SOC

Übersicht

SOC-SizedLogo

AWS SOC-Berichte (System and Organization Controls) sind durch unabhängige Dritte erstellte Prüfberichte, die nachweisen, wie AWS wichtige Compliance-Kontrollen und -Ziele erfüllt. Zweck dieser Berichte ist es, Ihnen und Ihren Prüfern die AWS-Kontrollen zu veranschaulichen, die für die Unterstützung von Betrieb und Compliance eingerichtet wurden. Es gibt drei AWS SOC-Berichte:

  • AWS SOC 1-Bericht – wird AWS-Kunden über AWS Artifact bereitgestellt.
  • AWS SOC 2-Bericht zu Sicherheit, Verfügbarkeit und Vertraulichkeit – wird AWS-Kunden über AWS Artifact bereitgestellt.
  • AWS SOC 3-Bericht zu Sicherheit, Verfügbarkeit und Vertraulichkeit – öffentlich als Whitepaper verfügbar.
  • Welche Informationen bieten AWS SOC-Berichte?

      SOC 1 SOC 2: Sicherheit, Verfügbarkeit und Vertraulichkeit SOC 3: Sicherheit, Verfügbarkeit und Vertraulichkeit
    Was enthält der Bericht? Eine Beschreibung des AWS-Kontrollumfelds und der externen Prüfung der von AWS definierten Kontrollen und Kontrollziele Eine Beschreibung des AWS-Kontrollumfelds und der externen Prüfung der von AWS definierten Kontrollen, die die Prinzipien und Kriterien zu Sicherheit, Verfügbarkeit und Vertraulichkeit vertrauenswürdiger Services des American Institute of Certified Public Accountants (AICPA, Dachverband der US-amerikanischen Wirtschaftsprüfer) erfüllen Ein für die Öffentlichkeit bestimmter Bericht zum Nachweis, dass AWS die Prinzipien und Kriterien zu Sicherheit, Verfügbarkeit und Vertraulichkeit vertrauenswürdiger Services des AICPA erfüllt
    Gemäß welchem Standard wurde der Prüfbericht erstellt? SSAE-Nr. 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), was den AT-C-Abschnitt 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting, umfasst. AICPA Guide, Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®) SSAE-Nr. 18, Attestation Standards: Clarification and Recodification, was den AT-C-Abschnitt 105, Concepts Common to All Attestation Engagements, und den AT-C-Abschnitt 205, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy(SOC 2®) und den TSP-Abschnitt 100, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria), umfasst SSAE-Nr. 18, Attestation Standards: Clarification and Recodification, was den AT-C-Abschnitt 105, Concepts Common to All Attestation Engagements, und den AT-C-Abschnitt 205 sowie den Examination Engagements TSP-Abschnitt 100, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria), umfasst
    Was ist der Hauptzweck der Berichte?

    Kunden Informationen zum AWS-Kontrollumfeld bieten, die für ihre internen Kontrollen bei der Finanzberichterstattung ggf. relevant sind

    Kunden und ihren Prüfern Informationen für ihre Bewertung und Einschätzung der Wirksamkeit interner Kontrollen bei der Finanzberichterstattung bieten

    Kunden und Benutzern mit einem geschäftlichen Grund eine unabhängige Bewertung des für die Sicherheit, Verfügbarkeit und Vertraulichkeit ihrer Systeme relevanten Kontrollumfelds von AWS zur Verfügung stellen Kunden und Benutzern mit einem geschäftlichen Grund eine unabhängige Bewertung des für die Sicherheit, Verfügbarkeit und Vertraulichkeit ihrer Systeme relevanten Kontrollumfelds von AWS zur Verfügung stellen, ohne AWS-interne Informationen preiszugeben
    Wer ist die Hauptzielgruppe der Berichte? Geschäftsleitung des Kunden und ihre Prüfer Benutzer mit geschäftlichem Grund Hier öffentlich zugänglich
    Welchen Zeitraum deckt der AWS-Bericht ab?

    6 Monate:

    01.10.-31.03 und 01.04-30.09

    6 Monate:

    01.10.-31.03 und 01.04-30.09

    6 Monate:

    01.10.-31.03 und 01.04-30.09

  • Welche AWS-Services werden von den SOC-Berichten abgedeckt?

    Die durch die SOC-Berichte abgedeckten AWS-Services finden Sie unter AWS-Services in Scope nach Compliance-Programm. Möchten Sie mehr über die Verwendung dieser Services erfahren und/oder interessieren Sie sich für andere Services, kontaktieren Sie uns.

  • Welche Regionen werden von den AWS SOC-Berichten abgedeckt?

    Eine vollständige Liste aller abgedeckten Regionen finden Sie im AWS SOC 3-Bericht

  • Von wem wird die unabhängige Prüfung von AWS für die SOC-Berichte durchgeführt?

    Die AWS SOC 1-, SOC 2- und SOC 3-Prüfungen werden von Ernst & Young LLP durchgeführt.

  • Wie häufig werden die AWS SOC-Berichte herausgegeben und wann wird ein neuer Bericht veröffentlicht?

    AWS gibt seine SOC 1-, SOC 2- und SOC 3-Berichte halbjährlich heraus, wobei jeder Bericht einen Zeitraum von sechs Monaten erfasst (1. Oktober bis 31. März und 1. April bis 30. September). Neue Berichte werden Mitte Mai und Mitte November veröffentlicht.

  • Gibt es einen ISAE 3402-Bericht?

    Die AWS SOC 1-Prüfung wird in Übereinstimmung mit International Standards for Assurance Engagements No. 3402 (ISAE 3402)" durchgeführt. Kunden, die einen ISAE 3402-Bericht benötigen, können über AWS Artifact, einem Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können, einen AWS SOC 1-Bericht vom Typ II anfordern. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

  • Ist eine Geheimhaltungserklärung erforderlich, um die AWS SOC-Berichte zu erhalten?

    Für den Erhalt von AWS SOC 1- und SOC 2-Berichten ist die Unterzeichnung einer Geheimhaltungserklärung erforderlich. Der AWS SOC 3-Bericht ist eine öffentlich verfügbare Zusammenfassung des AWS SOC 2-Berichts. Im AWS SOC 3-Bericht wird erläutert, wie AWS die Trust Security Principles des AICPA in SOC 2 erfüllt. Zudem enthält der Bericht den Bestätigungsvermerk des externen Prüfers hinsichtlich der Umsetzung der Kontrollen. Den neuesten AWS SOC 3-Bericht können Sie auf der AWS-Website einsehen.

  • Wie beantrage ich einen AWS SOC 1- oder SOC 2-Bericht?

    AWS SOC 1 und SOC 2 stehen Kunden über AWS Artifact zur Verfügung, einem Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

  • Wo finde ich den AWS SOC 3-Bericht?

    Der neueste AWS SOC 3-Bericht ist auf der AWS-Website für die Öffentlichkeit verfügbar.

SOC-Ressourcen

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »