# Elaboração guiada da documentação de preparação SOC 2 > Guia passo a passo para produzir narrativas de controle SOC 2 e placeholders de evidência com o agente, com exemplos de chat e excertos do documento em cada etapa. Author: map[bio:Founder linkedin:https://www.linkedin.com/in/ricardocabral/ name:Ricardo Cabral] Published: 2026-02-18 URL: https://rakenne.app/pt/learn/tutorials/soc2-readiness-documentation-guide/index.md Este guia percorre uma sessão típica com o skill **SOC 2 Control Narrative Author**: você informa ao agente o escopo da auditoria e as políticas existentes, e o agente redige narrativas de controle alinhadas aos Trust Services Criteria (TSC) da AICPA, adiciona placeholders de evidência e executa uma ferramenta de validação integrada para fechar lacunas antes da auditoria Type I ou Type II. Você verá diálogos de exemplo como mensagens de chat e excertos do documento após cada turno principal para saber o que esperar em cada passo. ## O que você precisa - Um projeto Rakenne com o skill **SOC 2 Control Narrative Author** ativado. - Uma ideia clara das **categorias TSC no escopo** (ex.: apenas Security ou Security + Availability). - Documentos existentes que o agente deva usar ou estender: política de controle de acesso, procedimento de gestão de mudanças, runbooks, documentação BCP/DR. --- ## Turno 1: Definir o escopo Você abre o projeto e descreve o objetivo. O agente confirma o escopo e pergunta se deve criar um novo documento ou estender um existente. > **Você:** Precisamos de preparação para SOC 2 Type II. Estamos no escopo de Security (todos os critérios comuns) e Availability. Pode redigir narrativas de controle e placeholders de evidência para CC1 a CC9 e A1? > **Agente:** Vou redigir as narrativas de controle para Security (CC1–CC9) e Availability (A1). Você já tem um documento de narrativas de controle para eu estender ou devo criar um novo? > **Você:** Crie um novo documento. Temos uma política de controle de acesso, um procedimento de gestão de mudanças e runbooks de monitoramento. > **Agente:** Criei `soc2-control-narratives.md` com seções por critério. Para **CC1 (Control environment)** descrevi a supervisão do conselho e a estrutura de gestão e adicionei um placeholder de evidência: "Board charter, org chart, atas de reuniões de gestão." Para **CC6 (Logical and physical access)** referenciei sua política de controle de acesso e adicionei placeholders para revisões de acesso e checklist de desligamento. Continuo com CC2–CC5, CC7–CC9 e A1. **Excerto do documento após o turno 1** — O novo arquivo tem título, nota de escopo e os primeiros critérios preenchidos; o resto fica esboçado para a próxima passada. ```md # SOC 2 Control Narratives — [Company] **Scope:** Security (CC1–CC9), Availability (A1). Target: Type II readiness. ## CC1 — Control environment … ## CC6 — Logical and physical access controls … ## CC2 — Communication and information *[Drafting in progress…]* ``` --- ## Turno 2: Completar todos os critérios O agente terminou de redigir CC2–CC5, CC7–CC9 e A1. Você revisa e pede um refinamento. > **Agente:** Concluí todas as seções. CC2–CC5 cobrem comunicação, avaliação de riscos, atividades de monitoramento e de controle; CC7–CC9 cobrem resposta a incidentes, gestão de mudanças e mitigação de riscos. A1 cobre disponibilidade (SLA, monitoramento, BCP/DR). Cada critério tem uma narrativa de controle e uma linha de evidência. Diga se quiser vincular alguma narrativa a uma política ou runbook específico pelo nome. > **Você:** Para CC7 pode nomear nosso runbook de resposta a incidentes e adicionar um placeholder para as notas do exercício de mesa? > **Agente:** CC7 atualizado: a narrativa referencia agora "Incident Response Runbook v1.2" e a linha de evidência inclui "Tabletop exercise notes (annual)." **Excerto após o turno 2** — CC7 e A1 mostram o padrão: narrativa + placeholders de evidência concretos. ```md ## CC7 — Incident response **Evidence:** Incident Response Runbook v1.2; incident log sample; tabletop exercise notes (annual). ## A1 — Availability **Evidence:** SLA document; PagerDuty runbook; BCP section 4.2; DR test report 2025. ``` --- ## Turno 3: Executar a ferramenta de validação Você pede ao agente para executar a verificação de cobertura integrada. A ferramenta informa quais critérios estão presentes e se cada um tem narrativa e referência de evidência; também pode sinalizar evidência ausente ou fraca. > **Você:** Execute a ferramenta de validação para ver se está faltando algo. > **Agente:** Executei `check_trust_services_criteria_coverage` no documento. Resultado: 10 critérios referenciados (CC1–CC9, A1). Dois avisos: CC4 e CC7 precisam de uma referência de evidência mais clara (ex.: nome do runbook ou do relatório). Vou adicionar agora. > **Agente:** Atualizei CC4 para referenciar "Monitoring and Alerting Runbook" e CC7 já tinha o nome do runbook; adicionei "quarterly incident review summary" à linha de evidência. Nova execução: **PASS** — os 10 critérios têm narrativa e referência de evidência. **Saída do validador (excerto)** — O que a ferramenta reporta antes e depois das correções. ```text === Trust Services Criteria Coverage === Criteria referenced: CC1, CC2, CC3, CC4, CC5, CC6, CC7, CC8, CC9, A1 (10) … Overall: 2 warnings. Address warnings and re-run for a clean PASS. ``` Após as atualizações do agente, uma segunda execução mostra: ```text Overall: PASS — All referenced criteria have control narrative and evidence reference. ``` --- ## Turno 4: Pronto para a preparação da auditoria Com o check em PASS, o documento está em bom estado para revisão interna e preparação da auditoria. Você ainda pode pedir mais seções (ex.: uma checklist de preparação) ou alinhar o texto a um auditor ou framework específico. > **Você:** Adicione uma checklist de preparação curta no topo com uma linha por critério e colunas para narrativa feita, evidência coletada e responsável. > **Agente:** Adicionei uma tabela "Readiness checklist" no topo do documento com as colunas Criterion, Control narrative, Evidence collected, Owner. Linhas para CC1–CC9 e A1. Você pode preencher Owner e Evidence collected conforme for reunindo os artefatos. **Excerto após o turno 4** — O topo do documento inclui agora a tabela da checklist. ```md ## Readiness checklist | Criterion | Control narrative | Evidence collected | Owner | | CC1 | Done | — | — | … ``` --- ## Resumo | Passo | Você | Agente | Estado do documento | | ----- | ---- | ------ | ------------------- | | 1 | Indicar escopo (Security + Availability) e pedir novo doc | Cria `soc2-control-narratives.md`, redige CC1, CC6, esboça o resto | Novo arquivo com primeiros critérios e placeholders | | 2 | Pedir nomes de runbooks/evidências | Completa todos os critérios, vincula CC7 ao runbook e às notas de tabletop | Rascunho completo para CC1–CC9 e A1 | | 3 | Pedir execução da validação | Executa `check_trust_services_criteria_coverage`, corrige evidências CC4/CC7, re-executa | Mesmo doc com linhas de evidência mais claras; check PASS | | 4 | Pedir checklist de preparação | Adiciona tabela da checklist no topo | Documento pronto para revisão interna e coleta de evidências | O skill **SOC 2 Control Narrative Author** mantém a conversa em linguagem simples e produz narrativas e placeholders de evidência alinhados ao TSC. Use a ferramenta integrada **check_trust_services_criteria_coverage** após cada edição relevante para que as lacunas sejam corrigidas antes do auditor. ## Próximos passos - **[SOC 2 Control Narrative Author](/skills/soc2-control-narrative-author/)** — Página do skill com visão geral e detalhes do validador. - **[SOC 2 Readiness Gap Analysis](/skills/soc2-readiness-gap-analysis/)** — Mapear controles existentes ao TSC, localizar critérios não mapeados e construir um roadmap de remediação. - **[Gestão de sessões e higiene de contexto](/learn/tutorials/session-management/)** — Manter sessões SOC 2 longas focadas e evitar sobrecarga de contexto. --- Back to [Tutoriais](https://rakenne.app/pt/learn/tutorials/index.md)