SOC-Compliance

Ich hätte gern Informationen über SOC in der Cloud

SOC

AWS Service Organization Control (SOC)-Berichte sind durch unabhängige Dritte erstellte Prüfberichte, die nachweisen, wie AWS wichtige Compliance-Kontrollen und -Ziele erfüllt. Zweck dieser Berichte ist es, Ihnen und Ihren Prüfern die AWS-Kontrollen zu veranschaulichen, die für die Unterstützung von Betrieb und Compliance eingerichtet wurden. Es gibt drei Typen von AWS SOC-Berichten:

AWS SOC 1-Bericht – Mit AWS Artifact herunterladen
AWS SOC 2: Bericht zu Sicherheit, Verfügbarkeit und Vertraulichkeit – Mit AWS Artifact herunterladen
AWS SOC 3: Sicherheits-, Verfügbarkeits- und Vertraulichkeitsbericht

SOC Cloud Compliance-Kunden

Slack bietet eine Nachrichtenplattform an, die sich in eine breite Palette von Kommunikationsdiensten integrieren lässt und diese vereinheitlicht, etwa Twitter, Dropbox, Google Docs, Jira, GitHub, MailChimp, Trello und Stripe. Das Unternehmen mit Sitz in San Francisco, das seine gleichnamige App im Februar 2014 einführte, wurde von einer kleinen Gruppe von Unternehmern aus dem Silicon Valley gegründet, unter anderem vom Flickr-Gründer Stewart Butterfield. »

Kaplan, Inc. bedient jährlich weltweit mehr als 1,2 Millionen Studenten mit seinem Angebot an Hochschulbildung, Prüfungsvorbereitung, Berufsbildung, Englischkursen, Universitätsvorbereitung und K-12-Angeboten für Einzelpersonen, Institutionen und Unternehmen. Kaplan ist ein anerkanntes Unternehmen für erweiterten Bildungszugang und den Einsatz von Technologie und lernwissenschaftlichen Innovationen. »

„AWS zeichnet sich durch sein hohes strategisches Engagement in Cloud Computing aus. Darüber hinaus veranschaulicht es seine Sicherheitsmethoden in dem veröffentlichten Audit-Bericht „Service Organization Controls 1“ (SOC 1), Typ 2. Hinzu kommt, dass der Service äußerst benutzerfreundlich und einfach zu implementieren ist.“ »

DNAnexus hat sich aufgrund der Compliance mit Standards wie HIPAA, ISO27001, SOC 1/2/3, ISO9001, FedRamp und FISMA für Amazon Web Services entschieden. Der Anbieter kann dadurch eine Plattform bereitstellen, auf der Kunden selbst umfangreichste klinisch konforme Projekte ausführen können. Sie profitieren dabei von hochwertigen und effizienten Analysen und einer sicheren und einfachen Zusammenarbeit. »

„Dank AWS kann Jobvite die Berichterstellungsstandards SSAE SOC 1, 2 und 3, PCI DSS Level 1 sowie die Anforderungen der ISO 27001-Zertifizierung erfüllen. Das ist extrem wichtig. Wir könnten unsere Dienstleistungen ohne diese Zertifizierungen gar nicht an Midmarket- und Enterprise-Kunden verkaufen, da sie diese von ihren SaaS-Anbieter fordern.“ »

Mambu hat die Tatsache überzeugt, dass AWS über eine Reihe von Compliance-Zertifizierungen wie SOC 1-, SOC 2- und SOC 3-Berichte, PCI DSS Level 1 sowie den Sicherheitsverwaltungsstandard ISO 27001 verfügt. Diese Referenzen sind für Banken unabdingbar. »

Welche Informationen bieten AWS SOC-Berichte?

	SOC 1	SOC 2: Sicherheit, Verfügbarkeit und Vertraulichkeit	SOC 3: Sicherheit, Verfügbarkeit und Vertraulichkeit
Was enthält der Bericht?	Eine Beschreibung des AWS-Kontrollumfelds und der externen Prüfung der von AWS definierten Kontrollen und Kontrollziele	Eine Beschreibung des AWS-Kontrollumfelds und der externen Prüfung der von AWS definierten Kontrollen, die die Prinzipien und Kriterien zu Sicherheit, Verfügbarkeit und Vertraulichkeit vertrauenswürdiger Services des American Institute of Certified Public Accountants (AICPA, Dachverband der US-amerikanischen Wirtschaftsprüfer) erfüllen	Ein für die Öffentlichkeit bestimmter Bericht zum Nachweis, dass AWS die Prinzipien und Kriterien zu Sicherheit, Verfügbarkeit und Vertraulichkeit vertrauenswürdiger Services des AICPA erfüllt
Gemäß welchem Standard wurde der Prüfbericht erstellt?	AICPA: AT 801, Reporting on Controls at a Service Organization	AICPA: AT 101, Attest Engagements AICPA Technical Practice Aid: TSP Section 100, Trust Services Principles, Criteria, and Illustrations	AICPA: AT 101, Attest Engagements
Was ist der Hauptzweck der Berichte?	Kunden Informationen zum AWS-Kontrollumfeld bieten, die für ihre internen Kontrollen bei der Finanzberichterstattung ggf. relevant sind Kunden und ihren Prüfern Informationen für ihre Bewertung und Einschätzung der Wirksamkeit interner Kontrollen bei der Finanzberichterstattung bieten	Kunden und Benutzern mit einem geschäftlichen Grund eine unabhängige Bewertung des für die Sicherheit, Verfügbarkeit und Vertraulichkeit ihrer Systeme relevanten Kontrollumfelds von AWS zur Verfügung stellen	Kunden und Benutzern mit einem geschäftlichen Grund eine unabhängige Bewertung des für die Sicherheit, Verfügbarkeit und Vertraulichkeit ihrer Systeme relevanten Kontrollumfelds von AWS zur Verfügung stellen, ohne AWS-interne Informationen preiszugeben
Wer ist der Hauptzielgruppe der Berichte?	Geschäftsleitung des Kunden und ihre Prüfer	Benutzer mit geschäftlichem Grund	Hier öffentlich zugänglich
Welchen Zeitraum deckt der AWS-Bericht ab?	6 Monate: 01.10.-31.03 und 01.04-30.09	6 Monate: 01.10.-31.03 und 01.04-30.09	6 Monate: 01.10.-31.03 und 01.04-30.09

Was ist AT 801?

Attestation Standard Section 801 (AT 801) ist ein für Dienstleistungsorganisationen (wie AWS) konzipierter Standard für die unabhängige Berichterstattung zur Befolgung von Richtlinien, Verfahren und Kontrollen. Der Standard bietet Anleitungen für Prüfer, die AWS als Dienstleistungsorganisation bewerten. Der AWS SOC 1-Bericht wird von unserem unabhängigen Dienstleistungsprüfer (Ernst & Young, LLP) in Übereinstimmung mit AT 801 erstellt und enthält eine Analyse der und die Meinung eines unabhängigen Prüfers zu den AWS-internen Kontrollen, die für die internen Kontrollen bei der Finanzberichterstattung eines Kunden ggf. relevant sind. AT 801 wird vom Auditing Standards Board (ASB) des American Institute of Certified Public Accountants (AICPA) herausgegeben und löst die beiden vorherigen Standards mit Anleitungen für Kontrollen von Dienstleistungsorganisationen (bekannt als SSAE 16 und SAS 70) ab.

Die Sicherheits-, Verfügbarkeits- und Vertraulichkeitsberichte von AWS SOC 2 und AWS SOC 3 werden nach Attestation Standard Section 101 (AT 101) erstellt. Dies ist ein Standard, der es einem Prüfer ermöglicht, einen Bericht zu einem anderen Thema als Bilanzen zu erstellen, basierend auf dem AICPA-Leitfaden Reporting on Controls at a Service Organization Relevant to Security Availability, Processing Integrity, Confidentiality, or Privacy sowie der Prinzipien und Kriterien zu vertrauenswürdigen Services.

Ausstellende Stelle	Standard	Beschreibung der Anleitung	Bericht
Auditing Standard Board (ASB) of the American Institute of Certified Public Accountants (AICPA) Weitere Informationen: www.aicpa.org	Attestation Standard Section 801 (AT 801)	Berichte zu Kontrollen bei einer Service-Organization: Dieser Abschnitt betrifft die Beauftragung von Dienstleistungsprüfern mit der Erstellung eines Berichts zu Kontrollen in Organisationen, die Unternehmen Dienstleistungen bereitstellen, bei denen die Kontrollen eines Dienstleistungsanbieters voraussichtlich für die interne Kontrolle der Finanzberichterstattung eines Unternehmens relevant sind. Weitere Informationen: AT 801	SOC 1
Attestation Standard Section 101 (AT 101)	Attest Engagements: In diesem Abschnitt wird ein Rahmenwerk für Bescheinigungsaufträge und allgemeine Bescheinigungsnormen definiert, einschließlich Beispielen von Untersuchungs- und Prüfberichten. Weitere Informationen: AT 101	SOC 2: Sicherheit, Verfügbarkeit und Vertraulichkeit SOC 3: Sicherheit, Verfügbarkeit und Vertraulichkeit

Ausstellende Stelle

Standard

Beschreibung der Anleitung

Bericht

Auditing Standard Board (ASB) of the American Institute of Certified Public Accountants (AICPA)

Weitere Informationen: www.aicpa.org

Attestation Standard Section 801 (AT 801)

Berichte zu Kontrollen bei einer Service-Organization:

Dieser Abschnitt betrifft die Beauftragung von Dienstleistungsprüfern mit der Erstellung eines Berichts zu Kontrollen in Organisationen, die Unternehmen Dienstleistungen bereitstellen, bei denen die Kontrollen eines Dienstleistungsanbieters voraussichtlich für die interne Kontrolle der Finanzberichterstattung eines Unternehmens relevant sind.

Weitere Informationen: AT 801

SOC 1

Attestation Standard Section 101 (AT 101)

Attest Engagements:

In diesem Abschnitt wird ein Rahmenwerk für Bescheinigungsaufträge und allgemeine Bescheinigungsnormen definiert, einschließlich Beispielen von Untersuchungs- und Prüfberichten.

Weitere Informationen: AT 101

SOC 2: Sicherheit, Verfügbarkeit und Vertraulichkeit

SOC 3: Sicherheit, Verfügbarkeit und Vertraulichkeit

Welche AWS-Services werden von den SOC-Berichten abgedeckt?

Die durch die SOC-Berichte abgedeckten AWS-Services finden Sie unter AWS-Services in Scope nach Compliance-Programm. Möchten Sie mehr über die Verwendung dieser Services erfahren und/oder interessieren Sie sich für andere Services, kontaktieren Sie uns.

Welche Regionen werden von den AWS SOC-Berichten abgedeckt?

Die Regionen USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (US), Kanada (Zentral), Europa (Irland), Europa (Frankfurt), Europa (London), Asien-Pazifik (Singapur), Asien-Pazifik (Sydney), Asien-Pazifik (Tokio), Asien-Pazifik (Seoul), Asien-Pazifik (Mumbai) und Südamerika (São Paulo) wie auch AWS Edge-Standorte in:

Melbourne, Australien
Sydney, Australien
Rio de Janeiro, Brasilien
São Paulo, Brasilien
Montreal, Kanada
Toronto, Kanada
Hongkong, China
London, England
Marseille, Frankreich
Paris, Frankreich
Frankfurt, Deutschland
Chennai, Indien
Mumbai, Indien
Neu-Delhi, Indien
Dublin, Irland
Mailand, Italien
Osaka, Japan
Tokio, Japan
Seoul, Korea
Amsterdam, Niederlande
Manila, Philippinen

Warschau, Polen
Singapur
Madrid, Spanien
Stockholm, Schweden
Taipei, Taiwan
Kalifornien, USA
Florida, USA
Georgia, USA
Illinois, USA
Indiana, USA
Minnesota, USA
Missouri, USA
New Jersey, USA
New York, USA
Ohio, USA
Oregon, USA
Pennsylvania, USA
Texas, USA
Virginia, USA
Washington, USA

Von wem wird die unabhängige Prüfung von AWS für die SOC-Berichte durchgeführt?

Die AWS SOC 1-, SOC 2- und SOC 3-Prüfungen werden von Ernst & Young LLP durchgeführt.

Wie häufig werden die AWS SOC-Berichte herausgegeben und wann wird ein neuer Bericht veröffentlicht?

AWS veröffentlicht jährlich zwei SOC 1-, SOC 2- und SOC 3-Berichte, die je 6 Monate abdecken (der erste Bericht gilt für den Zeitraum vom 1. Oktober bis 31. März, der zweite für den Zeitraum vom 1. April bis 30. September). Neue Berichte werden Mitte Mai und Mitte November veröffentlicht.

Gibt es einen ISAE 3402-Bericht?

Die AWS SOC 1-Prüfung wird in Übereinstimmung mit International Standards for Assurance Engagements No. 3402 (ISAE 3402)" durchgeführt. Kunden, die einen ISAE 3402-Bericht benötigen, müssen den AWS SOC 1 Type II-Bericht beantragen.

Ist eine Geheimhaltungserklärung erforderlich, um die AWS SOC-Berichte zu erhalten?

Eine Geheimhaltungserklärung ist nur erforderlich, um die AWS SOC 1- und 2-Berichte anzuzeigen. Der AWS SOC 3-Bericht ist hier öffentlich verfügbar. Der AWS SOC 3-Bericht ist eine Zusammenfassung des AWS SOC 2-Berichts. Darin wird erläutert, dass AWS die Trust Security Principles des AICPA in SOC 2 erfüllt, und enthält den Bestätigungsvermerk des externen Prüfers hinsichtlich der Verwendung von Kontrollen.

Wie beantrage ich einen AWS SOC 1- oder SOC 2-Bericht?

Kunden, die AWS Artifact nutzen, können auch die Berichte AWS SOC 1 und SOC 2 nutzen. AWS Artifact ist ein Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können. Erste Schritte mit AWS Artifact.

Wo finde ich den AWS SOC 3-Bericht?

Der AWS SOC 3-Bericht ist öffentlich verfügbar. Klicken Sie hier, um ihn anzuzeigen.

SOC Compliance-Ressourcen

Wünschen Sie weitere Informationen über AWS SOC-Compliance?

Kontakt