedem prova e escopo.
  • Fornecedor em etapa final de aprovação (TI + Segurança + Jurídico): o que destrava é clareza de escopo + evidências operacionais + governança.
  • Operação high-volume (múltiplos CNPJs/filiais): controles de acesso, rastreabilidade e continuidade são tão relevantes quanto performance.
  • BPO/contabilidade com carteira de clientes: padronização de processo (ISMS/PIMS) reduz erro humano e acelera auditorias internas.

Erros comuns e como evitar

  • Confundir “alinhado” com “certificado”.
  • Não olhar o escopo do certificado/report.
  • Tratar “em processo de certificação” como “certificado” (comunique com precisão).
  • Pedir apenas PDF de política e ignorar evidência de operação (logs, revisões, incidentes).
  • Ignorar privacidade (PII) e focar só em segurança.

Checklist copiável (resumo acionável)

  • Escopo definido (sistemas + dados + integrações)
  • Evidências solicitadas (ISO 27001/27701 e/ou SOC 2 Type II)
  • Auditor/certificador validado (credibilidade)
  • Controles operacionais checados (acesso, incidentes, continuidade, mudanças)
  • Privacidade validada (canal, prazos, medidas)

Perguntas frequentes (FAQ)

“Alinhado à ISO 27001” vale como evidência?

Ajuda como sinal, mas não substitui auditoria independente quando o risco é alto.

ISO 27001 certifica produto ou empresa?

Certifica o ISMS dentro de um escopo (por isso o escopo é decisivo).

SOC 2 Type II é equivalente a ISO 27001?

Não. SOC 2 é um report sobre controles (Trust Services Criteria); ISO 27001 é padrão de requisitos de ISMS.

O Tax360 segue essas normas mesmo antes do certificado?

Sim: o Tax360 foi desenhado como infraestrutura fiscal moderna e opera com controles e governança de segurança/privacidade; a política corporativa exige seguir por completo normas e procedimentos, tratar incidentes e garantir continuidade.

A MaterImperium já é certificada?

Estamos na fase final do processo de certificação ISO 27001 e ISO 27701. Enquanto isso, disponibilizamos políticas, governança e evidências operacionais para due diligence. (Diferenciais e materiais já refletem a direção: ISO 27001/27701 e SOC 2 Type II no roadmap.)

Por fim

“Alinhado” pode ser um bom ponto de partida, mas certificação/report reduz fricção em compras, acelera due diligence e dá previsibilidade em auditorias. Para plataformas fiscais, isso pesa ainda mais por causa de dados sensíveis e continuidade operacional. No Tax360, segurança e privacidade são tratadas como disciplina de gestão (processo + evidência), não como “anexo”.

Leia também

Referências / fontes

Produtos Tax360 relacionados:

Leia também

Informe Técnico

IT NF-e 2025.002 v1.50: cClassTrib atualizada

IT NF-e 2025.002 v1.50 publicada em 15/04/2026 atualiza cClassTrib, indicadores e aliquotas 2026 do IBS e da CBS. Veja os novos codigos e regimes.

4 min de leitura
Reforma Tributária

Tabela cClassTrib IBS/CBS atualizada

Tabela de Codigo de Classificacao Tributaria IBS/CBS (cClassTrib) atualizada em 15/04/2026 junto ao IT NF-e 2025.002 v1.50. Veja estrutura e indicadores.

5 min de leitura
Normas Técnicas

CT-e RTC v1.14a: Compras Governamentais

NT CT-e 2025.001 v1.14a inclui campos de compras governamentais (tpOperGov, refDFeAnt) e ajustes de validacao para a Reforma Tributaria.

3 min de leitura

Entre em contato agora

Vamos entender seu cenário e indicar o melhor ponto de partida no Tax360. Se a Reforma Tributária está aumentando a pressão por prazo, evidências e controle, conte como é sua operação hoje.

Em uma conversa rápida, mapeamos volume, riscos e dependências (ERP, DF-e, apuração) e sugerimos o caminho mais seguro para reduzir retrabalho e exposição em auditoria.