
Resumo rápido
Sim, a Gorgias é compatível com SOC 2, e do tipo forte: SOC 2 Type II, auditado de forma independente e renovado todo ano desde 2022, com o relatório mais recente datado de 12/31/2025. Você pode solicitar o relatório pelo Gorgias Trust Center, baseado em Vanta.
SOC 2 Type II é a única certificação própria que a Gorgias realmente possui. GDPR e CCPA são tratados contratualmente por meio do seu Acordo de Processamento de Dados; HIPAA e um BAA estão disponíveis sob solicitação. A ISO 27001 pertence ao seu provedor de nuvem (Google Cloud), não à Gorgias em si, e não há certificação PCI porque os dados de cartão são passados para a Stripe em vez de armazenados.
O que a maioria dos compradores não percebe: um selo SOC 2 comprova que os controles de um fornecedor foram auditados, mas não diz nada sobre se seu fornecedor de IA treina com seus dados, como seus dados são isolados, ou o quanto seu agente de IA pode fazer. Para uma pilha de suporte de ecommerce que em 2026 alimenta uma IA com dados de pedidos em tempo real, essas perguntas importam tanto quanto o certificado, e são as que colocaríamos no topo de qualquer revisão de segurança.
O que o SOC 2 realmente significa (e o que não significa)
O SOC 2 é uma estrutura de auditoria administrada pelo American Institute of CPAs. Um auditor independente avalia um fornecedor de software com base em um conjunto de controles chamados Trust Services Criteria, e então emite um relatório. Não é uma licença governamental nem um selo único de aprovado/reprovado, é um relatório detalhado que um comprador lê.
A coisa mais útil de se saber é a diferença entre os dois tipos de relatório, porque os fornecedores a confundem constantemente:
- SOC 2 Type I confirma que os controles estavam projetados corretamente em um único dia. É uma fotografia pontual.
- SOC 2 Type II confirma que esses controles realmente funcionaram de forma eficaz durante uma janela de 6 a 12 meses. É um histórico comprovado.
Type II é o que realmente importa, e é o que a Gorgias possui. Um relatório Type I pode ser obtido em uma tarde de burocracia; um Type II significa que um auditor observou os controles em funcionamento durante quase um ano inteiro.

Existem cinco Trust Services Criteria que um auditor pode cobrir: Security, Availability, Processing Integrity, Confidentiality e Privacy. Apenas Security (os «Common Criteria») é obrigatório, os outros quatro são incluídos a critério do fornecedor, o que é um motivo para ler o relatório real em vez de confiar no logotipo. Se você quiser mais contexto sobre a própria plataforma primeiro, nossa análise da Gorgias cobre o que o produto faz no dia a dia.
A Gorgias tem SOC 2? Sim, Type II
A Gorgias possui SOC 2 Type II e o renova anualmente. Seu Trust Center informa que a última renovação foi concedida em 11/30/2024 e que este é o quarto ano consecutivo, e lista um relatório para download intitulado «Gorgias SOC 2 Type II Report 12.31.2025.pdf». A Gorgias anunciou a certificação por primeira vez após uma auditoria independente de seis meses, com renovações contínuas desde 2022. (A data 11/30/2024 é quando a renovação mais recente foi concedida; o nome do arquivo do relatório simplesmente reflete o período de auditoria coberto, até 12/31/2025.) Para mais contexto sobre a empresa por trás do selo, veja nosso artigo sobre quem é o proprietário da Gorgias.
O Trust Center é administrado pela Vanta, o que significa que os controles por trás do selo são monitorados continuamente, em vez de verificados uma vez por ano e depois esquecidos. Isso é um bom sinal: é a diferença entre um fornecedor que trata a conformidade como um sistema vivo e um que a trata como um simulado anual. O mesmo se aplica a qualquer agente de helpdesk com IA que você esteja avaliando, monitoramento contínuo supera um PDF desatualizado.
Como obter o relatório SOC 2 da Gorgias
O relatório propriamente dito fica atrás de uma solicitação simples, o que é normal, os relatórios SOC 2 contêm detalhes internos suficientes para que os fornecedores raramente os publiquem abertamente. Veja o caminho:
- Abra o Gorgias Trust Center e encontre o documento restrito «SOC 2 Type II Report».
- Envie um formulário de «Request Access» (a página de segurança direciona a mesma solicitação pelo portal da Vanta). Você também pode enviar um e-mail para security@gorgias.com.
- Se você já estiver em um plano pago, existe um atalho. A seção 8 do DPA da Gorgias permite que um cliente aceite um relatório SOC 2 Type II vigente em vez de realizar sua própria auditoria presencial, desde que tenha menos de 12 meses e não tenha havido mudanças significativas nos controles.
Esse terceiro ponto é mais valioso do que parece. Para uma pequena equipe de ecommerce, um relatório SOC 2 Type II fornecido pelo fornecedor costuma ser toda a revisão de segurança, você o lê em vez de encomendar a sua própria. O mesmo Trust Center também restringe um relatório de teste de penetração, um plano de resposta a incidentes e uma política de criptografia, caso sua equipe de compras queira o conjunto completo.
O panorama completo de conformidade da Gorgias
Aqui é onde o marketing e a realidade se afastam um pouco. Circulam muitas afirmações do tipo «a Gorgias é de nível empresarial», então vale a pena esclarecer exatamente quais certificações são realmente da Gorgias e quais pertencem a outra parte da pilha.
| Framework | Status na Gorgias | O que realmente está por trás |
|---|---|---|
| SOC 2 Type II | ✅ Possui, renovado anualmente (4º ano) | Certificação própria; relatório datado de 12/31/2025, via o Trust Center |
| SOC 2 Type I | Superado | A Gorgias possui o Type II, mais rigoroso; nenhum Type I independente é divulgado |
| GDPR | ✅ Compatível | DPA público com SCCs UE/Reino Unido/Suíça |
| CCPA / privacidade dos EUA | ✅ Compatível | Selo «CCPA Compliant» no Trust Center; previsto no DPA |
| HIPAA + BAA | ⚠️ Disponível sob solicitação | Oferecido, mas o relatório e o BAA ficam restritos após uma solicitação de acesso |
| ISO 27001 | ❌ Não é da própria Gorgias | Pertence à Google Cloud, seu provedor de nuvem, não à Gorgias |
| PCI DSS | ❌ Não possui | Dados de cartão não são armazenados; os pagamentos são delegados à Stripe |
Portanto, o resumo honesto: SOC 2 Type II é a certificação que a Gorgias possui e audita; GDPR, CCPA e HIPAA são tratados de forma contratual e operacional em vez de como certificados separados; e ISO 27001 e PCI DSS não são da Gorgias. Nada disso é uma crítica, é uma postura normal e sólida para um helpdesk de ecommerce. Significa apenas que você deve citar o relatório SOC 2 Type II, não um selo ISO 27001, ao redigir sua revisão de fornecedor. (Se o custo de tudo isso for sua verdadeira dúvida, nosso guia de preços da Gorgias e o detalhamento do limite de tickets da Gorgias cobrem o modelo de cobrança.)
Além do selo: como a Gorgias trata seus dados
Um certificado é um resumo. A substância é o que o fornecedor faz com seus dados quando ninguém está auditando, e o whitepaper de segurança 2025 da Gorgias e o DPA são razoavelmente específicos nesse ponto.
Criptografia. A Gorgias envia dados «exclusivamente por conexões criptografadas HTTPS TLS», e todos os dados em seus servidores são criptografados em repouso com chaves gerenciadas no serviço de gerenciamento de chaves do Google Cloud. Uma pequena ressalva para os mais rigorosos: as próprias páginas da Gorgias dizem «criptografado em repouso» sem citar uma cifra específica como AES-256, então, se sua equipe de segurança precisar disso por escrito, peça diretamente.
Hospedagem e residência de dados. A Gorgias funciona na Google Cloud Platform, não na AWS, que é a suposição com a qual muitos compradores chegam. Backups criptografados são mantidos em várias regiões do Google Cloud, e a lista de subprocessadores mostra que o Google Cloud abrange EUA, UE e Austrália. O que a Gorgias não promete publicamente é uma opção de residência exclusivamente na UE para um único cliente, então, se a residência de dados for um requisito obrigatório para você, confirme isso por escrito antes de assinar.
Para onde seus dados realmente viajam. Esta é a parte que um selo SOC 2 por si só não mostra. Os dados de suporte dos seus clientes não ficam apenas dentro da Gorgias, eles fluem para uma lista de subprocessadores nomeados, e é exatamente isso que o SOC 2 se destina a controlar.

A lista de subprocessadores (revisada por último em 30 de março de 2026) inclui OpenAI para recursos de IA, Stripe para pagamentos, Twilio para SMS e voz, além de Cloudflare, Datadog e outros. Para a maioria deles, os dados ficam nos EUA, motivo pelo qual existe o mecanismo de transferência para a UE no DPA. Vale destacar que a seção 5 do DPA concede a você 15 dias de aviso prévio para qualquer novo subprocessador e uma janela de 10 dias para contestar por motivos de proteção de dados.
Notificação de violação e exclusão. Dois números que vale a pena conhecer. Em caso de violação de segurança, a Gorgias se compromete a notificá-lo dentro de um prazo fixo:
"[We] notify Customer of a Security Breach without undue delay, and in any event within 72 hours after becoming aware of it."
Essa linha vem da seção 6 do DPA da Gorgias. E na saída, a seção 9 obriga a Gorgias a devolver e excluir seus dados pessoais dentro de 90 dias após o término do contrato, embora cópias de backup possam persistir por um período razoável antes de expirar. Se você quiser o passo a passo prático para solicitar a exclusão, escrevemos um guia separado sobre GDPR e exclusão de dados da Gorgias.
Testes. A Gorgias realiza testes de penetração anuais em caixa cinza e publica uma página de status pública para incidentes. Uma inconsistência que apontamos com honestidade: o whitepaper de 2025 descreve um programa de bug bounty privado e ativo, enquanto a página de segurança em tempo real diz que o programa de bug bounty está «atualmente pausado». Pequeno, mas o tipo de coisa que um revisor cuidadoso percebe. Para o que vale, não encontramos nenhum registro público de uma violação de dados real da Gorgias.
Controles de acesso: SSO, SAML e 2FA
Certificados de conformidade cobrem o back-end. No dia a dia, o controle de segurança que sua equipe usa é o login, e aqui a Gorgias é mais generosa do que a maioria dos helpdesks no nível de entrada.
| Controle | Disponibilidade |
|---|---|
| SSO do Google e Microsoft 365 | ✅ Todos os planos de Helpdesk |
| SAML SSO personalizado (Okta, JumpCloud) | Configuração separada de «SSO personalizado» (nível não informado publicamente) |
| Autenticação de dois fatores (2FA) | Autoatendimento; administradores podem exigi-la, com prazo de carência de 14 dias |
| Permissões baseadas em função | ✅ Disponível |
| Verificação de e-mail como alternativa | Acionada em novos locais / IPs sem uso por 30 dias |
O destaque é que o SSO do Google e Microsoft está disponível em todos os planos de Helpdesk, sem estar restrito a um nível empresarial, o que é uma boa decisão. O SAML SSO personalizado via provedores como o Okta é uma configuração separada, e a documentação da Gorgias não informa publicamente qual nível pago o exige, então pergunte se o SAML é indispensável para você. Os administradores também podem tornar o 2FA obrigatório para todo o workspace com um prazo de carência de aplicação de 14 dias, e configurar entrada automática por domínio de e-mail aprovado. Se você administra a conta, nosso guia de login da Gorgias cobre o básico de acesso.
SOC 2 é o mínimo obrigatório, não a história toda
Aqui está a reformulação que gostaríamos que qualquer fundador de ecommerce levasse consigo. Um relatório SOC 2 Type II é necessário, e a Gorgias tem um bom. Mas em 2026, sua ferramenta de suporte não está apenas armazenando tickets, ela está executando um agente de suporte com IA da Gorgias que lê dados de pedidos da Shopify, emite reembolsos e edita assinaturas. O selo audita os controles do fornecedor; ele não responde o que a IA dele faz com seus dados.

Três perguntas ficam fora do escopo de um relatório SOC 2 padrão, e são as que faríamos a qualquer fornecedor de suporte com IA, incluindo a Gorgias:
- O fornecedor (ou seu subprocessador de IA) treina modelos com seus dados? A Gorgias usa a OpenAI como subprocessadora; os termos de API da OpenAI dizem que dados comerciais não são usados para treinamento, mas você deve confirmar essa cadeia explicitamente em vez de presumir.
- O quão isolados estão seus dados de outros clientes? SaaS multilocatário é normal, mas o rigor do isolamento varia, e raramente é detalhado em uma página de marketing.
- Quanto o agente de IA realmente pode ver e fazer? Um agente capaz de emitir reembolsos e ler o histórico de pedidos de cada cliente representa uma superfície de segurança maior do que um chatbot que apenas responde FAQs. Controle de escopo é um recurso de segurança.
Essas não são razões para evitar a Gorgias, são o padrão que você aplicaria a qualquer helpdesk com IA, e vale a pena incorporá-las à sua lista de verificação de fornecedores junto com o relatório SOC 2. Se você está comparando opções nesse aspecto, nosso comparativo do melhor software de helpdesk com IA pesa o tratamento de dados, não apenas os recursos. Fazemos o mesmo em nosso guia sobre a melhor IA para suporte na Shopify.
Experimente a eesel
Se você está avaliando uma camada de suporte com IA com essas três perguntas em mente, essa é exatamente a perspectiva para a qual a eesel foi construída. A eesel executa agentes de IA autônomos dentro dos helpdesks que você já usa, e trata o tratamento de dados como um recurso de primeira classe: seus dados nunca são usados para treinar nenhum modelo, cada workspace é totalmente isolado de qualquer outro cliente, e você controla precisamente o que o agente pode ver e fazer por meio de uma configuração de simulação e delimitação antes que ele toque em um ticket ao vivo.
No lado da conformidade, a eesel é compatível com GDPR e CCPA com DPAs padrão e personalizados, honra solicitações de exclusão dentro de 60 dias, e está em processo de obtenção do SOC 2 Type II sob monitoramento contínuo da Vanta (o relatório completo estará disponível sob NDA na conclusão). Você pode ler os detalhes na página de segurança da eesel ou começar gratuitamente e delimitar um agente com seus próprios dados primeiro. Para o lado do custo da comparação, nosso detalhamento de preços da Gorgias mostra o que o agente de IA realmente custa.
Perguntas frequentes
A Gorgias tem conformidade SOC 2?
Como consigo uma cópia do relatório SOC 2 da Gorgias?
A Gorgias é compatível com GDPR e HIPAA?
Onde a Gorgias armazena meus dados?
Um selo SOC 2 é suficiente para confiar em uma ferramenta de suporte com IA?

Article by
Alicia Kirana Utomo
Kira is a writer at eesel AI with a Computer Science background and over a year of hands-on experience evaluating AI-powered customer service tools. She focuses on breaking down how helpdesk platforms and AI agents actually work so that support teams can make better buying decisions.







