Gostaria de informações sobre a SOC na Nuvem
Conformidade da AWS com o SOC

Os Relatórios de Service Organization Control (SOC – Controle de Organização de Serviço) são relatórios de exame de terceiros independentes que demonstram como a AWS satisfaz os controles e objetivos-chave de conformidade. O propósito desses relatórios é ajudar você e os seus auditores no entendimento dos controles estabelecidos na AWS para o suporte às operações e à conformidade. Existem quatro tipos de relatórios AWS SOC:



  SOC 1 SOC 2: Segurança e disponibilidade
SOC 3: Segurança e disponibilidade
No que consiste o Relatório? Uma descrição do ambiente de controle da AWS e da auditoria externa de controles e objetivos definidos pela AWS Uma descrição do ambiente de controles da AWS e da auditoria externa dos controles da AWS que atendem ao AICPA Trust Services Security and Availability Principles and Criteria (Princípios e Critérios de Segurança e Disponibilidade dos Serviços de Confiança da AICPA) Um relatório destinado ao público que demonstra que a AWS atende ao AICPA Trust Services Security and Availability Principles and Criteria
Sob que padrão o relatório de auditoria é executado? AICPA: AT 801, Reporting on Controls at a Service Organization

AICPA: AT 101, Attest Engagements (Atestação de Interações)

AICPA Technical Practice Aid: TSP Section 100, Trust Services Principles, Criteria, and Illustrations (Auxílio à Prática Técnica da AICPA: TSP Seção 100 de Princípios, Critérios e Ilustrações dos Serviços de Confiança)

AICPA: AT 101, Attest Engagements (Atestação de Interações)
Qual o objetivo primário do Relatório?

Fornecer informações aos clientes sobre o ambiente de controle da AWS que podem ser relevantes para os seus controles internos de reporte financeiro

Fornecer informações aos clientes e seus auditores para avaliação e parecer sobre a efetividade dos controles internos de reporte financeiro (ICOFR)

Fornecer aos clientes e usuários com necessidades de negócio uma avaliação independente do ambiente de controle da AWS relevante à segurança dos sistemas e disponibilidade Fornecer aos clientes e usuários com necessidades de negócio uma avaliação independente do ambiente de controle da AWS relevante à segurança e disponibilidade dos sistemas sem revelar informações internas da AWS
Qual é o público primário do Relatório? Gestão de clientes e auditores Usuários com necessidades de negócios Disponível publicamente aqui
Que período o Relatório da AWS abrange?

6 meses:

01/10-31/03 e 01/04-30/09

6 meses:

01/10-31/03 e 01/04-30/09

6 meses:

01/10-31/03 e 01/04-30/09

O Attestation Standard Section 801 (AT 801 – Seção 801 do Padrão de Atestação) é um padrão projetado para organizações de serviços (como a AWS) para o reporte independente sobre conformidade com políticas, procedimentos e controles. Ele fornece orientações aos auditores que avaliam a AWS como organização de serviços. O Relatório AWS SOC 1 é preparado seguindo o AT 801 pelos nossos auditores independentes de serviço (Ernst & Young, LLP) e fornece um relatório de garantias e opinião independente do auditor sobre os controles internos da AWS que podem ser relevantes ao controle interno de um cliente sobre o seu reporte financeiro. O AT 801 é emitido pelo Auditing Standards Board (ASB – Mesa de Auditoria de Padrões) do American Institute of Certified Public Accountants (AICPA) e se sobrepõe aos dois padrões anteriores de guias de controles de organizações de serviço para auditores, comumente conhecidos como SSAE 16 e SAS 70.

Os relatórios de Segurança e Disponibilidade SOC 2 e de Segurança e Disponibilidade SOC 3 da AWS são preparados de acordo com a Seção 101 do Padrão de Declaração (AT 101), que é um padrão que permite ao auditor reportar uma questão além das declarações financeiras, com base no Guia da AICPA Como fazer relatórios sobre controles em uma organização de serviço em relação a disponibilidade de segurança, integridade de processamento, confidencialidade ou privacidade e nos princípios e critérios dos serviços de confiança.

Corpo emissor Padrão Descrição da orientação Relatório

Auditing Standard Board (ASB) do American Institute of Certified Public Accountants (AICPA)

Saiba mais: www.aicpa.org

Attestation Standard Section 801 (AT 801)

Relatando sobre controles em uma organização de serviços:

Esta seção trata das interações de exame desempenhadas por um auditor de serviço para o reporte dos controles nas organizações que fornecem serviços para entidades usuárias, quando esses controles são relevantes ao controle interno da entidade usuária sobre o reporte financeiro.

Saiba mais: AT 801

SOC 1
Attestation Standard Section 101 (AT 101)

Atestar interações:

Esta seção estabelece uma estrutura para atestar interações e delineia padrões gerais de atestação, incluindo exemplos de relatórios de exame e de avaliação.

Saiba mais: AT 101

SOC 2: Segurança e disponibilidade

SOC 3: Segurança e disponibilidade

Os serviços da AWS cobertos e já no escopo dos relatórios SOC podem ser encontrados em Serviços da AWS no escopo por programa de conformidade. Se quiser saber mais sobre o uso desses serviços e/ou tiver interesse em outros, entre em contato conosco.

Os relatórios SOC da AWS abrangem os datacenters nas regiões Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Oeste dos EUA (Norte da Califórnia), AWS GovCloud (US), UE (Irlanda), UE (Frankfurt), Ásia-Pacífico (Cingapura), Ásia-Pacífico (Seul), Ásia-Pacífico (Mumbai), Ásia-Pacífico (Sydney), Ásia-Pacífico (Tóquio) e América do Sul (São Paulo)

Os pontos de presença da AWS exibidos a seguir também são contemplados pelo relatório. Para obter mais informações, consulte sobre a infraestrutura global da AWS, clique aqui.

  • Melbourne, Austrália
  • Sydney, Austrália
  • Rio de Janeiro, Brasil
  • São Paulo, Brasil
  • Hong Kong, China
  • Londres, Inglaterra
  • Marselha, França
  • Paris, França
  • Frankfurt, Alemanha
  • Chennai, Índia
  • Mumbai, Índia
  • Nova Deli, Índia
  • Dublin, Irlanda
  • Milão, Itália
  • Osaka, Japão
  • Tóquio, Japão
  • Seul, Coreia do Sul
  • Amsterdã, Holanda
  • Manila, Filipinas
  • Varsóvia, Polônia
  • Cingapura
  • Madri, Espanha
  • Estocolmo, Suécia
  • Taipei, Taiwan
  • Califórnia, Estados Unidos
  • Flórida, Estado Unidos
  • Geórgia, Estados Unidos
  • Illinois, EUA
  • Indiana, Estados Unidos
  • Missouri, Estados Unidos
  • Nova Jérsei, Estados Unidos
  • Nova York, Estados Unidos
  • Texas, Estados Unidos
  • Virgínia, Estados Unidos
  • Washington, Estados Unidos

A Ernst & Young LLP executa as auditorias da AWS SOC 1, SOC 2, e SOC 3.

A AWS emite dois Relatórios SOC 1, SOC 2 e SOC 3, que abrangem períodos de 6 meses todo ano (o primeiro relatório abrange de 1º de outubro a 31 de março e o segundo relatório abrange de 1º de abril a 30 de setembro). Os novos relatórios são publicados em meados de março e meados de novembro.

A Auditoria da SOC 1 na AWS é conduzida de acordo com os Padrões Internacionais para Interações de Garantia Núm. 3402 (ISAE 3402). Os clientes que precisarem de um Relatório ISAE 3402 devem solicitar o Relatório AWS SOC 1 Tipo II.

Um NDA só é necessário para a revisão dos relatórios SOC 1 e 2 da AWS. O relatório SOC 3 da AWS encontra-se disponível para o público aqui. O relatório SOC 3 da AWS é um resumo sobre o relatório SOC 2 da AWS. Ele destaca que a AWS atende aos princípios de segurança de confiança do AICPA no SOC 2 e inclui a opinião de um auditor externo sobre a operação de controles.

Os relatórios SOC1 e SOC 2 da AWS estão disponíveis para os clientes que usam o AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Comece a usar o AWS Artifact hoje mesmo.

O SOC 3 da AWS é disponibilizado publicamente e pode ser encontrado aqui.

Recursos do SOC

 

Entre em contato conosco