SOC

Visão geral

Os relatórios de System & Organization Control (SOC – Controles de organizações e sistemas) da AWS são relatórios de exame de terceiros independentes que demonstram como a AWS atende aos principais controles e objetivos de conformidade. O propósito desses relatórios é ajudar você e os seus auditores a entenderem os controles estabelecidos na AWS para apoiar as operações e a conformidade. Existem cinco tipos de relatórios SOC da AWS:

• Relatório SOC 1 da AWS, disponível para clientes da AWS por meio do AWS Artifact.
• Relatório de segurança, disponibilidade e confidencialidade SOC 2 da AWS, disponível para os clientes da AWS por meio do AWS Artifact.
• Relatório de segurança, disponibilidade e confidencialidade SOC 2 da AWS, disponível para os clientes da AWS por meio do AWS Artifact (o escopo inclui apenas o Amazon DocumentDB).
• Relatório de privacidade tipo I SOC 2 da AWS, disponível para clientes da AWS por meio do AWS Artifact.
• Relatório de segurança, disponibilidade e confidencialidade SOC 3 da AWS, disponível publicamente como um whitepaper. 

• Quais informações os Relatórios AWS SOC disponibilizam?

  	SOC 1	SOC 2: segurança, disponibilidade e confidencialidade	SOC 2: privacidade	SOC 3: segurança, disponibilidade e confidencialidade
  No que consiste o Relatório?	Uma descrição do ambiente de controle da AWS e da auditoria externa de controles e objetivos definidos pela AWS	Uma descrição do ambiente de controles da AWS e da auditoria externa dos controles da AWS que atendem aos princípios e critérios de segurança, disponibilidade e confidencialidade dos serviços de confiança do AICPA	Uma descrição do ambiente de controles da AWS e da auditoria externa dos controles da AWS que atendem ao AICPA Trust Services Privacy Principle and Criteria (Princípios e Critérios de Privacidade dos Serviços de Confiança da AICPA)	Um relatório destinado ao público que demonstra que a AWS atende aos princípios e critérios de segurança, disponibilidade e confidencialidade dos serviços de confiança do AICPA
  Sob qual padrão o relatório de auditoria é executado?	SSAE No. 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), que inclui a seção 320 da AT-C, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting. AICPA Guide, Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®)	SSAE No. 18, Attestation Standards: Clarification and Recodification, que inclui a seção 105 da AT-C, Concepts Common to All Attestation Engagements, e a seção 205 da AT-C, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, ou a seção 100A da Privacy(SOC 2®) TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)	O mesmo que SOC 2: segurança, disponibilidade e confidencialidade	SSAE No. 18, Attestation Standards: Clarification and Recodification, que inclui a seção 105 da AT-C, Concepts Common to All Attestation Engagements, e a seção 205 da AT-C, Examination Engagements, seção 100A da TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)
  Qual o principal objetivo do Relatório?	Disponibilizar informações aos clientes sobre o ambiente de controle da AWS que podem ser relevantes para seus controles internos de reporte financeiro Fornecer informações aos clientes e seus auditores para avaliação e parecer sobre a efetividade dos controles internos de reporte financeiro (ICOFR)	Para clientes e usuários com uma determinada necessidade empresarial, o relatório disponibiliza uma avaliação independente sobre o ambiente de controle da AWS relevante para a segurança, a disponibilidade e a confidencialidade do sistema	Para fornecer aos clientes uma avaliação independente dos sistemas da AWS e da adequação do projeto dos controles de privacidade da AWS. O princípio de confiança de privacidade do SOC 2, desenvolvido pelo American Institute of CPAs (AICPA), estabelece critérios para avaliar controles relacionados a como as informações pessoais são coletadas, usadas, retidas, divulgadas e descartadas para cumprir os objetivos da entidade.	Para clientes e usuários com uma determinada necessidade empresarial, o relatório disponibiliza uma avaliação independente sobre o ambiente de controle da AWS relevante para a segurança, a disponibilidade e a confidencialidade do sistema sem divulgar informações internas da AWS
  Qual é o público principal do Relatório?	Gestão de clientes e auditores	Usuários com necessidades de negócios	Usuários com necessidades de negócios precisam compreender os controles da AWS relevantes para a privacidade	Disponível publicamente aqui
  Que período o Relatório da AWS abrange?	6 meses: 01/10-31/03 e 01/04-30/09	6 meses: 01/10-31/03 e 01/04-30/09	Em 31/10/2018	6 meses: 01/10-31/03 e 01/04-30/09

  SOC 2: segurança, disponibilidade e confidencialidade

• Quais serviços da AWS estão no escopo para os relatórios SOC?

  Os serviços da AWS cobertos e já no escopo dos relatórios SOC podem ser encontrados em Serviços da AWS no escopo por programa de conformidade. Se quiser saber mais sobre o uso desses serviços e/ou tiver interesse em outros, entre em contato conosco.
  

• Quais regiões são contempladas pelos relatórios AWS SOC?

  Para obter uma lista completa de todas as regiões em escopo, consulte o relatório SOC 3 da AWS. 

• Quem executa a auditoria terceirizada independente da AWS para os Relatórios SOC?

  A Ernst & Young LLP executa as auditorias da AWS SOC 1, SOC 2, e SOC 3.

• Com que frequência os Relatórios SOC da AWS são emitidos e quando posso esperar a publicação de um novo relatório?

  A AWS emite os relatórios SOC 1, SOC 2 e SOC 3, cobrindo períodos de 6 meses (de 1 de outubro a 31 de março e de 1 de abril a 30 de setembro). Os novos relatórios são publicados em meados de março e meados de novembro.
  

• Existe um Relatório ISAE 3402?

  A Auditoria da SOC 1 na AWS é conduzida de acordo com os Padrões Internacionais para Interações de Garantia Nº 3402 (ISAE 3402). Os clientes que precisam de um relatório ISAE 3402 devem solicitar o relatório SOC 1 tipo II da AWS por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.
  

• É necessário um acordo de confidencialidade (NDA) para o recebimento de relatórios SOC da AWS?

  É necessário um NDA para revisar os relatórios SOC 1 e SOC 2 da AWS. O relatório SOC 3 da AWS é um resumo sobre o relatório SOC 2 da AWS, disponível para o público. Esse relatório descreve como a AWS atende aos princípios de segurança de confiança do AICPA no SOC 2 e inclui a opinião de um auditor externo sobre a operação de controles. Você pode ler o relatório SOC 3 da AWS mais recente no site da AWS.
  

• Como solicitar um Relatório SOC 1 ou SOC 2 da AWS?

  Os relatórios SOC 1 e SOC 2 da AWS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.
  

• Onde posso encontrar o relatório SOC 3 da AWS?

  O relatório SOC 3 da AWS mais recente está disponível para o público no site da AWS.
  

• Por que há um relatório SOC 2 separado para o Amazon DocumentDB (com compatibilidade com o MongoDB)?

  O Amazon DocumentDB está incluído em um relatório SOC 2 separado porque foi lançado após a emissão do relatório SOC 2 regular em novembro de 2018. Planejamos incluir o Amazon DocumentDB no s próximos relatórios regulares SOC 1 e 2. O próximo relatório será emitido em meados de maio de 2019.