Conformité SOC

Je souhaite avoir des informations sur SOC dans le cloud

SOC

Les rapports AWS Service Organization Control (SOC) sont des comptes rendus rédigés suite à un audit indépendant réalisé par un tiers et indiquant comment AWS parvient à mettre en œuvre ses principaux contrôles et objectifs en termes de conformité. Ces rapports sont destinés à aider les clients et leurs auditeurs à comprendre les mesures de contrôle mises en place par AWS en termes d'opérations et de conformité. Il existe trois types de rapports AWS SOC :

Rapport AWS SOC 1 – Téléchargez-le avec AWS Artifact
AWS SOC 2 : rapport de sécurité, de disponibilité et de confidentialité – Téléchargez-le avec AWS Artifact
AWS SOC 3 : rapport de sécurité, de disponibilité et de confidentialité

Client conformité cloud SOC

Slack fournit une plateforme de messagerie qui s'intègre à un large éventail de services de communications qu'elle unifie, comme Twitter, Dropbox, Google Docs, Jira, GitHub, MailChimp, Trello et Stripe. La société basée à San Francisco, qui a lancé l'application Slack en février 2014, a été créée par un petit groupe d'entrepreneurs de la Silicon Valley, dont Stewart Butterfield, le fondateur de Flickr. »

Kaplan, Inc. prend en charge chaque année plus de 1,2 million d'étudiants dans le monde. La société propose un vaste choix d'offres concernant l'enseignement supérieur, la préparations aux examens, la formation professionnelle, l'apprentissage de l'anglais, les préparations universitaires et le niveau lycée aux particuliers, établissements et sociétés. Kaplan est reconnue pour son action visant à simplifier l'accès à l'éducation et son utilisation des innovations technologiques et des sciences de l'apprentissage. »

« AWS maintient un engagement stratégique envers le cloud computing et publie son audit SOC 1 (Service Organization Controls 1) Type 2 pour démontrer ses pratiques de sécurité. Nous trouvons également ce service simple à utiliser et à mettre en œuvre. » »

Amazon Web Services a su démontrer sa capacité à se conformer aux exigences de nombreuses normes : HIPAA, ISO27001, SOC 1/2/3, ISO9001, FedRamp ou encore FISMA. DNAnexus a ainsi été en mesure d'offrir à ses clients une plate-forme leur permettant de mener à bien des projets en conformité avec les normes cliniques, quelles que soient leur taille et leur portée, en étant assurés de la qualité et de l'efficacité de l'analyse et de la sécurité, ainsi que d'une collaboration aisée. »

« Grâce à AWS, Jobvite peut désormais adhérer aux normes d'audit SSAE SOC 1, 2 et 3, respecter le niveau 1 de la norme PCI DSS et obtenir la certification ISO 27001. Cela représente une valeur ajoutée considérable. Sans ces certifications, nous ne pourrions tout simplement pas vendre nos services aux grandes et moyennes entreprises, car elles les exigent de leurs fournisseurs SaaS. » »

Les responsables de la plate-forme bancaire Mambu ont été rassurés par le fait qu'AWS soit en conformité avec de nombreuses certifications : les normes d'audit SOC 1, SOC 2 et SOC 3, la certification PCI DSS de niveau 1 et la norme de gestion de la sécurité ISO 27001, par exemple, constituent des références essentielles dans le secteur bancaire. »

Quelles sont les informations fournies par les rapports AWS SOC ?

	SOC 1	SOC 2 : sécurité, disponibilité et confidentialité	SOC 3 : sécurité, disponibilité et confidentialité
En quoi consiste le rapport ?	Description de l'environnement de contrôle d'AWS et audit externe des contrôles et objectifs établis par AWS	Description de l'environnement de contrôle d'AWS et audit externe des contrôles AWS correspondant aux principes et critères de sécurité, de disponibilité et de confidentialité des services de confiance désignés par l'AICPA	Rapport public montrant qu'AWS respecte les principes et critères de sécurité, de disponibilité et de confidentialité des services de confiance désignés par l'AICPA
A quelle norme correspond le rapport d'audit ?	AICPA : AT 801, Rapport sur les contrôles au sein d'une entreprise de services	AICPA : AT 101, Missions d'attestation AICPA Technical Practice Aid : TSP Section 100, Principes, critères et exemples de services de confiance	AICPA : AT 101, Missions d'attestation
Quel est l'objectif principal du rapport ?	Fournir aux clients des informations concernant l'environnement de contrôle d'AWS qui peuvent les intéresser dans le cadre du contrôle interne de leurs états financiers Fournir aux clients et à leurs auditeurs des informations qui leur permettront d'évaluer l'efficacité des contrôles internes portant sur les états financiers	Fournir aux clients et utilisateurs dont l'activité présente des contraintes une évaluation indépendante de l'environnement de contrôle d'AWS en matière de sécurité, de disponibilité et de confidentialité des systèmes	Fournir aux clients et utilisateurs dont l'activité présente des contraintes une évaluation indépendante de l'environnement de contrôle d'AWS en matière de sécurité, de disponibilité et de confidentialité des systèmes, sans pour autant divulguer d'informations internes d'AWS
A qui s'adresse principalement le rapport ?	Entreprises clientes (dirigeants et auditeurs)	Utilisateurs dont l'activité présente des contraintes	Disponible publiquement ici
Quelle période couvre le rapport AWS ?	6 mois : du 1/10 au 31/3 et du 1/4 au 30/9	6 mois : du 1/10 au 31/3 et du 1/4 au 30/9	6 mois : du 1/10 au 31/3 et du 1/4 au 30/9

En quoi consiste la norme AT 801 ?

La norme Attestation Standard Section 801 (AT 801) permet aux organisations proposant des services (comme c'est le cas d'AWS) de rendre compte de manière indépendante de leur conformité à l'aide de politiques, de procédures et d'outils de contrôle. Cette norme contient des conseils pour les auditeurs qui évaluent AWS en tant qu'entreprise de services. Le rapport AWS SOC 1 est élaboré conformément à la norme AT 801 par nos auditeurs indépendants (Ernst & Young, LLP). Il inclut un rapport de certification ainsi que l'avis de l'auditeur indépendant sur les contrôles internes d'AWS susceptibles d'intéresser les clients dans le cadre de leur propre contrôle interne des états financiers. La norme AT 801 est publiée par l'Auditing Standards Board (ASB) de l'American Institute of Certified Public Accountants (AICPA) et vient remplacer deux normes directrices antérieures appelées SSAE 16 et SAS 70, qui étaient destinées aux auditeurs évaluant des mécanismes de contrôle au sein d'entreprises de services.

Les rapports de sécurité, de disponibilité et de confidentialité AWS SOC 2 et SOC 3 sont élaborés conformément à la norme Attestation Standard Section 101 (AT 101). Cette norme permet à un auditeur d'établir des rapports sur d'autres sujets que les états financiers, en se basant sur le guide de l'AICPA Reporting on Controls at a Service Organization Relevant to Security Availability, Processing Integrity, Confidentiality, or Privacy et sur les principes et critères des services de confiance.

Organisme émetteur	Norme	Description des instructions	Rapport
Auditing Standard Board (ASB) de l'American Institute of Certified Public Accountants (AICPA) En savoir plus : www.aicpa.org	Attestation Standard Section 801 (AT 801)	Rapport sur les contrôles au sein d'une entreprise de services : Cette section couvre les missions de vérification de l'auditeur lors de l'élaboration d'un rapport portant sur les mécanismes de contrôle d'organisations fournissant des services à des utilisateurs lorsque ces mesures de contrôle sont susceptibles intéresser les utilisateurs dans le cadre de leur propre contrôle interne portant sur les états financiers. En savoir plus : AT 801	SOC 1
Attestation Standard Section 101 (AT 101)	Missions d'attestation : Cette section met en place un cadre pour les missions d'attestation et décrit les normes générales d'attestation, en incluant des exemples de rapports d'audit et d'analyse. En savoir plus : AT 101	SOC 2 : sécurité, disponibilité et confidentialité SOC 3 : sécurité, disponibilité et confidentialité

Organisme émetteur

Norme

Description des instructions

Rapport

Auditing Standard Board (ASB) de l'American Institute of Certified Public Accountants (AICPA)

En savoir plus : www.aicpa.org

Attestation Standard Section 801 (AT 801)

Rapport sur les contrôles au sein d'une entreprise de services :

Cette section couvre les missions de vérification de l'auditeur lors de l'élaboration d'un rapport portant sur les mécanismes de contrôle d'organisations fournissant des services à des utilisateurs lorsque ces mesures de contrôle sont susceptibles intéresser les utilisateurs dans le cadre de leur propre contrôle interne portant sur les états financiers.

En savoir plus : AT 801

SOC 1

Attestation Standard Section 101 (AT 101)

Missions d'attestation :

Cette section met en place un cadre pour les missions d'attestation et décrit les normes générales d'attestation, en incluant des exemples de rapports d'audit et d'analyse.

En savoir plus : AT 101

SOC 2 : sécurité, disponibilité et confidentialité

SOC 3 : sécurité, disponibilité et confidentialité

Quels sont les services AWS entrant dans le cadre des rapports SOC ?

Les services AWS couverts qui appartiennent déjà au champ d'application des rapports SOC sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez nous contacter.

Quelles sont les régions concernées par les rapports AWS SOC ?

Régions USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), USA Ouest (Californie du Nord), AWS GovCloud (US), Canada (Centre), Europe (Irlande), Europe (Franfort), Europe (Londres), Asie-Pacifique (Singapour), Asie-Pacifique (Sydney), Asie-Pacifique (Tokyo), Asie-Pacifique (Séoul), Asie-Pacifique (Mumbai) et Amérique du Sud (São Paulo), ainsi que les emplacements périphériques AWS suivants :

Melbourne, Australie
Sydney, Australie
Rio de Janeiro, Brésil
São Paulo, Brésil
Montréal, Canada
Toronto, Canada
Hong Kong, Chine
Londres, Angleterre
Marseille, France
Paris, France
Francfort, Allemagne
Chennai, Inde
Mumbai, Inde
New Delhi, Inde
Dublin, Irlande
Milan, Italie
Osaka, Japon
Tokyo, Japon
Séoul, Corée
Amsterdam, Pays-Bas
Manille, Philippines

Varsovie, Pologne
Singapour
Madrid, Espagne
Stockholm, Suède
Taipei, Taiwan
Californie, États-Unis
Floride, États-Unis
Géorgie, États-Unis
Illinois, Etats-Unis
Indiana, Etats-Unis
Minnesota, Etats-Unis
Missouri, États-Unis
New Jersey, États-Unis
New York, États-Unis
Ohio, Etats-Unis
Oregon, Etats-Unis
Pennsylvanie, Etats-Unis
Texas, États-Unis
Virginie, États-Unis
Washington, États-Unis

Par qui l'audit externe indépendant d'AWS est-il réalisé dans le cadre des rapports SOC ?

Les audits AWS SOC 1, SOC 2 et SOC 3 sont réalisés par Ernst & Young LLP.

A quelle fréquence les rapports AWS SOC sont-ils publiés, et à quelles dates ?

AWS publie chaque année deux rapports SOC 1, SOC 2 et SOC 3 couvrant 6 mois (le premier rapport porte sur la période allant du 1er octobre au 31 mars et le second sur celle allant du 1er avril au 30 septembre). Ces rapports sont publiés mi-mai et mi-novembre.

Existe-t-il un rapport ISAE 3402 ?

L'audit AWS SOC 1 est réalisé conformément à la norme International Standards for Assurance Engagements No. 3402 (ISAE 3402). Les clients ayant besoin d'un rapport ISAE 3402 doivent demander le rapport AWS SOC 1 de type II.

Un accord de non divulgation (NDA) est-il nécessaire pour recevoir des rapports AWS SOC ?

Un NDA n'est requis que pour consulter les rapports AWS SOC 1 et 2. Le rapport AWS SOC 3 est publiquement accessible ici. Le rapport AWS SOC 3 est un résumé du rapport AWS SOC 2. Il démontre qu'AWS est conforme aux Trust Security Principles de l'AICPA dans SOC 2 et inclut l'avis de l'auditeur indépendant sur l'utilisation des contrôles.

Comment demander un rapport AWS SOC 1 ou SOC 2 ?

Les rapports AWS SOC 1 et SOC 2 sont disponibles pour les clients utilisant AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Démarrez avec AWS Artifact dès aujourd'hui.

Où puis-je trouver le rapport AWS SOC 3 ?

Le rapport AWS SOC 3 est public et peut être consulté ici.

Ressources de conformité SOC

Vous souhaitez plus d'informations sur la conformité SOC AWS ?

Contactez-nous