# SOC 2 e GDPR: O que perguntar a um fornecedor de proxies residenciais


As perguntas que vale a pena fazer a um fornecedor de proxies residenciais começam com um tema: como a rede é obtida. As certificações indicam que um fornecedor administra bem seus controles, e elas são importantes, mas o mais útil a se entender é como os endereços IP foram obtidos, pois essa é a base sobre a qual tudo o mais se sustenta. Essas são perguntas legítimas a se fazer a qualquer parceiro de dados da web, incluindo a Massive. Este guia apresenta essas perguntas na ordem em que devem ser feitas, explica como reconhecer uma resposta sólida e, quando for relevante, mostra como Massive as responde, para que você possa distinguir um proxy residencial genuinamente em conformidade com o GDPR daquele que apenas faz referência a isso. Uma rede confiável responderá a cada uma delas com detalhes específicos.

Se o(a) senhor(a) é a pessoa responsável por escolher um fornecedor de dados da web ou por explicar essa escolha a uma equipe de segurança, este guia foi escrito para o(a) senhor(a). Ele pressupõe que o(a) senhor(a) saiba por que sua organização coleta dados públicos da web e se concentra na diligência necessária para manter essa coleta sólida e fácil de defender.

## Pontos-chave

- **A origem é a primeira questão, não a última.** As certificações confirmam que um fornecedor opera seus controles; a resposta sobre a origem indica como os endereços IP foram obtidos. Pergunte como os dispositivos entram na rede antes de analisar qualquer certificação.
- **O SOC 2 tem um escopo e um tipo, e ambos são importantes.** Um relatório SOC 2 Tipo II testa os controles ao longo de um período; um Tipo I é um instantâneo de um único dia. Pergunte qual deles, em que período e abrangendo quais dos cinco Critérios de Serviços de Confiança.
- **A conformidade com o GDPR significa uma base legal e um Acordo de Tratamento de Dados (DPA) que o senhor possa assinar.** Para uma rede de proxy, o ponto fundamental é que a participação dos dispositivos atenda ao padrão de consentimento e que você possa obter um acordo de processamento de dados com uma lista nominal de subprocessadores.
- **A trilha de auditoria é a prova de transparência.** Um fornecedor capaz de rastrear uma solicitação até uma fonte que deu consentimento pode demonstrar seu trabalho. Essa é a mesma [cadeia de custódia](https://www.joinmassive.com/blog/rendering-web-through-consent) que uma rede opt-in foi projetada para fornecer.
- **Um parceiro sólido acolhe essas perguntas.** Uma boa diligência é colaborativa, não adversária. O objetivo é confirmar uma base sólida, e uma rede construída sobre ela responderá com clareza.

## Por que a origem dos dispositivos merece uma resposta concreta

Um fornecedor de proxies residenciais ocupa um lugar significativo em sua infraestrutura: seu tráfego sai por meio de dispositivos que o fornecedor adquire; portanto, a forma como esses dispositivos se juntaram à rede faz parte de sua própria base. Isso torna a origem dos dispositivos um aspecto justo e útil de se compreender, e não uma mera formalidade.

Nem toda rede residencial é construída com base no consentimento, e é exatamente por isso que a questão da origem merece uma resposta concreta, em vez de um mero adjetivo. A boa notícia é que uma rede baseada em consentimento facilita isso: ela pode indicar o mecanismo pelo qual seus endereços IP aderiram, apontar as certificações que abrangem cada parte da cadeia e descrever a trilha de auditoria que vincula uma solicitação a um dispositivo que deu seu consentimento. Fazer as perguntas abaixo é simplesmente a maneira de confirmar que essa base existe, e é o tipo de diligência que um parceiro sólido espera e valoriza.

## As perguntas a serem feitas, em ordem

Trate esses quatro grupos em sequência. O grupo de origem vem primeiro propositalmente, pois é a base sobre a qual o restante se constrói.

### Grupo 1: Origem e Consentimento

Este é o grupo mais importante e aquele que vale a pena abordar primeiro.

- **Como os endereços IP entram na sua rede?** É necessário um mecanismo específico, um SDK divulgado e que os usuários optem por participar em troca de um valor.
- **O que o proprietário do dispositivo recebeu em troca, e ele foi informado sobre o que estava concordando?** O consentimento válido nos termos do [Artigo 4(11) do GDPR](https://gdpr-info.eu/art-4-gdpr/) é dado livremente, é específico, informado e inequívoco. Uma troca de valor real é o que o torna genuíno.
- **O usuário pode revogar o consentimento, e o que ocorre quando o faz?** O Artigo 7(3) do GDPR torna a revogação tão fácil quanto a concessão do consentimento. Uma resposta clara reflete um modelo saudável.
- **É possível rastrear uma solicitação específica até o dispositivo de origem que concedeu o consentimento?** Essa é a questão da trilha de auditoria, e uma resposta afirmativa acompanhada de uma explicação é o sinal mais forte que um fornecedor pode oferecer.

### Grupo 2: Certificações e o que elas abrangem

Agora, os selos de certificação, com o escopo que lhes confere significado.

- **Você possui a certificação SOC 2, e ela é do Tipo I ou do Tipo II?** O Tipo II verifica se os controles funcionaram efetivamente durante um período de tempo, de acordo com os [Critérios de Serviços de Confiança da AICPA](https://www.aicpa-cima.com/resources/download/2017-trust-services-criteria-with-revised-points-of-focus-2022) (Segurança, Disponibilidade, Integridade do Processamento, Confidencialidade, Privacidade). Solicite o relatório sob um acordo de confidencialidade (NDA) e verifique o período e os critérios abrangidos.
- **Você possui certificação que abranja o próprio processo de cadastro do aplicativo?** A [AppEsteem](https://customer.appesteem.com/Home/AppCertReqs) certifica aplicativos com base em requisitos de consentimento informado independente, divulgação de componentes incluídos e desinstalação completa. Para uma rede originada por SDK, essa é uma evidência direta sobre o momento do consentimento.
- **Possui a certificação ISO/IEC 27001?** Seu controle A.5.19 sobre relações com fornecedores é relevante, e a certificação indica um programa de segurança gerenciado.

### Grupo 3: Tratamento de Dados e Aspectos Jurídicos

A documentação que facilita a adoção do relacionamento.

- **Vocês assinarão um acordo de tratamento de dados, e qual é a sua base legal nos termos do Artigo 6º do GDPR?** O senhor deseja um acordo de processamento de dados (DPA), e o fornecedor deve ser capaz de indicar sua base legal para a contratação.
- **Quem são seus subprocessadores, e como seremos notificados sobre alterações?** O Artigo 28 do GDPR aborda as garantias do processador e a divulgação dos subprocessadores. Uma lista nominal é a resposta adequada.
- **Qual é o seu compromisso em relação à retenção de dados e à notificação de violações?** Você deseja prazos de retenção definidos e um cronograma de notificação que permita o seu planejamento.

### Grupo 4: Operacional e Suporte

As questões que uma equipe de segurança levará em consideração após a assinatura.

- **Qual é o seu processo de resposta a incidentes e como podemos entrar em contato com um representante humano durante um incidente?** Para um comprador corporativo, um canal de suporte direto é preferível a uma fila de tickets.
- **Como vocês mantêm sua rede em bom estado e monitorada?** Um fornecedor que mantém ativamente seu ambiente está cuidando da base da qual vocês dependem.

## Como é uma resposta sólida: como a Massive responde a cada uma delas

O objetivo das perguntas é obter detalhes específicos. Para tornar isso mais concreto, veja a seguir como uma rede sólida responde a elas, usando a nossa própria rede como exemplo prático. Considere isso como o modelo de uma boa resposta, não um roteiro a ser seguido palavra por palavra.

| O que você perguntou | Uma resposta sólida e específica | Como a Massive responde |
|----------------|---------------------------|---------------------|
| Como os IPs se inscrevem? | Cita um SDK divulgado e uma troca de valor real | Todos os IPs se inscreveram por meio do SDK da Massive, onde os usuários trocaram largura de banda ociosa por um benefício premium no aplicativo |
| É possível rastrear uma solicitação até uma fonte que deu consentimento? | Sim, descreve a trilha de auditoria | Trilha de auditoria completa, da fonte até a solicitação |
| SOC 2? | Tipo II, indica o período e os critérios, compartilhado sob NDA | Auditado segundo o SOC 2 Tipo I (Segurança), dezembro de 2025; relatório sob NDA via Trust Center |
| Retirada do consentimento? | Um processo concreto, tão fácil quanto a adesão | Participação revogável, em conformidade com o Art. 7(3) do GDPR |
| Subprocessadores e Acordo de Tratamento de Dados (DPA)? | Lista nominal, DPA pronto para assinatura | Em conformidade com o GDPR, DPA disponível |
| Certificação de inscrição? | AppEsteem ou equivalente | Certificado pela AppEsteem; amostras de telas de consentimento disponíveis sob NDA |
| Cobertura e presença? | Dispositivos reais, regiões geográficas especificadas | Dispositivos reais de consumidores em mais de 195 países |

O aspecto a ser observado é a especificidade: um fornecedor bem fundamentado responde com mecanismos e documentos. É exatamente isso que agiliza a diligência, pois as respostas já estão prontas.

## Um questionário para fornecedores que você pode reutilizar

Incorpore essas dez perguntas diretamente em sua próxima avaliação de um parceiro de dados da web. É justo fazer essas perguntas a qualquer um, inclusive a nós:

1. Descreva exatamente como um endereço IP passa a fazer parte de sua rede.
2. O que o proprietário de um dispositivo recebe por participar e como a participação é informada a ele?
3. Como um usuário pode cancelar sua participação e qual é o efeito desse cancelamento?
4. É possível rastrear uma solicitação de saída específica até um dispositivo de origem que tenha dado consentimento? Descreva a trilha de auditoria.
5. Apresente seu relatório SOC 2. Indique o tipo, o período de referência e os critérios abrangidos.
6. Qual certificação abrange o consentimento e a divulgação no momento do cadastro do aplicativo?
7. Indique sua base legal nos termos do GDPR para a coleta de dados e confirme que assinará um Acordo de Tratamento de Dados (DPA).
8. Liste seus subprocessadores e seu processo de notificação de alterações.
9. Indique seus prazos de retenção de dados e o cronograma de notificação de violações.
10. Descreva seu processo de resposta a incidentes e o canal de suporte disponível durante um incidente.

Um parceiro que responda a todas as dez perguntas com detalhes é aquele que você pode adotar com confiança. O pilar que define o que torna uma [rede de proxies residenciais ética](https://www.joinmassive.com/blog/ethically-sourced-web-access-network) de origem ética fornece a estrutura por trás de cada pergunta.

## Perguntas frequentes

### Um proxy residencial está em conformidade com o GDPR apenas porque o fornecedor assim o afirma?

Essa afirmação é fácil de confirmar, e é por isso que a pergunta é feita. A conformidade com o GDPR para uma rede de proxies significa uma base legal nos termos do Artigo 6, consentimento para a participação do dispositivo que atenda ao padrão do Artigo 4(11), um acordo de tratamento de dados passível de assinatura e subprocessadores devidamente divulgados. Um fornecedor capaz de apresentar um Acordo de Tratamento de Dados (DPA) e indicar sua base legal está em conformidade de forma verificável, e um fornecedor confiável terá esses documentos à disposição.

### Qual é a diferença entre o SOC 2 Tipo I e o Tipo II para um fornecedor de proxy?

O Tipo I descreve os controles de um fornecedor em um único momento; o Tipo II verifica se esses controles funcionaram de maneira eficaz durante um período, geralmente de 3 a 12 meses. O Tipo II é o relatório que tem maior peso em uma análise, pois reflete a operação sustentada. Pergunte qual é o tipo, o período de referência e quais dos cinco Critérios de Serviços de Confiança estão abrangidos.

### Quais certificações um provedor de proxy residencial em conformidade deve possuir?

Procure a certificação SOC 2 Tipo II para controles operacionais, uma postura em conformidade com o GDPR com um DPA (Acordo de Proteção de Dados) assinável para fundamentação legal e consentimento, e certificação que abranja o cadastro de aplicativos, como o AppEsteem, para o momento do consentimento. A ISO/IEC 27001 é um forte sinal adicional. O conjunto é importante porque cada um abrange um elo diferente: cadastro, base legal e operações. Juntos, eles descrevem uma rede bem fundamentada.

### Como a trilha de auditoria me ajuda como comprador?

Ela oferece transparência comprovável. Um fornecedor capaz de rastrear uma solicitação até um dispositivo de origem que deu consentimento pode demonstrar, em vez de apenas afirmar, que seu fornecimento foi aceito. Essa é a prova prática por trás de uma alegação de fornecimento, e é o tipo de resposta que torna uma análise de segurança direta. Quando um provedor consegue guiá-lo por essa cadeia, o senhor pode adotar a rede com confiança.

## Conclusão

Uma boa análise de um fornecedor de proxy consiste, na verdade, em confirmar uma base sólida, e isso começa com uma pergunta: como seus IPs deram consentimento? Certificações, acordos de proteção de dados (DPAs) e questionários existem para comprovar a resposta, e uma rede idônea tem essas evidências à disposição. Solicite informações sobre o mecanismo, as certificações específicas e a trilha de auditoria, e preste atenção aos detalhes.

Os fornecedores com os quais vale a pena trabalhar receberão bem essas perguntas, pois uma rede obtida por meio de um processo de adesão divulgado, com auditoria SOC 2 Tipo I, conformidade com o GDPR, certificação AppEsteem e uma trilha de auditoria completa desde a fonte até a solicitação, foi construída para respondê-las. Para conhecer o mecanismo por trás desse modelo, leia [como uma rede de proxy com opt-in realmente funciona](https://www.joinmassive.com/blog/rendering-web-through-consent), e você poderá ver como uma rede documenta sua postura de conformidade na [Massive](https://joinmassive.com).
