Je souhaite avoir des informations sur SOC dans le cloud
Conformité SOC d'AWS

Les rapports AWS System Organization Control (SOC) sont des comptes rendus rédigés suite à un audit indépendant réalisé par un tiers et indiquant comment AWS parvient à mettre en œuvre ses principaux contrôles et objectifs en termes de conformité. Ces rapports sont destinés à aider les clients et leurs auditeurs à comprendre les mesures de contrôle mises en place par AWS en termes d'opérations et de conformité. Il existe trois types de rapports AWS SOC :



  SOC 1 SOC 2 : sécurité, disponibilité et confidentialité
SOC 3 : sécurité, disponibilité et confidentialité
En quoi consiste le rapport ? Description de l'environnement de contrôle d'AWS et audit externe des contrôles et objectifs établis par AWS Description de l'environnement de contrôle d'AWS et audit externe des contrôles AWS correspondant aux principes et critères de sécurité, de disponibilité et de confidentialité des services de confiance désignés par l'AICPA Rapport public montrant qu'AWS respecte les principes et critères de sécurité, de disponibilité et de confidentialité des services de confiance désignés par l'AICPA
A quelle norme correspond le rapport d'audit ? SSAE  18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), comprenant AT-C section 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting. AICPA Guide, Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®)

SSAE  18, Attestation Standards: Clarification and Recodification, comprenant AT-C section 105, Concepts Common to All Attestation Engagements et AT-C section 205, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality ou Privacy(SOC 2®) TSP section 100, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)

SSAE  18, Attestation Standards: Clarification and Recodification, comprenant AT-C section 105, Concepts Common to All Attestation Engagements et AT-C section 205, Examination Engagements TSP section 100, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)
Quel est l'objectif principal du rapport ?

Fournir aux clients des informations concernant l'environnement de contrôle d'AWS qui peuvent les intéresser dans le cadre du contrôle interne de leurs états financiers

Fournir aux clients et à leurs auditeurs des informations qui leur permettront d'évaluer l'efficacité des contrôles internes portant sur les états financiers

Fournir aux clients et utilisateurs dont l'activité présente des contraintes une évaluation indépendante de l'environnement de contrôle d'AWS en matière de sécurité, de disponibilité et de confidentialité des systèmes Fournir aux clients et utilisateurs dont l'activité présente des contraintes une évaluation indépendante de l'environnement de contrôle d'AWS en matière de sécurité, de disponibilité et de confidentialité des systèmes, sans pour autant divulguer d'informations internes d'AWS
A qui s'adresse principalement le rapport ? Entreprises clientes (dirigeants et auditeurs) Utilisateurs dont l'activité présente des contraintes Disponible publiquement ici
Quelle période couvre le rapport AWS ?

6 mois :

du 1/10 au 31/3 et du 1/4 au 30/9

6 mois :

du 1/10 au 31/3 et du 1/4 au 30/9

6 mois :

du 1/10 au 31/3 et du 1/4 au 30/9

Les services AWS couverts qui appartiennent déjà au champ d'application des rapports SOC sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez nous contacter.

Régions USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), USA Ouest (Californie du Nord), AWS GovCloud (US), Canada (Centre), Europe (Irlande), Europe (Franfort), Europe (Londres), Asie-Pacifique (Singapour), Asie-Pacifique (Sydney), Asie-Pacifique (Tokyo), Asie-Pacifique (Séoul), Asie-Pacifique (Mumbai) et Amérique du Sud (São Paulo), ainsi que les emplacements périphériques AWS suivants :

  • Melbourne, Australie
  • Sydney, Australie
  • Vienne, Autriche
  • Rio de Janeiro, Brésil
  • São Paulo, Brésil
  • Montréal, Canada
  • Toronto, Canada
  • Prague, République tchèque
  • Hong Kong, Chine
  • Londres, Angleterre
  • Marseille, France
  • Paris, France
  • Berlin, Allemagne
  • Francfort, Allemagne
  • Munich, Allemagne
  • Chennai, Inde
  • Mumbai, Inde
  • New Delhi, Inde
  • Dublin, Irlande
  • Milan, Italie
  • Osaka, Japon
  • Tokyo, Japon
  • Séoul, Corée
  • Kuala Lumpur, Malaisie
  • Amsterdam, Pays-Bas
  • Manille, Philippines
  • Varsovie, Pologne
  • Singapour
  • Madrid, Espagne
  • Stockholm, Suède
  • Taipei, Taiwan
  • Californie, États-Unis
  • Floride, États-Unis
  • Géorgie, États-Unis
  • Illinois, États-Unis
  • Indiana, États-Unis
  • Minnesota, États-Unis
  • Missouri, États-Unis
  • New Jersey, États-Unis
  • New York, États-Unis
  • Ohio, États-Unis
  • Oregon, États-Unis
  • Pennsylvanie, États-Unis
  • Texas, États-Unis
  • Virginie, États-Unis
  • Washington, États-Unis

Les audits AWS SOC 1, SOC 2 et SOC 3 sont réalisés par Ernst & Young LLP.

AWS publie chaque année deux rapports SOC 1, SOC 2 et SOC 3 couvrant 6 mois (le premier rapport porte sur la période allant du 1er octobre au 31 mars et le second sur celle allant du 1er avril au 30 septembre). Ces rapports sont publiés mi-mai et mi-novembre.

L'audit AWS SOC 1 est réalisé conformément à la norme International Standards for Assurance Engagements No. 3402 (ISAE 3402). Les clients ayant besoin d'un rapport ISAE 3402 doivent demander le rapport AWS SOC 1 de type II.

Un NDA n'est requis que pour consulter les rapports AWS SOC 1 et 2. Le rapport AWS SOC 3 est publiquement accessible ici. Le rapport AWS SOC 3 est un résumé du rapport AWS SOC 2. Il démontre qu'AWS est conforme aux Trust Security Principles de l'AICPA dans SOC 2 et inclut l'avis de l'auditeur indépendant sur l'utilisation des contrôles.

Les rapports AWS SOC 1 et SOC 2 sont disponibles pour les clients utilisant AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Démarrez avec AWS Artifact dès aujourd'hui.

Le rapport AWS SOC 3 est public et peut être consulté ici.

Ressources SOC

 

Contactez-nous