SOC

Visão geral

Logotipo SOC

Os relatórios de controles de sistema e organização (SOC) da AWS são relatórios independentes de exame de terceiros que demonstram como a AWS atinge os principais controles e objetivos de conformidade. O propósito desses relatórios é ajudar você e os seus auditores a entenderem os controles estabelecidos na AWS para apoiar as operações e a conformidade. Existem três tipos de relatórios SOC da AWS:

  • Relatório SOC 1 da AWS, disponível para clientes da AWS por meio do AWS Artifact.
  • Relatório de segurança, disponibilidade, confidencialidade e privacidade SOC 2 da AWS disponível para clientes da AWS no AWS Artifact.
  • Relatório de segurança, disponibilidade, confidencialidade e privacidade SOC 3 da AWS, disponível publicamente como um whitepaper

Perguntas frequentes

  •   SOC 1 SOC 2: segurança, disponibilidade, confidencialidade e privacidade
    		 SOC 3: segurança, disponibilidade, confidencialidade e privacidade
    No que consiste o Relatório? Uma descrição do ambiente de controle da AWS e da auditoria externa de controles e objetivos definidos pela AWS Uma descrição do ambiente de controles da AWS e auditoria externa dos controles da AWS que atendem aos critérios de segurança, disponibilidade, confidencialidade e privacidade da AICPA Trust Services
    		 Um relatório público demonstrando que a AWS atendeu aos critérios de segurança, disponibilidade, confidencialidade e privacidade da AICPA Trust Services
    Sob qual padrão o relatório de auditoria é executado? SSAE No. 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), que inclui a seção 320 da AT-C, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting. Guia AICPA, Organizações de serviços: relatando um exame de controles em uma organização de serviços relevantes para o controle interno das entidades usuárias sobre relatórios financeiros (SOC 1®) SSAE No. 18, Attestation Standards: Clarification and Recodification, que inclui a seção 105 da AT-C, Concepts Common to All Attestation Engagements, e a seção 205 da AT-C, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, ou a seção 100A da Privacy(SOC 2®) TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) SSAE No. 18, Attestation Standards: Clarification and Recodification, que inclui a seção 105 da AT-C, Concepts Common to All Attestation Engagements, e a seção 205 da AT-C, Examination Engagements, seção 100A da TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)
    Qual o principal objetivo do Relatório?

    Disponibilizar informações aos clientes sobre o ambiente de controle da AWS que podem ser relevantes para seus controles internos de reporte financeiro

    Fornecer informações aos clientes e seus auditores para avaliação e parecer sobre a efetividade dos controles internos de reporte financeiro (ICOFR)

    		 Fornecer aos clientes e usuários com necessidades comerciais uma avaliação independente do ambiente de controle da AWS relevante para a segurança, disponibilidade, confidencialidade e privacidade do sistema
    		 Fornecer aos clientes e usuários com necessidade de negócios uma avaliação independente do ambiente de controle da AWS relevante para segurança, disponibilidade, confidencialidade e privacidade do sistema sem divulgar informações internas da AWS
    Qual é o público principal do Relatório? Gestão de clientes e auditores Usuários com necessidades de negócios Disponível publicamente aqui
    Qual período está incluído no Relatório da AWS? 12 meses:
    terminando em 31/03, 30/06, 30/09 e 31/12    		 12 meses:
    terminando em 31/03, 30/09    		 12 meses:
    terminando em 31/03, 30/09

  • Os serviços da AWS cobertos e já no escopo dos relatórios SOC podem ser encontrados em Serviços da AWS no escopo por programa de conformidade. Se quiser saber mais sobre o uso desses serviços e/ou tiver interesse em outros, entre em contato conosco.

  • Para obter uma lista completa de todas as regiões em escopo, consulte o relatório SOC 3 da AWS

  • A Ernst & Young LLP executa as auditorias da AWS SOC 1, SOC 2, e SOC 3.

  • A AWS publica relatórios SOC 1 trimestralmente e relatórios SOC 2 e 3 duas vezes por ano. Cada relatório abrange os últimos 12 meses. Há muitos fatores que influenciam a data de lançamento do relatório, mas os novos relatórios geralmente são lançados aproximadamente 9 a 10 semanas após a data de término desse período.

    • Ciclo da primavera: (1º de abril a 31 de março) [SOC 1/2/3 emitido aproximadamente no final de maio]
    • Ciclo de verão: (1º de julho a 30 de junho) [SOC 1 emitido apenas aproximadamente no final de agosto]
    • Ciclo de outono: (1º de outubro a 30 de setembro) [SOC 1/2/3 emitido aproximadamente no final de novembro]
    • Ciclo de inverno: (1º de janeiro a 31 de dezembro) [SOC 1 emitido apenas aproximadamente no final de fevereiro]

  • A Auditoria da SOC 1 na AWS é conduzida de acordo com os Padrões Internacionais para Interações de Garantia Nº 3402 (ISAE 3402). Os clientes que precisam de um relatório ISAE 3402 devem solicitar o relatório SOC 1 tipo II da AWS por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.

  • É necessário um NDA para revisar os relatórios SOC 1 e SOC 2 da AWS. O relatório SOC 3 da AWS é um resumo sobre o relatório SOC 2 da AWS, disponível para o público. O relatório AWS SOC 3 descreve como a AWS atende aos critérios de serviços de confiança do AICPA no SOC 2 e inclui a opinião de um auditor externo sobre a operação de controles. Você pode ler o relatório SOC 3 da AWS mais recente no site da AWS.

  • Os relatórios SOC 1 e SOC 2 da AWS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.

  • O relatório SOC 3 da AWS mais recente está disponível para o público no site da AWS.

  • A AWS cria relatórios SOC 1 trimestralmente e relatórios SOC 2/3 duas vezes por ano. Cada relatório abrange um período de 12 meses. Conforme apropriado, vamos inserir as novas regiões no escopo de nossos relatórios SOC no próximo ciclo de revisão disponível. 

  • A Carta de Operações Continuadas do SOC (também conhecida como Carta Ponte ou COL) para os relatórios SOC 1 e SOC 2 da AWS é atualizada mensalmente e está disponível no Artifact (Título: Carta de operações continuadas do SOC). O COL geralmente é publicado na primeira semana de cada mês, cobrindo o período desde a data do último relatório SOC emitido até a data em que o COL foi publicado.

Dúvidas? Entre em contacto com um representante comercial da AWS
Está a explorar funções de conformidade?
Inscreva-se hoje »
Quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »