SOC

Visão geral

Os relatórios de System & Organization Control (SOC – Controles de organizações e sistemas) da AWS são relatórios de exame de terceiros independentes que demonstram como a AWS atende aos principais controles e objetivos de conformidade. O propósito desses relatórios é ajudar você e os seus auditores a entenderem os controles estabelecidos na AWS para apoiar as operações e a conformidade. Existem cinco tipos de relatórios SOC da AWS:

• Relatório SOC 1 da AWS, disponível para clientes da AWS por meio do AWS Artifact.
• Relatório de segurança, disponibilidade e confidencialidade SOC 2 da AWS, disponível para os clientes da AWS por meio do AWS Artifact.
• Relatório de privacidade tipo II SOC 2 da AWS, disponível para clientes da AWS por meio do AWS Artifact.
• Relatório de segurança, disponibilidade e confidencialidade SOC 3 da AWS, disponível publicamente como um whitepaper. 

• Quais informações os Relatórios AWS SOC disponibilizam?

  	SOC 1	SOC 2: segurança, disponibilidade e confidencialidade	SOC 2: privacidade	SOC 3: segurança, disponibilidade e confidencialidade
  No que consiste o Relatório?	Uma descrição do ambiente de controle da AWS e da auditoria externa de controles e objetivos definidos pela AWS	Uma descrição do ambiente de controles da AWS e da auditoria externa dos controles da AWS que atendem aos AICPA Trust Services Privacy Criteria (Critérios de Privacidade dos Serviços de Confiança da AICPA)	Uma descrição do ambiente de controles da AWS e da auditoria externa dos controles da AWS que atendem aos AICPA Trust Services Privacy Criteria	Um relatório destinado ao público que demonstra que a AWS atende aos AICPA Trust Services Privacy Criteria
  Sob qual padrão o relatório de auditoria é executado?	SSAE No. 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), que inclui a seção 320 da AT-C, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting. AICPA Guide, Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®)	SSAE No. 18, Attestation Standards: Clarification and Recodification, que inclui a seção 105 da AT-C, Concepts Common to All Attestation Engagements, e a seção 205 da AT-C, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, ou a seção 100A da Privacy(SOC 2®) TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)	O mesmo que SOC 2: segurança, disponibilidade e confidencialidade	SSAE No. 18, Attestation Standards: Clarification and Recodification, que inclui a seção 105 da AT-C, Concepts Common to All Attestation Engagements, e a seção 205 da AT-C, Examination Engagements, seção 100A da TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)
  Qual o principal objetivo do Relatório?	Disponibilizar informações aos clientes sobre o ambiente de controle da AWS que podem ser relevantes para seus controles internos de reporte financeiro Fornecer informações aos clientes e seus auditores para avaliação e parecer sobre a efetividade dos controles internos de reporte financeiro (ICOFR)	Para clientes e usuários com uma determinada necessidade empresarial, o relatório disponibiliza uma avaliação independente sobre o ambiente de controle da AWS relevante para a segurança, a disponibilidade e a confidencialidade do sistema	Para fornecer aos clientes uma avaliação independente dos sistemas da AWS e da adequação do projeto dos controles de privacidade da AWS. O princípio de confiança de privacidade do SOC 2, desenvolvido pelo American Institute of CPAs (AICPA), estabelece critérios para avaliar controles relacionados a como as informações pessoais são coletadas, usadas, retidas, divulgadas e descartadas para cumprir os objetivos da entidade.	Para clientes e usuários com uma determinada necessidade empresarial, o relatório disponibiliza uma avaliação independente sobre o ambiente de controle da AWS relevante para a segurança, a disponibilidade e a confidencialidade do sistema sem divulgar informações internas da AWS
  Qual é o público principal do Relatório?	Gestão de clientes e auditores	Usuários com necessidades de negócios	Usuários com necessidades de negócios precisam compreender os controles da AWS relevantes para a privacidade	Disponível publicamente aqui
  Que período o Relatório da AWS abrange?	6 meses: 01/10-31/03 e 01/04-30/09	6 meses: 01/10-31/03 e 01/04-30/09	6 meses: 01/10-31/03 e 01/04-30/09	6 meses: 01/10-31/03 e 01/04-30/09

  SOC 2: segurança, disponibilidade e confidencialidade

• Quais serviços da AWS estão no escopo para os relatórios SOC?

  Os serviços da AWS cobertos e já no escopo dos relatórios SOC podem ser encontrados em Serviços da AWS no escopo por programa de conformidade. Se quiser saber mais sobre o uso desses serviços e/ou tiver interesse em outros, entre em contato conosco.
  

• Quais regiões são contempladas pelos relatórios AWS SOC?

  Para obter uma lista completa de todas as regiões em escopo, consulte o relatório SOC 3 da AWS. 

• Quem executa a auditoria terceirizada independente da AWS para os Relatórios SOC?

  A Ernst & Young LLP executa as auditorias da AWS SOC 1, SOC 2, e SOC 3.

• Com que frequência os Relatórios SOC da AWS são emitidos e quando posso esperar a publicação de um novo relatório?

  A AWS emite os relatórios SOC 1, SOC 2 e SOC 3, cobrindo períodos de 6 meses (de 1 de outubro a 31 de março e de 1 de abril a 30 de setembro). Os novos relatórios são publicados em meados de maio e meados de novembro.
  

• Existe um Relatório ISAE 3402?

  A Auditoria da SOC 1 na AWS é conduzida de acordo com os Padrões Internacionais para Interações de Garantia Nº 3402 (ISAE 3402). Os clientes que precisam de um relatório ISAE 3402 devem solicitar o relatório SOC 1 tipo II da AWS por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.
  

• É necessário um acordo de confidencialidade (NDA) para o recebimento de relatórios SOC da AWS?

  É necessário um NDA para revisar os relatórios SOC 1 e SOC 2 da AWS. O relatório SOC 3 da AWS é um resumo sobre o relatório SOC 2 da AWS, disponível para o público. O relatório AWS SOC 3 descreve como a AWS atende aos princípios de segurança de confiança do AICPA no SOC 2 e inclui a opinião de um auditor externo sobre a operação de controles. Você pode ler o relatório SOC 3 da AWS mais recente no site da AWS.
  

• Como solicitar um Relatório SOC 1 ou SOC 2 da AWS?

  Os relatórios SOC 1 e SOC 2 da AWS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.
  

• Onde posso encontrar o relatório SOC 3 da AWS?

  O relatório SOC 3 da AWS mais recente está disponível para o público no site da AWS.
  

• Quando as novas regiões serão incluídas nos relatórios SOC?

  A AWS emite os relatórios SOC 1, SOC 2 e SOC 3, cobrindo períodos de 6 meses (de 1.º de outubro a 31 de março e de 1.º de abril a 30 de setembro). Conforme apropriado, vamos inserir as novas regiões no escopo de nossos relatórios SOC no próximo ciclo de revisão disponível.