Conformité SOC

Présentation

SOC-SizedLogo

Les rapports AWS System Organization Control (SOC) sont des comptes rendus rédigés suite à un audit indépendant réalisé par un tiers et indiquant comment AWS parvient à mettre en œuvre ses principaux contrôles et objectifs en termes de conformité. Ces rapports sont destinés à aider les clients et leurs auditeurs à comprendre les mesures de contrôle mises en place par AWS en termes d'opérations et de conformité. Il existe trois types de rapports AWS SOC :

  • Quelles sont les informations fournies par les rapports AWS SOC ?

      SOC 1 SOC 2 : sécurité, disponibilité et confidentialité SOC 3 : sécurité, disponibilité et confidentialité
    En quoi consiste le rapport ? Description de l'environnement de contrôle d'AWS et audit externe des contrôles et objectifs établis par AWS Description de l'environnement de contrôle d'AWS et audit externe des contrôles AWS correspondant aux principes et critères de sécurité, de disponibilité et de confidentialité des services de confiance désignés par l'AICPA Rapport public montrant qu'AWS respecte les principes et critères de sécurité, de disponibilité et de confidentialité des services de confiance désignés par l'AICPA
    À quelle norme correspond le rapport d'audit ? SSAE  18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), comprenant AT-C section 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting. AICPA Guide, Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®) SSAE  18, Attestation Standards: Clarification and Recodification, comprenant AT-C section 105, Concepts Common to All Attestation Engagements et AT-C section 205, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality ou Privacy(SOC 2®) TSP section 100, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) SSAE  18, Attestation Standards: Clarification and Recodification, comprenant AT-C section 105, Concepts Common to All Attestation Engagements et AT-C section 205, Examination Engagements TSP section 100, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)
    Quel est l'objectif principal du rapport ?

    Fournir aux clients des informations concernant l'environnement de contrôle d'AWS qui peuvent les intéresser dans le cadre du contrôle interne de leurs états financiers

    Fournir aux clients et à leurs auditeurs des informations qui leur permettront d'évaluer l'efficacité des contrôles internes portant sur les états financiers

    Fournir aux clients et utilisateurs dont l'activité présente des contraintes une évaluation indépendante de l'environnement de contrôle d'AWS en matière de sécurité, de disponibilité et de confidentialité des systèmes Fournir aux clients et utilisateurs dont l'activité présente des contraintes une évaluation indépendante de l'environnement de contrôle d'AWS en matière de sécurité, de disponibilité et de confidentialité des systèmes, sans pour autant divulguer d'informations internes d'AWS
    A qui s'adresse principalement le rapport ? Entreprises clientes (dirigeants et auditeurs) Utilisateurs dont l'activité présente des contraintes Disponible publiquement ici
    Quelle période couvre le rapport AWS ?

    6 mois :

    du 1/10 au 31/3 et du 1/4 au 30/9

    6 mois :

    du 1/10 au 31/3 et du 1/4 au 30/9

    6 mois :

    du 1/10 au 31/3 et du 1/4 au 30/9

  • Quels sont les services AWS entrant dans le cadre des rapports SOC ?

    Les services AWS couverts qui appartiennent déjà au champ d'application des rapports SOC sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez nous contacter.

  • Quelles sont les régions concernées par les rapports AWS SOC ?

    Régions USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), USA Ouest (Californie du Nord), AWS GovCloud (US), Canada (Centre), Europe (Irlande), Europe (Franfort), Europe (Londres), Asie-Pacifique (Singapour), Asie-Pacifique (Sydney), Asie-Pacifique (Tokyo), Asie-Pacifique (Séoul), Asie-Pacifique (Mumbai) et Amérique du Sud (São Paulo), ainsi que les emplacements périphériques AWS suivants :

    Melbourne, Australie

    Sydney, Australie

    Vienne, Autriche

    Rio de Janeiro, Brésil

    São Paulo, Brésil

    Montréal, Canada

    Toronto, Canada

    Prague, République tchèque

    Hong Kong, Chine

    Londres, Angleterre

    Marseille, France

    Paris, France

    Berlin, Allemagne

    Francfort, Allemagne

    Munich, Allemagne

    Chennai, Inde

    Mumbai, Inde

    New Delhi, Inde

    Dublin, Irlande

    Milan, Italie

    Osaka, Japon

    Tokyo, Japon

    Séoul, Corée

    Kuala Lumpur, Malaisie

    Amsterdam, Pays-Bas

    Manille, Philippines

    Varsovie, Pologne

    Singapour

    Madrid, Espagne

    Stockholm, Suède

    Taipei, Taiwan

    Californie, États-Unis

    Floride, États-Unis

    Géorgie, États-Unis

    Illinois, États-Unis

    Indiana, États-Unis

    Minnesota, États-Unis

    Missouri, États-Unis

    New Jersey, États-Unis

    New York, États-Unis

    Ohio, États-Unis

    Oregon, États-Unis

    Pennsylvanie, États-Unis

    Texas, États-Unis

    Virginie, États-Unis

    Washington, États-Unis

  • Par qui l'audit externe indépendant d'AWS est-il réalisé dans le cadre des rapports SOC ?

    Les audits AWS SOC 1, SOC 2 et SOC 3 sont réalisés par Ernst & Young LLP.

  • A quelle fréquence les rapports AWS SOC sont-ils publiés, et à quelles dates ?

    AWS publie chaque année deux rapports SOC 1, SOC 2 et SOC 3 couvrant 6 mois (le premier rapport porte sur la période allant du 1er octobre au 31 mars et le second sur celle allant du 1er avril au 30 septembre). Ces rapports sont publiés mi-mai et mi-novembre.

  • Existe-t-il un rapport ISAE 3402 ?

    L'audit AWS SOC 1 est réalisé conformément à la norme International Standards for Assurance Engagements No. 3402 (ISAE 3402). Les clients ayant besoin d'un rapport ISAE 3402 doivent demander le rapport AWS SOC 1 de type II.

  • Un accord de non divulgation (NDA) est-il nécessaire pour recevoir des rapports AWS SOC ?

    Un NDA n'est requis que pour consulter les rapports AWS SOC 1 et 2. Le rapport AWS SOC 3 est publiquement accessible ici. Le rapport AWS SOC 3 est un résumé du rapport AWS SOC 2. Il démontre qu'AWS est conforme aux Trust Security Principles de l'AICPA dans SOC 2 et inclut l'avis de l'auditeur indépendant sur l'utilisation des contrôles.

  • Comment demander un rapport AWS SOC 1 ou SOC 2 ?

    Les rapports AWS SOC 1 et SOC 2 sont disponibles pour les clients utilisant AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Démarrez avec AWS Artifact dès aujourd'hui.

  • Où puis-je trouver le rapport AWS SOC 3 ?

    Le rapport AWS SOC 3 est public et peut être consulté ici.

Ressources SOC

compliance-contactus-icon
Vous avez des questions ? Contactez un représentant de la conformité AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »