SOC 규정 준수

클라우드에서 SOC에 대한 정보를 받고 싶습니다.

AWS SOC(Service Organization Control) 보고서는 AWS가 주요 규정 준수 통제 항목 및 통제 대상을 어떻게 준수하고 있는지를 입증하는 독립적인 타사 심사 보고서입니다. 이러한 보고서는 고객과 고객의 감사자가 운영 및 규정 준수를 지원하기 위해 마련된 AWS 통제 항목을 이해하는 데 도움을 주고자 작성되었습니다. AWS SOC 보고서에는 다음 세 가지 유형이 있습니다.

AWS SOC 1 보고서 – AWS 아티팩트와 함께 다운로드
AWS SOC 2: 보안, 가용성 및 기밀성 보고서 – AWS 아티팩트와 함께 다운로드
AWS SOC 3: 보안, 가용성 및 기밀성 보고서

SOC 클라우드 규정 준수 고객

슬랙(Slack)은 Twitter, Dropbox, Google 문서, Jira, GitHub, MailChimp, Trello 및 Stripe와 같은 광범위한 커뮤니케이션 서비스를 통합하는 메시징 플랫폼을 제공합니다. 샌프란시스코에 위치한 이 회사는 2014년 2월에 회사명과 이름이 동일한 앱을 출시했으며, Flickr의 설립자인 스튜어트 버터필드(Stewart Butterfield)를 비롯한 실리콘 밸리 기업가로 구성된 소규모 그룹으로 출발했습니다. »

Kaplan, Inc.는 다양한 고등 교육, 시험 대비, 전문가 과정, 영어 연수, 대입 준비 및 K-12 상품을 통해 전 세계적으로 매년 120만 명 이상의 학생을 개인, 기관 및 기업에 제공하고 있습니다. Kaplan은 교육에 대한 접근을 확장하고 새로운 기술 및 학습 과학 방법을 이용한다는 점에서 인정받아 왔습니다. »

"AWS는 클라우드 컴퓨팅에 대한 전략적 헌신을 이행하고 AWS의 보안 사례를 보여주는 SOC 1(Service Organization Controls 1) Type 2 감사 보고서를 발행합니다. 우리는 AWS 서비스가 사용 및 구현이 간편하다는 것도 알게 되었습니다." »

Amazon Web Services가 HIPAA, ISO27001, SOC 1/2/3, ISO9001, FedRamp 및 FISMA와 같은 표준을 준수한다는 것을 입증함에 따라 DNAnexus는 분석의 품질과 효율성 및 협업의 간편성과 보안에 대한 확신을 가지고 규정을 준수하며 대규모의 임상 프로젝트를 추진할 수 있는 플랫폼을 고객에게 제공할 수 있습니다. »

"AWS를 사용하면서 Jobvite는 SSAE SOC 1, 2, 및 3 보고 표준을 지키고, PCI DSS 레벨 1을 준수하며, ISO 27001 인증을 획득하게 되었습니다. 그 가치는 엄청납니다. 이러한 인증 없이는 중견기업과 대기업 고객에게 우리 서비스를 판매할 수 없었을 겁니다. 바로 고객이 SaaS 공급자에게 요구하는 인증이기 때문이죠." »

Mambu는 AWS가 은행에 필수적인 인증인 SOC 1, SOC 2 및 SOC 3 보고서, PCI DSS 레벨 1 인증 및 ISO27001 보안 관리 표준을 비롯하여 다양한 규정 준수 인증을 보유하고 있다는 점에서 확신을 갖게 되었습니다. »

AWS SOC 보고서는 어떤 정보를 제공합니까?

	SOC 1	SOC 2: 보안, 가용성 및 기밀성	SOC 3: 보안, 가용성 및 기밀성
이 보고서에는 어떤 내용이 포함되어 있습니까?	AWS가 정의한 통제 항목 및 대상에 대한 외부 감사 및 AWS 통제 환경에 대한 설명	AICPA 신뢰 서비스 보안, 가용성 및 기밀성 원칙과 기준에 부합하는 AWS 규제 환경 및 AWS 규제에 대한 외부 감사 설명	AWS가 AICPA 신뢰 서비스 보안, 가용성 및 기밀성 원칙과 기준에 부합했다는 사실을 설명하는 공개 보고서
어떤 표준에 따라 감사 보고서가 작성됩니까?	AICPA: AT 801, 서비스 조직의 통제 항목에 대한 보고	AICPA: AT 101, 증명 업무 AICPA 기술 사례 도움말: TSP 섹션 100, 신뢰 서비스 원칙, 기준 및 설명	AICPA: AT 101, 증명 업무
기본 보고서 목적은 무엇입니까?	재무 보고에 대해 고객의 내부 통제 항목과 관련될 수 있는 AWS 통제 환경에 대한 정보를 고객에게 제공 고객 및 고객의 감사자에게 재무 보고에 대한 내부 통제 항목(ICOFR)의 효율성 평가 및 의견에 대한 정보 제공	비즈니스 요구가 있는 고객 및 사용자에게 시스템 보안, 가용성 및 기밀성과 관련된 AWS 규제 환경의 독립적인 평가 제공	비즈니스 요구가 있는 고객 및 사용자에게 AWS 내부 정보를 공개하지 않고 시스템 보안, 가용성 및 기밀성과 관련된 AWS 규제 환경의 독립적인 평가 제공
기본 보고서의 보고 대상은 누구입니까?	고객의 경영진 및 감사자	비즈니스 요구가 있는 사용자	여기에 공개되어 있음
AWS 보고서의 평가 기간은 얼마나 됩니까?	6개월: 10/1 – 3/31 및 4/1 – 9/30	6개월: 10/1 – 3/31 및 4/1 – 9/30	6개월: 10/1 – 3/31 및 4/1 – 9/30

AT 801은 무엇입니까?

AT 801(증명 표준 섹션 801)은 AWS와 같은 서비스 조직이 정책, 절차 및 통제 항목 준수에 대해 독립적으로 보고할 수 있도록 설계된 표준입니다. 이 표준은 AWS를 서비스 조직으로서 평가하는 감사자에게 지침을 제공합니다. AWS SOC 1 보고서는 AWS의 독립 서비스 감사자(Ernst & Young, LLP)가 AT 801에 따라 준비하며, 재무 보고에 대한 고객의 내부 통제 항목과 관련될 수 있는 AWS 내부 통제 항목에 대한 보증 보고서 및 독립적인 감사자의 의견을 제공합니다. AT 801은 미국 공인 회계사 협회(AICPA)의 감사 표준 위원회(ASB)에서 발행하며 일반적으로 SSAE 16 및 SAS 70으로 알려진 두 개의 감사자용 기존 서비스 조직 통제 지침 표준을 대체합니다.

AWS SOC 2 보안, 가용성 및 기밀성 보고서와 SOC 3 보안, 가용성 및 기밀성 보고서는 감사 기관에서 AICPA 지침인 서비스 조직의 보안 가용성, 처리 무결성, 기밀성 또는 개인 정보 보호 관련 규제 보고 및 신뢰 서비스 원칙과 기준을 기반으로, 재무 제표 이외의 주제에 대해 보고할 수 있는 표준인 증명 표준 섹션 101(AT 101)에 따라 준비합니다.

발행 단체	표준	지침 설명	보고서
미국 공인 회계사 협회(AICPA)의 감사 표준 위원회(ASB) 자세히 알아보기: www.aicpa.org	증명 표준 섹션 801(AT 801)	서비스 조직의 통제 항목에 대한 보고: 이 섹션에서는 통제 항목이 재무 보고에 대한 사용자 엔터티의 내부 통제 항목과 관련될 가능성이 있는 경우, 서비스 감사자가 사용자 엔터티에 서비스를 제공하는 조직의 통제 항목을 보고하기 위해 수행하는 심사 업무를 다룹니다. 자세히 알아보기: AT 801	SOC 1
증명 표준 섹션 101(AT 101)	증명 업무: 이 섹션은 증명 업무를 위한 프레임워크를 확립하고 일반 증명 표준의 개요를 설명하며 심사 보고서 및 검토 보고서 예를 설명합니다. 자세히 알아보기: AT 101	SOC 2: 보안, 가용성 및 기밀성 SOC 3: 보안, 가용성 및 기밀성

발행 단체

표준

지침 설명

보고서

미국 공인 회계사 협회(AICPA)의 감사 표준 위원회(ASB)

자세히 알아보기: www.aicpa.org

증명 표준 섹션 801(AT 801)

서비스 조직의 통제 항목에 대한 보고:

이 섹션에서는 통제 항목이 재무 보고에 대한 사용자 엔터티의 내부 통제 항목과 관련될 가능성이 있는 경우, 서비스 감사자가 사용자 엔터티에 서비스를 제공하는 조직의 통제 항목을 보고하기 위해 수행하는 심사 업무를 다룹니다.

자세히 알아보기: AT 801

SOC 1

증명 표준 섹션 101(AT 101)

증명 업무:

이 섹션은 증명 업무를 위한 프레임워크를 확립하고 일반 증명 표준의 개요를 설명하며 심사 보고서 및 검토 보고서 예를 설명합니다.

자세히 알아보기: AT 101

SOC 2: 보안, 가용성 및 기밀성

SOC 3: 보안, 가용성 및 기밀성

어떤 AWS 서비스가 SOC 보고서의 대상 범위에 포함됩니까?

SOC 보고서 범위에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오. 이 서비스 사용에 대한 자세한 내용이나 다른 서비스에 관심이 있는 경우, AWS에 문의하시기 바랍니다.

AWS SOC 보고서에 포함되는 리전은 어디입니까?

다음에 위치한 미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(오레곤), 미국 서부(캘리포니아 북부), AWS GovCloud(US), 캐나다(중부), 유럽(아일랜드), 유럽(프랑크푸르트), 유럽(런던), 아시아 태평양(싱가포르), 아시아 태평양(시드니), 아시아 태평양(도쿄), 아시아 태평양(서울), 아시아 태평양(뭄바이) 및 남아메리카(상파울루) 리전과 AWS 엣지 로케이션:

호주 멜버른
호주 시드니
브라질 리우데자네이루
브라질 상파울루
캐나다 몬트리올
캐나다 토론토
중국 홍콩
영국 런던
프랑스 마르세유
프랑스 파리
독일 프랑크푸르트
인도 첸나이
인도 뭄바이
인도 뉴델리
아일랜드 더블린
이탈리아 밀라노
일본 오사카
일본 도쿄
대한민국 서울
네덜란드암스테르담
필리핀 마닐라

폴란드 바르샤바
싱가포르
스페인 마드리드
스웨덴 스톡홀름
대만 타이베이
미국 캘리포니아
미국 플로리다
미국 조지아
미국 일리노이
미국 인디애나
미국 미네소타
미국 미주리
미국 뉴저지
미국 뉴욕
미국 오하이오
미국 오레곤
미국 펜실베이니아
미국 텍사스
미국 버지니아
미국 워싱턴

SOC 보고서 작성을 위해 AWS를 감사하는 독립적인 타사 감사 조직은 어디입니까?

Ernst & Young LLP에서 AWS SOC 1, SOC 2 및 SOC 3 감사를 수행합니다.

AWS SOC 보고서는 얼마나 자주 발행되며 새 보고서는 언제 발표됩니까?

AWS에서는 매년 6개월 단위(첫 번째 보고서는 10월 1일 ~ 3월 31일, 두 번째 보고서는 4월 1일 ~ 9월 30일 기간을 평가)로 평가한 두 개의 SOC 1, SOC 2 및 SOC 3 보고서를 발행합니다. 새 보고서는 5월 중순 및 11월 중순에 발표됩니다.

ISAE 3402 보고서가 있습니까?

AWS SOC 1 감사는 ISAE 3402(International Standards for Assurance Engagements) 3402에 따라 시행됩니다. ISAE 3402 보고서가 필요한 고객은 AWS SOC 1 유형 2 보고서를 요청해야 합니다.

AWS SCO 보고서를 받기 위해서는 비밀유지 계약서(NDA)가 필요합니까?

NDA는 AWS SOC 1 및 2 보고서를 이용할 때만 필요합니다. AWS SOC 3 보고서는 일반에게 공개되어 있으며 여기에서 확인할 수 있습니다. AWS SOC 3 보고서는 AWS SOC 2 보고서의 요약본입니다. 이 보고서에는 AWS가 SOC 2에 명시된 AICPA의 보안 신뢰 원칙을 준수한다는 내용이 간략하게 정리되어 있으며, 외부 감사자의 운영 제어에 대한 의견이 포함되어 있습니다.

AWS SOC 1 또는 SOC 2 보고서를 요청하려면 어떻게 해야 합니까?

AWS SOC 1 또는 SOC 2 보고서는 AWS Artifact를 사용하는 고객에게 제공됩니다. AWS Artifact는 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털입니다. 지금 AWS Artifact 시작하기.

AWS SOC 3 보고서는 어디에서 찾을 수 있습니까?

AWS SOC 3 보고서는 공개되어 있으며 여기에서 찾을 수 있습니다.

SOC 규정 준수 리소스

AWS SOC 규정 준수에 대한 추가 정보가 필요하십니까?

AWS에 문의