Gorgias SOC 2 e segurança: o que cobre e o que não cobre (2026)

Alicia Kirana Utomo
Escrito por

Alicia Kirana Utomo

Katelin Teen
Revisado por

Katelin Teen

Última edição June 14, 2026

Verificado por especialista
Ilustração principal do guia de segurança e SOC 2 da Gorgias

Resumo rápido

Sim, a Gorgias é compatível com SOC 2, e do tipo forte: SOC 2 Type II, auditado de forma independente e renovado todo ano desde 2022, com o relatório mais recente datado de 12/31/2025. Você pode solicitar o relatório pelo Gorgias Trust Center, baseado em Vanta.

SOC 2 Type II é a única certificação própria que a Gorgias realmente possui. GDPR e CCPA são tratados contratualmente por meio do seu Acordo de Processamento de Dados; HIPAA e um BAA estão disponíveis sob solicitação. A ISO 27001 pertence ao seu provedor de nuvem (Google Cloud), não à Gorgias em si, e não há certificação PCI porque os dados de cartão são passados para a Stripe em vez de armazenados.

O que a maioria dos compradores não percebe: um selo SOC 2 comprova que os controles de um fornecedor foram auditados, mas não diz nada sobre se seu fornecedor de IA treina com seus dados, como seus dados são isolados, ou o quanto seu agente de IA pode fazer. Para uma pilha de suporte de ecommerce que em 2026 alimenta uma IA com dados de pedidos em tempo real, essas perguntas importam tanto quanto o certificado, e são as que colocaríamos no topo de qualquer revisão de segurança.

O que o SOC 2 realmente significa (e o que não significa)

O SOC 2 é uma estrutura de auditoria administrada pelo American Institute of CPAs. Um auditor independente avalia um fornecedor de software com base em um conjunto de controles chamados Trust Services Criteria, e então emite um relatório. Não é uma licença governamental nem um selo único de aprovado/reprovado, é um relatório detalhado que um comprador lê.

A coisa mais útil de se saber é a diferença entre os dois tipos de relatório, porque os fornecedores a confundem constantemente:

  • SOC 2 Type I confirma que os controles estavam projetados corretamente em um único dia. É uma fotografia pontual.
  • SOC 2 Type II confirma que esses controles realmente funcionaram de forma eficaz durante uma janela de 6 a 12 meses. É um histórico comprovado.

Type II é o que realmente importa, e é o que a Gorgias possui. Um relatório Type I pode ser obtido em uma tarde de burocracia; um Type II significa que um auditor observou os controles em funcionamento durante quase um ano inteiro.

Comparação entre SOC 2 Type I e Type II, com os cinco Trust Services Criteria
Comparação entre SOC 2 Type I e Type II, com os cinco Trust Services Criteria

Existem cinco Trust Services Criteria que um auditor pode cobrir: Security, Availability, Processing Integrity, Confidentiality e Privacy. Apenas Security (os «Common Criteria») é obrigatório, os outros quatro são incluídos a critério do fornecedor, o que é um motivo para ler o relatório real em vez de confiar no logotipo. Se você quiser mais contexto sobre a própria plataforma primeiro, nossa análise da Gorgias cobre o que o produto faz no dia a dia.

A Gorgias tem SOC 2? Sim, Type II

A Gorgias possui SOC 2 Type II e o renova anualmente. Seu Trust Center informa que a última renovação foi concedida em 11/30/2024 e que este é o quarto ano consecutivo, e lista um relatório para download intitulado «Gorgias SOC 2 Type II Report 12.31.2025.pdf». A Gorgias anunciou a certificação por primeira vez após uma auditoria independente de seis meses, com renovações contínuas desde 2022. (A data 11/30/2024 é quando a renovação mais recente foi concedida; o nome do arquivo do relatório simplesmente reflete o período de auditoria coberto, até 12/31/2025.) Para mais contexto sobre a empresa por trás do selo, veja nosso artigo sobre quem é o proprietário da Gorgias.

Gorgias Trust Center mostrando seu status SOC 2 Type II e selos de conformidade, conforme visto em Gorgias

O Trust Center é administrado pela Vanta, o que significa que os controles por trás do selo são monitorados continuamente, em vez de verificados uma vez por ano e depois esquecidos. Isso é um bom sinal: é a diferença entre um fornecedor que trata a conformidade como um sistema vivo e um que a trata como um simulado anual. O mesmo se aplica a qualquer agente de helpdesk com IA que você esteja avaliando, monitoramento contínuo supera um PDF desatualizado.

Como obter o relatório SOC 2 da Gorgias

O relatório propriamente dito fica atrás de uma solicitação simples, o que é normal, os relatórios SOC 2 contêm detalhes internos suficientes para que os fornecedores raramente os publiquem abertamente. Veja o caminho:

  1. Abra o Gorgias Trust Center e encontre o documento restrito «SOC 2 Type II Report».
  2. Envie um formulário de «Request Access» (a página de segurança direciona a mesma solicitação pelo portal da Vanta). Você também pode enviar um e-mail para security@gorgias.com.
  3. Se você já estiver em um plano pago, existe um atalho. A seção 8 do DPA da Gorgias permite que um cliente aceite um relatório SOC 2 Type II vigente em vez de realizar sua própria auditoria presencial, desde que tenha menos de 12 meses e não tenha havido mudanças significativas nos controles.

Esse terceiro ponto é mais valioso do que parece. Para uma pequena equipe de ecommerce, um relatório SOC 2 Type II fornecido pelo fornecedor costuma ser toda a revisão de segurança, você o lê em vez de encomendar a sua própria. O mesmo Trust Center também restringe um relatório de teste de penetração, um plano de resposta a incidentes e uma política de criptografia, caso sua equipe de compras queira o conjunto completo.

O panorama completo de conformidade da Gorgias

Aqui é onde o marketing e a realidade se afastam um pouco. Circulam muitas afirmações do tipo «a Gorgias é de nível empresarial», então vale a pena esclarecer exatamente quais certificações são realmente da Gorgias e quais pertencem a outra parte da pilha.

FrameworkStatus na GorgiasO que realmente está por trás
SOC 2 Type II✅ Possui, renovado anualmente (4º ano)Certificação própria; relatório datado de 12/31/2025, via o Trust Center
SOC 2 Type ISuperadoA Gorgias possui o Type II, mais rigoroso; nenhum Type I independente é divulgado
GDPR✅ CompatívelDPA público com SCCs UE/Reino Unido/Suíça
CCPA / privacidade dos EUA✅ CompatívelSelo «CCPA Compliant» no Trust Center; previsto no DPA
HIPAA + BAA⚠️ Disponível sob solicitaçãoOferecido, mas o relatório e o BAA ficam restritos após uma solicitação de acesso
ISO 27001❌ Não é da própria GorgiasPertence à Google Cloud, seu provedor de nuvem, não à Gorgias
PCI DSS❌ Não possuiDados de cartão não são armazenados; os pagamentos são delegados à Stripe

Portanto, o resumo honesto: SOC 2 Type II é a certificação que a Gorgias possui e audita; GDPR, CCPA e HIPAA são tratados de forma contratual e operacional em vez de como certificados separados; e ISO 27001 e PCI DSS não são da Gorgias. Nada disso é uma crítica, é uma postura normal e sólida para um helpdesk de ecommerce. Significa apenas que você deve citar o relatório SOC 2 Type II, não um selo ISO 27001, ao redigir sua revisão de fornecedor. (Se o custo de tudo isso for sua verdadeira dúvida, nosso guia de preços da Gorgias e o detalhamento do limite de tickets da Gorgias cobrem o modelo de cobrança.)

Além do selo: como a Gorgias trata seus dados

Um certificado é um resumo. A substância é o que o fornecedor faz com seus dados quando ninguém está auditando, e o whitepaper de segurança 2025 da Gorgias e o DPA são razoavelmente específicos nesse ponto.

Página de segurança da Gorgias detalhando criptografia, hospedagem e controles de acesso, conforme visto em Gorgias

Criptografia. A Gorgias envia dados «exclusivamente por conexões criptografadas HTTPS TLS», e todos os dados em seus servidores são criptografados em repouso com chaves gerenciadas no serviço de gerenciamento de chaves do Google Cloud. Uma pequena ressalva para os mais rigorosos: as próprias páginas da Gorgias dizem «criptografado em repouso» sem citar uma cifra específica como AES-256, então, se sua equipe de segurança precisar disso por escrito, peça diretamente.

Hospedagem e residência de dados. A Gorgias funciona na Google Cloud Platform, não na AWS, que é a suposição com a qual muitos compradores chegam. Backups criptografados são mantidos em várias regiões do Google Cloud, e a lista de subprocessadores mostra que o Google Cloud abrange EUA, UE e Austrália. O que a Gorgias não promete publicamente é uma opção de residência exclusivamente na UE para um único cliente, então, se a residência de dados for um requisito obrigatório para você, confirme isso por escrito antes de assinar.

Para onde seus dados realmente viajam. Esta é a parte que um selo SOC 2 por si só não mostra. Os dados de suporte dos seus clientes não ficam apenas dentro da Gorgias, eles fluem para uma lista de subprocessadores nomeados, e é exatamente isso que o SOC 2 se destina a controlar.

Para onde viajam os dados de suporte da Gorgias: da mensagem do comprador para o helpdesk da Gorgias no Google Cloud, e depois para os subprocessadores OpenAI, Stripe e Twilio
Para onde viajam os dados de suporte da Gorgias: da mensagem do comprador para o helpdesk da Gorgias no Google Cloud, e depois para os subprocessadores OpenAI, Stripe e Twilio

A lista de subprocessadores (revisada por último em 30 de março de 2026) inclui OpenAI para recursos de IA, Stripe para pagamentos, Twilio para SMS e voz, além de Cloudflare, Datadog e outros. Para a maioria deles, os dados ficam nos EUA, motivo pelo qual existe o mecanismo de transferência para a UE no DPA. Vale destacar que a seção 5 do DPA concede a você 15 dias de aviso prévio para qualquer novo subprocessador e uma janela de 10 dias para contestar por motivos de proteção de dados.

Notificação de violação e exclusão. Dois números que vale a pena conhecer. Em caso de violação de segurança, a Gorgias se compromete a notificá-lo dentro de um prazo fixo:

"[We] notify Customer of a Security Breach without undue delay, and in any event within 72 hours after becoming aware of it."

Essa linha vem da seção 6 do DPA da Gorgias. E na saída, a seção 9 obriga a Gorgias a devolver e excluir seus dados pessoais dentro de 90 dias após o término do contrato, embora cópias de backup possam persistir por um período razoável antes de expirar. Se você quiser o passo a passo prático para solicitar a exclusão, escrevemos um guia separado sobre GDPR e exclusão de dados da Gorgias.

Testes. A Gorgias realiza testes de penetração anuais em caixa cinza e publica uma página de status pública para incidentes. Uma inconsistência que apontamos com honestidade: o whitepaper de 2025 descreve um programa de bug bounty privado e ativo, enquanto a página de segurança em tempo real diz que o programa de bug bounty está «atualmente pausado». Pequeno, mas o tipo de coisa que um revisor cuidadoso percebe. Para o que vale, não encontramos nenhum registro público de uma violação de dados real da Gorgias.

Controles de acesso: SSO, SAML e 2FA

Certificados de conformidade cobrem o back-end. No dia a dia, o controle de segurança que sua equipe usa é o login, e aqui a Gorgias é mais generosa do que a maioria dos helpdesks no nível de entrada.

ControleDisponibilidade
SSO do Google e Microsoft 365✅ Todos os planos de Helpdesk
SAML SSO personalizado (Okta, JumpCloud)Configuração separada de «SSO personalizado» (nível não informado publicamente)
Autenticação de dois fatores (2FA)Autoatendimento; administradores podem exigi-la, com prazo de carência de 14 dias
Permissões baseadas em função✅ Disponível
Verificação de e-mail como alternativaAcionada em novos locais / IPs sem uso por 30 dias

O destaque é que o SSO do Google e Microsoft está disponível em todos os planos de Helpdesk, sem estar restrito a um nível empresarial, o que é uma boa decisão. O SAML SSO personalizado via provedores como o Okta é uma configuração separada, e a documentação da Gorgias não informa publicamente qual nível pago o exige, então pergunte se o SAML é indispensável para você. Os administradores também podem tornar o 2FA obrigatório para todo o workspace com um prazo de carência de aplicação de 14 dias, e configurar entrada automática por domínio de e-mail aprovado. Se você administra a conta, nosso guia de login da Gorgias cobre o básico de acesso.

SOC 2 é o mínimo obrigatório, não a história toda

Aqui está a reformulação que gostaríamos que qualquer fundador de ecommerce levasse consigo. Um relatório SOC 2 Type II é necessário, e a Gorgias tem um bom. Mas em 2026, sua ferramenta de suporte não está apenas armazenando tickets, ela está executando um agente de suporte com IA da Gorgias que lê dados de pedidos da Shopify, emite reembolsos e edita assinaturas. O selo audita os controles do fornecedor; ele não responde o que a IA dele faz com seus dados.

O que um selo SOC 2 confirma em comparação com as perguntas que ele não responde sobre um fornecedor de suporte com IA
O que um selo SOC 2 confirma em comparação com as perguntas que ele não responde sobre um fornecedor de suporte com IA

Três perguntas ficam fora do escopo de um relatório SOC 2 padrão, e são as que faríamos a qualquer fornecedor de suporte com IA, incluindo a Gorgias:

  • O fornecedor (ou seu subprocessador de IA) treina modelos com seus dados? A Gorgias usa a OpenAI como subprocessadora; os termos de API da OpenAI dizem que dados comerciais não são usados para treinamento, mas você deve confirmar essa cadeia explicitamente em vez de presumir.
  • O quão isolados estão seus dados de outros clientes? SaaS multilocatário é normal, mas o rigor do isolamento varia, e raramente é detalhado em uma página de marketing.
  • Quanto o agente de IA realmente pode ver e fazer? Um agente capaz de emitir reembolsos e ler o histórico de pedidos de cada cliente representa uma superfície de segurança maior do que um chatbot que apenas responde FAQs. Controle de escopo é um recurso de segurança.

Essas não são razões para evitar a Gorgias, são o padrão que você aplicaria a qualquer helpdesk com IA, e vale a pena incorporá-las à sua lista de verificação de fornecedores junto com o relatório SOC 2. Se você está comparando opções nesse aspecto, nosso comparativo do melhor software de helpdesk com IA pesa o tratamento de dados, não apenas os recursos. Fazemos o mesmo em nosso guia sobre a melhor IA para suporte na Shopify.

Experimente a eesel

Se você está avaliando uma camada de suporte com IA com essas três perguntas em mente, essa é exatamente a perspectiva para a qual a eesel foi construída. A eesel executa agentes de IA autônomos dentro dos helpdesks que você já usa, e trata o tratamento de dados como um recurso de primeira classe: seus dados nunca são usados para treinar nenhum modelo, cada workspace é totalmente isolado de qualquer outro cliente, e você controla precisamente o que o agente pode ver e fazer por meio de uma configuração de simulação e delimitação antes que ele toque em um ticket ao vivo.

Página de segurança da eesel mostrando selos de confiança GDPR, CCPA e Vanta, e seu compromisso de não treinar modelos

No lado da conformidade, a eesel é compatível com GDPR e CCPA com DPAs padrão e personalizados, honra solicitações de exclusão dentro de 60 dias, e está em processo de obtenção do SOC 2 Type II sob monitoramento contínuo da Vanta (o relatório completo estará disponível sob NDA na conclusão). Você pode ler os detalhes na página de segurança da eesel ou começar gratuitamente e delimitar um agente com seus próprios dados primeiro. Para o lado do custo da comparação, nosso detalhamento de preços da Gorgias mostra o que o agente de IA realmente custa.

Perguntas frequentes

A Gorgias tem conformidade SOC 2?
Sim. A Gorgias possui SOC 2 Type II e o renova anualmente desde 2022, com o relatório mais recente datado de 12/31/2025. Type II é o mais rigoroso dos dois relatórios SOC 2, pois audita se os controles realmente funcionaram durante uma janela de 6 a 12 meses, e não apenas se foram bem projetados em um único dia.
Como consigo uma cópia do relatório SOC 2 da Gorgias?
Acesse o Gorgias Trust Center, baseado em Vanta, e solicite acesso ao PDF restrito «SOC 2 Type II Report», ou envie um e-mail para security@gorgias.com. Se você já é cliente, o DPA da Gorgias permite aceitar esse relatório em vez de realizar sua própria auditoria.
A Gorgias é compatível com GDPR e HIPAA?
A Gorgias é compatível com o GDPR e a CCPA, com um Acordo de Processamento de Dados público que cobre transferências da UE, Reino Unido e Suíça por meio de Cláusulas Contratuais Padrão. A conformidade com HIPAA e um Acordo de Associado Comercial são oferecidos, mas ambos exigem uma solicitação de acesso em vez de estarem publicados abertamente. Cobrimos o lado da exclusão de dados em nosso guia sobre a conformidade GDPR da Gorgias.
Onde a Gorgias armazena meus dados?
A Gorgias é hospedada na Google Cloud Platform (não na AWS, apesar da suposição comum), com dados criptografados em trânsito via TLS e criptografados em repouso usando o serviço de gerenciamento de chaves do Google Cloud. Os backups são mantidos em várias regiões do Google Cloud. As páginas públicas da Gorgias não garantem uma opção de residência de dados exclusivamente na UE para uma determinada conta, então confirme isso diretamente se a residência de dados for um requisito obrigatório para você.
Um selo SOC 2 é suficiente para confiar em uma ferramenta de suporte com IA?
Não por si só. Um relatório SOC 2 informa que os controles de segurança de um fornecedor foram auditados de forma independente, mas não diz se seu fornecedor de IA treina modelos com seus dados, o quão estritamente os dados de cada cliente são isolados, ou o quanto seu agente de IA pode ver e fazer. Essas são perguntas separadas que vale a pena fazer a qualquer fornecedor de agente de helpdesk com IA, e é exatamente assim que a eesel trata a segurança.

Share this article

Alicia Kirana Utomo

Article by

Alicia Kirana Utomo

Kira is a writer at eesel AI with a Computer Science background and over a year of hands-on experience evaluating AI-powered customer service tools. She focuses on breaking down how helpdesk platforms and AI agents actually work so that support teams can make better buying decisions.

Related Posts

All posts →
Ilustração do widget de chat web da Gorgias para chat em tempo real e suporte com IA na Shopify
Guides

Widget de chat web da Gorgias: o guia completo de configuração, IA e custos em 2026

Como funciona o widget de chat web da Gorgias, como instalá-lo e personalizá-lo na Shopify, o que o AI Agent consegue e não consegue fazer, e quanto ele realmente custa.

Riellvriany IndriawanRiellvriany IndriawanJun 15, 2026
Banner ilustrado para um panorama de precos do Gorgias AI, em coral Gorgias
Guides

Precos do Gorgias AI: guia completo de custos para 2026

Um panorama completo de 2026 sobre os precos do Gorgias AI: os planos baseados em tickets, o add-on AI Agent a US$ 0,90 por resolucao, a cobranca dupla oculta e o que voce realmente paga.

Riellvriany IndriawanRiellvriany IndriawanJun 15, 2026
Gorgias para Shopify: helpdesk de e-commerce, chat ao vivo e agente de suporte com IA
Guides

Gorgias para Shopify: funcionalidades, preços e o agente de IA, revistos (2026)

Como o Gorgias funciona para lojas Shopify: a integração nativa de pedidos, chat ao vivo, automação com agente de IA, preços reais com exemplo prático e onde fica aquém.

Riellvriany IndriawanRiellvriany IndriawanJun 12, 2026
Banner ilustrado para o artigo com as 7 melhores alternativas ao Gorgias em 2026
Guides

7 melhores alternativas ao Gorgias em 2026

O Gorgias foi feito para Shopify, mas seu modelo de cobrança por ticket fica difícil de justificar conforme você cresce. Testamos 7 alternativas — de opções econômicas a soluções enterprise — para você encontrar a que melhor se encaixa.

Alicia Kirana UtomoAlicia Kirana UtomoJun 14, 2026
Diagrama de fluxo de automação Gorgias Shopify com os logotipos do Gorgias e do Shopify
Guides

Como configurar a automação Gorgias Shopify (guia completo para 2026)

O Gorgias oferece quatro camadas de automação distintas para lojas Shopify. Veja como cada uma funciona, qual configurar primeiro e onde elas ficam aquém.

Stevia PutriStevia PutriJun 2, 2026
Ilustração de uma loja Shopify com o widget de chat bubble do Gorgias no canto
Guides

O chat bubble do Gorgias para Shopify: guia completo de configuração e personalização (2026)

Tudo o que os comerciantes Shopify precisam saber sobre o chat bubble do Gorgias - como instalá-lo corretamente, personalizá-lo, corrigir problemas quando ele falha e tornar a IA realmente útil.

Stevia PutriStevia PutriJun 2, 2026
Imagem do banner para Vale a pena usar o Gorgias AI? Uma análise honesta de 2026
Guides

Vale a pena usar o Gorgias AI? Uma análise honesta de 2026

Uma análise honesta do valor do Gorgias AI, abordando preocupações com preços, pontos fortes da integração com o Shopify, o sentimento real dos usuários e se é a opção certa para sua empresa.

Stevia PutriStevia PutriMar 16, 2026
Como usar a automação do Gorgias para encaminhar tickets por idioma e loja
Guides

Como usar a automação do Gorgias para encaminhar tickets por idioma e loja

Com dificuldades para gerenciar o suporte para vários idiomas e lojas? Este guia mostra como configurar a automação do Gorgias para encaminhar tickets de forma eficaz e apresenta uma solução de IA complementar para otimizar ainda mais seus fluxos de trabalho.

Stevia PutriStevia PutriOct 29, 2025
7 Melhores concorrentes do Gorgias para equipes de ecommerce em 2026
Guides

7 Melhores concorrentes do Gorgias para equipes de ecommerce em 2026

Explorando alternativas ao Gorgias por causa de seu preço ou recursos? Analisamos os 7 melhores concorrentes do Gorgias, incluindo Zendesk, Help Scout e eesel AI, para ajudar você a encontrar a opção certa para sua equipe de suporte de ecommerce em 2026.

Kenneth PanganKenneth PanganDec 24, 2025

Pronto para contratar seu colega de IA?

Configure em minutos. Sem cartão de crédito necessário.

Comece grátis