SOC
Panoramica
I report System and Organization Controls (SOC) di AWS sono report analitici di terze parti indipendenti che documentano come AWS ha raggiunto obiettivi e controlli di conformità ottimali. Lo scopo di questi report è quello di aiutare i clienti e le loro entità di controllo a raccogliere informazioni sui controlli creati da AWS per supportare operatività e conformità. Sono previsti tre report SOC di AWS:
- Report SOC 1 di AWS, disponibile per i clienti AWS tramite AWS Artifact.
- Report SOC 2 di AWS su sicurezza, disponibilità, riservatezza e privacy, disponibile per i clienti AWS tramite AWS Artifact.
- Report SOC 3 di AWS su sicurezza, disponibilità, riservatezza e privacy, disponibile al pubblico sotto forma di whitepaper.
Report SOC di AWS
- SOC 1
Una descrizione dell’ambiente di controllo di AWS e degli audit esterni per controlli e obiettivi definiti da AWS. - SOC 2: sicurezza, disponibilità, riservatezza e privacy
Una descrizione dell’ambiente di controllo di AWS e degli audit esterni per controlli AWS in linea con i criteri di sicurezza, disponibilità, riservatezza e privacy di AICPA Trust Services - SOC 3: sicurezza, disponibilità, riservatezza e privacy
Un report pubblico che documenta la conformità di AWS ai criteri di sicurezza, disponibilità, riservatezza e privacy di AICPA Trust Services
- SOC 1
SSAE n. 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards). Include il documento AT-C section 320, “Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting”. Guida AICPA, Service Organizations: “Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting” (SOC 1®) - SOC 2: sicurezza, disponibilità, riservatezza e privacy
SSAE n. 18, Attestation Standards: Clarification and Recodification. Include il documento AT-C section 105, “Concepts Common to All Attestation Engagements”, e il documento AT-C section 205, la guida AICPA “Examination Engagements”, TSP section 100A “Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy” (SOC 2®), “2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy” (AICPA, 2017 Trust Services Criteria) - SOC 3: sicurezza, disponibilità, riservatezza e privacy
SSAE n. 18, Attestation Standards: Clarification and Recodification. Include il documento AT-C section 105, “Concepts Common to All Attestation Engagements”, e il documento AT-C section 205, Examination Engagements TSP section 100A, “2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy” (AICPA, 2017 Trust Services Criteria)
- SOC 1
Fornire ai clienti informazioni sull’ambiente di controllo di AWS che potrebbero essere pertinenti ai loro controlli interni sui report finanziari.
Fornire ai clienti e alle loro entità di controllo informazioni su cui basare le valutazioni e le opinioni relative all’efficacia dei controlli interni sui report finanziari (ICFR). - SOC 2: sicurezza, disponibilità, riservatezza e privacy
Fornire ai clienti e agli utenti con esigenze aziendali una valutazione indipendente dell’ambiente di controllo di AWS in relazione a sicurezza, disponibilità, riservatezza e privacy di sistema. - SOC 3: sicurezza, disponibilità, riservatezza e privacy
Fornire ai clienti e agli utenti con esigenze aziendali una valutazione indipendente dell’ambiente di controllo di AWS in relazione a sicurezza, disponibilità, riservatezza e privacy di sistema senza divulgare dati riservati di AWS.
- SOC 1
La dirigenza del cliente e le relative entità di controllo - SOC 2: sicurezza, disponibilità, riservatezza e privacy
Gli utenti con esigenze aziendali - SOC 3: sicurezza, disponibilità, riservatezza e privacy
Disponibile al pubblico qui.
- SOC 1
12 mesi: scadenza al 31/3/, 30/6/, 30/9/ e 31/12 - SOC 2: sicurezza, disponibilità, riservatezza e privacy
12 mesi: scadenza al 31/03 e 30/09 - SOC 3: sicurezza, disponibilità, riservatezza e privacy
12 mesi: scadenza al 31/03 e al 30/09
Domande frequenti generali
Apri tuttoLa SOC Continued Operations Letter (nota anche come Bridge Letter o COL) per i report AWS SOC 1 e SOC 2 viene caricata ogni mese ed è disponibile in Artifact (titolo: SOC Continued Operations Letter). La COL viene generalmente pubblicata nella prima settimana di ogni mese ed è relativa al periodo che va dalla data di emissione dell’ultimo report SOC alla data di pubblicazione della COL.
AWS su SOC
Apri tuttoI servizi AWS interessati dai report SOC sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS. Per ulteriori informazioni sull’utilizzo di questi servizi, oppure se ti interessano altri servizi, contattaci.
Per un elenco completo di tutte le regioni interessate, consulta il report SOC 3 di AWS.
Gli audit SOC 1, SOC 2 e SOC 3 di AWS vengono effettuati da Ernst & Young, LLP.
- Ciclo primaverile: (1° aprile - 31 marzo) [vengono rilasciati SOC 1/2/3 verso la fine di maggio]
- Ciclo estivo: (1° luglio - 30 giugno) [viene rilasciato solamente SOC 1 verso la fine di agosto]
- Ciclo autunnale: (1° ottobre - 30 settembre) [vengono rilasciati SOC 1/2/3 verso la fine di novembre]
- Ciclo invernale: (1° gennaio - 31 dicembre) [viene pubblicato solamente SOC 1 verso la fine di febbraio]
AWS pubblica report SOC 1 con cadenza trimestrale e report SOC 2 e 3 due volte l'anno. Ogni report è relativo ai 12 mesi precedenti. Molti fattori influiscono sulla data di rilascio di un report, ma generalmente i nuovi report vengono rilasciati circa 9-10 settimane dopo la data di fine del periodo a cui si riferiscono.
L’audit SOC 1 di AWS viene condotto in conformità con le norme International Standards for Assurance Engagements n. 3402 (ISAE 3402). I clienti che hanno bisogno di un report ISAE 3402 devono richiedere il report SOC 1 tipo II di AWS tramite AWS Artifact, un portale self-service per accedere on demand ai report di conformità AWS. Accedi ad AWS Artifact dalla Console di gestione AWS oppure scopri di più nella pagina Nozioni di base su AWS Artifact.
È necessario un NDA per rivedere i report SOC 1 e SOC 2 di AWS. Il report SOC 3 di AWS è un riepilogo del report SOC 2 di AWS disponibile al pubblico. Il report SOC 3 di AWS documenta la conformità di AWS ai Trust Services Criteria dell’AICPA in SOC 2 e include il commento del revisore esterno sul funzionamento dei controlli. È possibile leggere l’ultimo report SOC 3 di AWS sul sito web di AWS.
I report SOC 1 e SOC 2 di AWS sono disponibili per i clienti tramite AWS Artifact, un portale self-service per accedere on demand ai report di conformità di AWS. Accedi ad AWS Artifact dalla Console di gestione AWS oppure scopri di più nella pagina Nozioni di base su AWS Artifact.
L’ultimo report SOC 3 di AWS è disponibile sul sito web di AWS.
AWS pubblica report SOC 1 con cadenza trimestrale e report SOC 2/3 due volte l’anno. Ogni report copre un periodo di 12 mesi. Le nuove regioni saranno incluse nel modo più opportuno all’interno dei nostri report SOC nel prossimo ciclo di revisione disponibile.