Attestation Standard Section 801 (AT 801, Estándar de atestación sección 801) es un estándar diseñado para organizaciones de servicios (como AWS) para informar de forma independiente sobre el cumplimiento de las políticas, procedimientos y controles. Proporciona una guía para los auditores que evalúan AWS como organización de servicios. El informe SOC 1 de AWS lo preparan nuestros auditores de servicios independientes (Ernst & Young, LLP) de acuerdo con la AT 801. Proporciona un informe de seguridad y la opinión de un auditor independiente sobre los controles internos de AWS que puedan ser relevantes para el control interno de un cliente sobre los informes financieros. El estándar AT 801 lo publica el Auditing Standards Board (ASB, Comité de estándares de auditoría) del American Institute of Certified Public Accountants (AICPA, Instituto estadounidense de contables públicos certificados) y sustituye a los dos estándares orientativos anteriores sobre controles de organizaciones de servicios para auditores, comúnmente conocidos como SSAE 16 y SAS 70.

Los informes de seguridad, disponibilidad y confidencialidad SOC 3 y de seguridad, disponibilidad y confidencialidad SOC 2 de AWS se preparan de acuerdo con la sección 101 de la norma de acreditación (AT 101), que es una norma que permite a un auditor informar sobre temas diferentes a los estados financieros con base en la guía de AICPA Informes sobre controles en una organización de servicios pertinentes para la disponibilidad de la seguridad, la integridad de los procesos, la confidencialidad o privacidad y los principios y criterios de servicios de confianza.

En Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS cubiertos en el ámbito de los informes SOC. Si desea más información sobre el uso de estos servicios o sobre otros servicios, contacte con nosotros.

Regiones EE.UU. Este (Norte de Virginia), EE.UU. Este (Ohio), EE.UU. Oeste (Oregón), EE.UU. Oeste (Norte de California), AWS GovCloud (EE.UU.), Canadá (Central), Europa (Irlanda), Europea (Fráncfort), Europa (Londres), Asia Pacífico (Singapur), Asia Pacífico (Sídney), Asia Pacífico (Tokio), Asia Pacífico (Seúl), Asia Pacífico (Mumbai) y América del Sur (São Paulo), así como también las ubicaciones de borde de AWS en:

Ernst & Young LLP realiza las auditorías SOC 1, SOC 2 y SOC 3 de AWS.

AWS publica cada año dos informes SOC 1, SOC 2 y SOC 3 que cubren periodos de 6 meses (el primer informe cubre del 1 de octubre al 31 de marzo y el segundo informe cubre del 1 de abril al 30 de septiembre). A mediados de mayo y de noviembre se publican informes nuevos.

La auditoría SOC 1 de AWS se realiza según las normas internacionales para compromisos de seguridad nº 3402 (ISAE 3402). Los clientes que necesiten un informe ISAE 3402 deben pedir un informe SOC 1 Tipo II de AWS.

Solo se necesita un NDA para consultar los informes AWS SOC 1 y 2. El informe AWS SOC 3 se encuentra disponible públicamente aquí. El informe SOC 3 es un resumen del informe SOC 2 de AWS. En él se explica que AWS cumple los principios de seguridad de confianza de AICPA en SOC 2 y se incluye la opinión del auditor externo acerca de la operación de los controles.

El informe SOC 1 y SOC 2 de AWS está disponible para clientes que utilizan AWS Artifact, un portal autoservicio de acceso bajo demanda a los informes de conformidad de AWS. Comience a utilizar AWS Artifact hoy mismo.

El SOC 3 de AWS está disponible para el público y puede encontrarse aquí.