Conformidade da SOC

Gostaria de informações sobre a SOC na Nuvem

SOC

Os Relatórios de Service Organization Control (SOC – Controle de Organização de Serviço) são relatórios de exame de terceiros independentes que demonstram como a AWS satisfaz os controles e objetivos-chave de conformidade. O propósito desses relatórios é ajudar você e os seus auditores no entendimento dos controles estabelecidos na AWS para o suporte às operações e à conformidade. Existem três tipos de relatórios AWS SOC:

Relatório SOC 1 da AWS – Faça download com o AWS Artifact
AWS SOC 2: Security, Availability, & Confidentiality Report – Faça o download com o AWS Artifact
AWS SOC 3: relatório de segurança, disponibilidade e confidencialidade

Clientes de conformidade da nuvem SOC

A Slack fornece uma plataforma de mensagens que se integra e unifica uma série de serviços de comunicações, como Twitter, Dropbox, Google Docs, Jira, GitHub, MailChimp, Trello e Stripe. A empresa, com sede em São Francisco, que lançou um app de mesmo nome em fevereiro de 2014, teve início com um pequeno grupo de empreendedores do Vale do Silício, entre eles o fundador do Flickr, Stewart Butterfield. »

A Kaplan, Inc. atende mais de 1,2 milhão de alunos no mundo todo a cada ano por uma série de ofertas de educação superior, preparação de testes, educação profissional, treinamento no idioma inglês, preparo universitário e K-12 a indivíduos, instituições e empresas. A Kaplan foi reconhecida por expandir o acesso educacional e usar inovações em tecnologia e ciência do aprendizado. »

"A AWS mantém um compromisso estratégico com a computação em nuvem e publica a auditoria do relatório de controles de organizações de serviço (SOC 1) de Tipo 2 para demonstrar suas práticas de segurança. Nós também achamos o serviço fácil de usar e de implementar." »

A Amazon Web Services demonstrou estar em conformidade com as normas, como HIPAA, ISO27001, SOC 1/2/3, ISO9001 e FedRamp. Além disso, o FISMA permite que a DNAnexus disponibilize uma plataforma que permite aos clientes buscarem por projetos em conformidade clinicamente, com escala e escopo enormes, com a certeza da qualidade e da eficiência da análise, como também da segurança e da fácil colaboração. »

"Ao usar a AWS, a Jobvite pôde aderir às normas dos relatórios SSAE SOC 1, 2 e 3, entrar em conformidade com o PCI DSS de Nível 1, além de obter a certificação ISO 27001. Isso tem um peso enorme. Simplesmente não poderíamos vender serviços para os nossos clientes de empresas de médio e grande porte sem essas certificações, pois elas são exigidas para os seus provedores de SaaS." »

Foi tranquilizador para a Mambu saber que a AWS detém uma grande variedade de certificações, como os relatórios SOC 1, SOC 2 e SOC 3, a certificação de PCI DSS de Nível 1 e a norma de gestão de segurança ISO 27001, todas elas credenciais vitais para bancos. »

Que informação os Relatórios AWS SOC fornecem?

	SOC 1	SOC 2: segurança, disponibilidade e confidencialidade	SOC 3: segurança, disponibilidade e confidencialidade
No que consiste o Relatório?	Uma descrição do ambiente de controle da AWS e da auditoria externa de controles e objetivos definidos pela AWS	Uma descrição do ambiente de controles da AWS e da auditoria externa dos controles da AWS que atendem aos princípios e critérios de segurança, disponibilidade e confidencialidade dos serviços de confiança do AICPA	Um relatório destinado ao público que demonstra que a AWS atende aos princípios e critérios de segurança, disponibilidade e confidencialidade dos serviços de confiança do AICPA
Sob que padrão o relatório de auditoria é executado?	AICPA: AT 801, Reporting on Controls at a Service Organization	AICPA: AT 101, Attest Engagements (Atestação de Interações) AICPA Technical Practice Aid: TSP Section 100, Trust Services Principles, Criteria, and Illustrations (Auxílio à Prática Técnica da AICPA: TSP Seção 100 de Princípios, Critérios e Ilustrações dos Serviços de Confiança)	AICPA: AT 101, Attest Engagements (Atestação de Interações)
Qual o objetivo primário do Relatório?	Fornecer informações aos clientes sobre o ambiente de controle da AWS que podem ser relevantes para os seus controles internos de reporte financeiro Fornecer informações aos clientes e seus auditores para avaliação e parecer sobre a efetividade dos controles internos de reporte financeiro (ICOFR)	Para clientes e usuários com uma determinada necessidade empresarial, o relatório disponibiliza uma avaliação independente sobre o ambiente de controle da AWS relevante para a segurança, a disponibilidade e a confidencialidade do sistema	Para clientes e usuários com uma determinada necessidade empresarial, o relatório disponibiliza uma avaliação independente sobre o ambiente de controle da AWS relevante para a segurança, a disponibilidade e a confidencialidade do sistema sem divulgar informações internas da AWS
Qual é o público primário do Relatório?	Gestão de clientes e auditores	Usuários com necessidades de negócios	Disponível publicamente aqui
Que período o Relatório da AWS abrange?	6 meses: 01/10-31/03 e 01/04-30/09	6 meses: 01/10-31/03 e 01/04-30/09	6 meses: 01/10-31/03 e 01/04-30/09

O que é o AT 801?

O Attestation Standard Section 801 (AT 801 – Seção 801 do Padrão de Atestação) é um padrão projetado para organizações de serviços (como a AWS) para o reporte independente sobre conformidade com políticas, procedimentos e controles. Ele fornece orientações aos auditores que avaliam a AWS como organização de serviços. O Relatório AWS SOC 1 é preparado seguindo o AT 801 pelos nossos auditores independentes de serviço (Ernst & Young, LLP) e fornece um relatório de garantias e opinião independente do auditor sobre os controles internos da AWS que podem ser relevantes ao controle interno de um cliente sobre o seu reporte financeiro. O AT 801 é emitido pelo Auditing Standards Board (ASB – Mesa de Auditoria de Padrões) do American Institute of Certified Public Accountants (AICPA) e se sobrepõe aos dois padrões anteriores de guias de controles de organizações de serviço para auditores, comumente conhecidos como SSAE 16 e SAS 70.

Os Relatórios de segurança, disponibilidade e confidencialidade SOC 2 e de segurança, disponibilidade e confidencialidade SOC 3 da AWS são preparados de acordo com a Seção 101 do Padrão de declaração (AT 101), que é um padrão que permite ao auditor reportar uma questão além das declarações financeiras, com base no Guia do AICPA Reporting on Controls at a Service Organization Relevant to Security Availability, Processing Integrity, Confidentiality, or Privacy e nos princípios e critérios dos serviços de confiança.

Corpo emissor	Padrão	Descrição da orientação	Relatório
Auditing Standard Board (ASB) do American Institute of Certified Public Accountants (AICPA) Saiba mais: www.aicpa.org	Attestation Standard Section 801 (AT 801)	Relatando sobre controles em uma organização de serviços: Esta seção trata das interações de exame desempenhadas por um auditor de serviço para o reporte dos controles nas organizações que fornecem serviços para entidades usuárias, quando esses controles são relevantes ao controle interno da entidade usuária sobre o reporte financeiro. Saiba mais: AT 801	SOC 1
Attestation Standard Section 101 (AT 101)	Atestar interações: Esta seção estabelece uma estrutura para atestar interações e delineia padrões gerais de atestação, incluindo exemplos de relatórios de exame e de avaliação. Saiba mais: AT 101	SOC 2: segurança, disponibilidade e confidencialidade SOC 3: segurança, disponibilidade e confidencialidade

Corpo emissor

Padrão

Descrição da orientação

Relatório

Auditing Standard Board (ASB) do American Institute of Certified Public Accountants (AICPA)

Saiba mais: www.aicpa.org

Attestation Standard Section 801 (AT 801)

Relatando sobre controles em uma organização de serviços:

Esta seção trata das interações de exame desempenhadas por um auditor de serviço para o reporte dos controles nas organizações que fornecem serviços para entidades usuárias, quando esses controles são relevantes ao controle interno da entidade usuária sobre o reporte financeiro.

Saiba mais: AT 801

SOC 1

Attestation Standard Section 101 (AT 101)

Atestar interações:

Esta seção estabelece uma estrutura para atestar interações e delineia padrões gerais de atestação, incluindo exemplos de relatórios de exame e de avaliação.

Saiba mais: AT 101

SOC 2: segurança, disponibilidade e confidencialidade

SOC 3: segurança, disponibilidade e confidencialidade

Quais serviços da AWS estão no escopo para os relatórios SOC?

Os serviços da AWS cobertos e já no escopo dos relatórios SOC podem ser encontrados em Serviços da AWS no escopo por programa de conformidade. Se quiser saber mais sobre o uso desses serviços e/ou tiver interesse em outros, entre em contato conosco.

Quais regiões são contempladas pelos relatórios AWS SOC?

As regiões Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon), Oeste dos EUA (Norte da Califórnia), AWS GovCloud (US), Canadá (Central), Europa (Irlanda), Europa (Frankfurt), Europa (Londres), Ásia-Pacífico (Cingapura), Ásia-Pacífico (Sydney), Ásia-Pacífico (Tóquio), Ásia-Pacífico (Seul), Ásia-Pacífico (Mumbai) e América do Sul (São Paulo), como também os pontos de presença da AWS em:

Melbourne, Austrália
Sydney, Austrália
Rio de Janeiro, Brasil
São Paulo, Brasil
Montreal, Canadá
Toronto, Canadá
Hong Kong, China
Londres, Inglaterra
Marselha, França
Paris, França
Frankfurt, Alemanha
Chennai, Índia
Mumbai, Índia
Nova Deli, Índia
Dublin, Irlanda
Milão, Itália
Osaka, Japão
Tóquio, Japão
Seul, Coreia do Sul
Amsterdã, Holanda
Manila, Filipinas

Varsóvia, Polônia
Cingapura
Madri, Espanha
Estocolmo, Suécia
Taipei, Taiwan
Califórnia, Estados Unidos
Flórida, Estado Unidos
Geórgia, Estados Unidos
Illinois, EUA
Indiana, Estados Unidos
Minnesota, Estados Unidos
Missouri, Estados Unidos
Nova Jérsei, Estados Unidos
Nova York, Estados Unidos
Ohio, Estados Unidos
Oregon, Estados Unidos
Pensilvânia, Estados Unidos
Texas, Estados Unidos
Virgínia, Estados Unidos
Washington, Estados Unidos

Quem executa a auditoria terceirizada independente da AWS para os Relatórios SOC?

A Ernst & Young LLP executa as auditorias da AWS SOC 1, SOC 2, e SOC 3.

Com que frequência os Relatórios SOC da AWS são emitidos e quando posso esperar a publicação de um novo relatório?

A AWS emite dois Relatórios SOC 1, SOC 2 e SOC 3, que abrangem períodos de 6 meses todo ano (o primeiro relatório abrange de 1º de outubro a 31 de março e o segundo relatório abrange de 1º de abril a 30 de setembro). Os novos relatórios são publicados em meados de março e meados de novembro.

Existe um Relatório ISAE 3402?

A Auditoria da SOC 1 na AWS é conduzida de acordo com os Padrões Internacionais para Interações de Garantia Núm. 3402 (ISAE 3402). Os clientes que precisarem de um Relatório ISAE 3402 devem solicitar o Relatório AWS SOC 1 Tipo II.

É necessário um termo de confidencialidade (NDA) para o recebimento de relatórios SOC da AWS?

Um NDA só é necessário para a revisão dos relatórios SOC 1 e 2 da AWS. O relatório SOC 3 da AWS encontra-se disponível para o público aqui. O relatório SOC 3 da AWS é um resumo sobre o relatório SOC 2 da AWS. Ele destaca que a AWS atende aos princípios de segurança de confiança do AICPA no SOC 2 e inclui a opinião de um auditor externo sobre a operação de controles.

Como solicitar um Relatório SOC 1 ou SOC 2 da AWS?

Os relatórios SOC1 e SOC 2 da AWS estão disponíveis para os clientes que usam o AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de compatibilidade da AWS. Comece a usar o AWS Artifact hoje mesmo.

Onde posso encontrar o relatório SOC 3 da AWS?

O SOC 3 da AWS é disponibilizado publicamente e pode ser encontrado aqui.

Recursos de conformidade com SOC

Quer mais informações sobre a conformidade com o AWS SOC?

Entre em contato conosco