Conformità SOC

SOC

I report Service Organization Control (SOC) di AWS sono report analitici di terze parti che documentano come AWS abbia raggiunto obiettivi e controlli di conformità ottimali. Lo scopo di questi report e di aiutare i clienti e le loro entità di controllo a raccogliere informazioni sui controlli creati da AWS per supportare operatività e conformità. Sono previsti tre tipi di report SOC di AWS:

Report SOC 1 di AWS – Scarica con AWS Artifact
SOC 2 di AWS: report su sicurezza, disponibilità e riservatezza – Scarica con AWS Artifact
SOC 3 di AWS: report su sicurezza, disponibilità e riservatezza

Clienti conformità cloud SOC

Slack fornisce una piattaforma di messaggistica che integra e unisce una vasta gamma di servizi di comunicazione come Twitter, Dropbox, Google Docs, Jira, GitHub, MailChimp, Trello e Stripe. L'azienda con sede a San Francisco, che ha lanciato la sua omonima app a febbraio 2014, è stata fondata da un piccolo gruppo di imprenditori di Silicon Valley, tra cui il fondatore di Flickr, Stewart Butterfield. »

Kaplan, Inc. serve ogni anno più di 1,2 milioni di studenti in tutto il mondo; fornisce una gamma di offerte di istruzione secondaria, preparazione per esami, istruzione professionale, formazione in lingua inglese, preparazione universitaria e istruzione primaria a privati, istituzioni e aziende. Kaplan ha ricevuto riconoscimenti per l'espansione dell'accesso all'istruzione e per l'utilizzo di tecnologia e innovazioni nell'ambito delle scienze dell'apprendimento. »

"AWS mantiene un impegno strategico sul cloud computing e, per dimostrare la sicurezza delle proprie pratiche, pubblica i propri audit di record SOC 1 (Service Organization Controls I) Type II. Abbiamo anche scoperto che il servizio è semplice da implementare e da utilizzare". »

La conformità di Amazon Web Services a standard quali HIPAA, ISO 27001, SOC 1/2/3, ISO 9001, FedRAMP e FISMA permette a DNAnexus di fornire una piattaforma in cui i clienti possono seguire progetti clinici su vasta scala, con la certezza che la qualità e l'efficienza dell'analisi saranno ottimali e la collaborazione sarà sicura e semplice. »

"Grazie ad AWS; Jobvite è conforme agli standard SSAE SOC 1, 2 e 3, PCI DSS Level 1 e ISO 27001. È un valore aggiunto notevole. Non potevamo offrire i nostri servizi alla fascia media del mercato e alle aziende senza queste certificazioni, perché facevano parte delle richieste dei loro fornitori di servizi SaaS". »

Mambu ha ottenuto la tranquillità che cercava poiché AWS dispone di una serie di certificazioni di conformità, tra cui report SOC 1, SOC 2 e SOC 3 certificazione PCI DSS Level 1 e standard di gestione della sicurezza ISO27001, tutte fondamentali per una banca. »

Quali informazioni forniscono i report SOC di AWS?

	SOC 1	SOC 2: sicurezza, disponibilità e riservatezza	SOC 3: sicurezza, disponibilità e riservatezza
Cos'è un report?	Una descrizione dell'ambiente di controllo di AWS e degli audit esterni di controlli e obiettivi definiti da AWS	Una descrizione dell'ambiente di controllo di AWS e degli audit esterni di controlli e obiettivi secondo i Trust Services Security, Availability, and Confidentiality Principles and Criteria dell'AICPA	Un report pubblico che documenta che AWS è conforme ai Trust Services Security, Availability, and Confidentiality Principles and Criteria dell'AICPA
Secondo quale standard viene eseguito il report di audit?	AICPA: AT 801, Reporting on Controls at a Service Organization	AICPA: AT 101, Attest Engagements AICPA Technical Practice Aid: TSP sezione 100, Trust Services Principles, Criteria, and Illustrations	AICPA: AT 101, Attest Engagements
Qual è lo scopo principale del report?	Fornire ai clienti informazioni sull'ambiente di controllo di AWS che potrebbero essere pertinenti ai loro controlli interni su report finanziari Fornire ai clienti e alle loro entità di controllo informazioni su cui basare le valutazioni e le opinioni relative all'efficacia dei controlli interni su report finanziari (ICOFR)	Fornire ai clienti e agli utenti con esigenza aziendali una valutazione indipendente dell'ambiente di controllo di AWS in relazione a sicurezza, disponibilità e riservatezza di sistema	Fornire ai clienti e agli utenti con esigenza aziendali una valutazione indipendente dell'ambiente di controllo di AWS in relazione a sicurezza, disponibilità e riservatezza di sistema senza divulgare dati riservati di AWS
Chi è il pubblico principale del report?	La dirigenza del cliente e le relative entità di controllo	Gli utenti con esigenze aziendali	Disponibile pubblicamente qui
Quali periodi copre il report di AWS?	6 mesi: 1/10-31/3 e 1/4-30/9	6 mesi: 1/10-31/3 e 1/4-30/9	6 mesi: 1/10-31/3 e 1/4-30/9

Cos'è lo standard AT 801?

Lo standard di attestazione Section 801 (AT 801) è uno standard progettato per le aziende di servizi (ad esempio AWS) per sviluppare un riepilogo indipendente della conformità relativo a policy, procedure e controlli. Fornisce linee guida alle entità di controllo che effettuano valutazioni su AWS in quanto azienda di servizi. Il report SOC 1 di AWS è stato compilato in conformità allo standard AT 801 dal nostro servizio di entità di controllo indipendenti (Ernst & Young, LLP) e fornisce un riepilogo e una valutazione sui controlli interni di AWS che possono interessare i controlli interni di un cliente su report finanziari. Lo standard AT 801 è stato pubblicato dall'Auditing Standards Board (ASB) dell'American Institute of Certified Public Accountants (AICPA), e sostituisce i due precedenti standard per linee guida di controllo delle aziende di servizi per entità di controllo, noti come SSAE 16 e SAS 70.

I report su sicurezza, disponibilità e riservatezza SOC 2 e SOC 3 di AWS vengono preparati secondo l'Attestation Standard Section 101 (AT 101), uno standard che consente a un auditor di creare un report su argomenti che non rientrano nelle dichiarazioni finanziarie in base all'AICPA Guide Reporting on Controls at a Service Organization Relevant to Security Availability, Processing Integrity, Confidentiality, or Privacy and Trust Services Principles and Criteria.

Ente emittente	Standard	Descrizione delle linee guida	Report
Auditing Standards Board (ASB), American Institute of Certified Public Accountants (AICPA) Ulteriori informazioni: www.aicpa.org	Standard di attestazione Section 801 (AT 801)	Reporting on Controls at a Service Organization: Questa sezione affronta gli impegni di valutazione assunti da un'entità di controllo di un servizio per compilare un report sui controllo di un'organizzazione che fornisce servizi a utenti quando tali controlli possono interessare i controlli interni degli utenti stessi su report finanziari. Ulteriori informazioni: AT 801	SOC 1
Standard di attestazione Section 101 (AT 101)	Attest Engagements: Questa sezione stabilisce un framework per l'attestazione degli impegni e delinea gli standard di attestazione generali, includendo esempi di report di valutazione e report di esame. Ulteriori informazioni: AT 101	SOC 2: sicurezza, disponibilità e riservatezza SOC 3: sicurezza, disponibilità e riservatezza

Ente emittente

Standard

Descrizione delle linee guida

Report

Auditing Standards Board (ASB), American Institute of Certified Public Accountants (AICPA)

Ulteriori informazioni: www.aicpa.org

Standard di attestazione Section 801 (AT 801)

Reporting on Controls at a Service Organization:

Questa sezione affronta gli impegni di valutazione assunti da un'entità di controllo di un servizio per compilare un report sui controllo di un'organizzazione che fornisce servizi a utenti quando tali controlli possono interessare i controlli interni degli utenti stessi su report finanziari.

Ulteriori informazioni: AT 801

SOC 1

Standard di attestazione Section 101 (AT 101)

Attest Engagements:

Questa sezione stabilisce un framework per l'attestazione degli impegni e delinea gli standard di attestazione generali, includendo esempi di report di valutazione e report di esame.

Ulteriori informazioni: AT 101

SOC 2: sicurezza, disponibilità e riservatezza

SOC 3: sicurezza, disponibilità e riservatezza

Quali servizi AWS sono coperti dai report SOC?

I servizi AWS coperti nell'ambito dei report SOC sono disponibili nella pagina relativa alla copertura di compliance dei servizi AWS. Per ulteriori informazioni sull'utilizzo di questi servizi, oppure se sei interessato ad altri servizi, contattaci.

Quali regioni coprono i report SOC di AWS?

Le regioni Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (US), Canada (Centrale), Europa (Irlanda), Europa (Francoforte), Europa (Londra), Asia Pacifico (Singapore), Asia Pacifico (Sydney), Asia Pacifico (Tokyo), Asia Pacifico (Seoul), Asia Pacifico (Mumbai) e Sud America (San Paolo) e le seguenti edge location:

Melbourne, Australia
Sydney, Australia
Rio de Janeiro, Brasile
San Paolo, Brasile
Montreal, Canada
Toronto, Canada
Hong Kong, Cina
Londra, Inghilterra
Marsiglia, Francia
Parigi, Francia
Francoforte, Germania
Chennai, India
Mumbai, India
Nuova Delhi, India
Dublino, Irlanda
Milano, Italia
Osaka, Giappone
Tokyo, Giappone
Seul, Corea
Amsterdam, Paesi Bassi
Manila, Filippine

Varsavia, Polonia
Singapore
Madrid, Spagna
Stoccolma, Svezia
Taipei, Taiwan
California, Stati Uniti
Florida, Stati Uniti
Georgia, Stati Uniti
Illinois, Stati Uniti
Indiana, Stati Uniti
Minnesota, Stati Uniti
Missouri, Stati Uniti
New Jersey, Stati Uniti
New York, Stati Uniti
Ohio, Stati Uniti
Oregon, Stati Uniti
Pennsylvania, Stati Uniti
Texas, Stati Uniti
Virginia, Stati Uniti
Washington, Stati Uniti

Chi effettua gli audit indipendenti di terze parti di AWS per i report SOC?

Gli audit SOC 1, SOC 2 e SOC 3 di AWS vengono effettuati da Ernst & Young, LLP.

Con quale frequenza vengono emessi i report SOC di AWS e quando sarà rilasciato un nuovo report?

AWS rilascia due report SOC 1, SOC 2 e SOC 3 all'anno, ciascuno dei quali copre un periodo di 6 mesi; il primo report copre dal giorno 1 ottobre al 31 marzo, il secondo dal giorno 1 aprile al 30 settembre. I nuovi report vengono pubblicati a metà maggio e a metà novembre.

È disponibile un report ISAE 3402?

L'audit SOC 1 di AWS viene condotto in conformità con le norme International Standards for Assurance Engagements N. 3402 (ISAE 3402). I clienti a cui occorre un report ISAE 3402 possono richiedere il report SOC 1 Type II di AWS.

È necessario un accordo di non divulgazione per ricevere i report SOC di AWS?

L'accordo di non divulgazione è necessario solo per consultare i report SOC 1 e 2 di AWS; il report SOC 3 è disponibile pubblicamente qui. Il report SOC 3 è un riepilogo del report SOC 2 di AWS. Documenta la conformità di AWS ai Trust Security Principles dell'AICPA in SOC 2 e include il commento dell'entità di controllo esterno sul funzionamento dei controlli.

Come si richiede un report SOC 1 o SOC 2 di AWS?

I report SOC 1 e SOC 2 di AWS sono disponibili per i clienti che utilizzano AWS Artifact, un portale self-service per l’accesso on demand ai report di conformità AWS. Inizia a usare AWS Artifact oggi stesso.

Dove è possibile leggere il report SOC 3 di AWS?

Il report SOC 3 di AWS e disponibile pubblicamente e può essere scaricato da questa pagina.

Risorse conformità SOC

Desideri ulteriori informazioni sulla conformità SOC di AWS?

Contattaci