SOC

Visão geral

Os relatórios de System & Organization Control (SOC – Controles de organizações e sistemas) da AWS são relatórios de exame de terceiros independentes que demonstram como a AWS atende aos principais controles e objetivos de conformidade. O propósito desses relatórios é ajudar você e os seus auditores a entenderem os controles estabelecidos na AWS para apoiar as operações e a conformidade. Existem cinco tipos de relatórios SOC da AWS:

  • Relatório SOC 1 da AWS, disponível para clientes da AWS por meio do AWS Artifact.
  • Relatório de segurança, disponibilidade e confidencialidade SOC 2 da AWS, disponível para os clientes da AWS por meio do AWS Artifact.
  • Relatório de privacidade tipo II SOC 2 da AWS, disponível para clientes da AWS por meio do AWS Artifact.
  • Relatório de segurança, disponibilidade e confidencialidade SOC 3 da AWS, disponível publicamente como um whitepaper
  •   SOC 1 SOC 2: segurança, disponibilidade e confidencialidade
    SOC 2: privacidade 
    SOC 3: segurança, disponibilidade e confidencialidade
    No que consiste o Relatório? Uma descrição do ambiente de controle da AWS e da auditoria externa de controles e objetivos definidos pela AWS Uma descrição do ambiente de controles da AWS e da auditoria externa dos controles da AWS que atendem aos AICPA Trust Services Privacy Criteria (Critérios de Privacidade dos Serviços de Confiança da AICPA) Uma descrição do ambiente de controles da AWS e da auditoria externa dos controles da AWS que atendem aos AICPA Trust Services Privacy Criteria Um relatório destinado ao público que demonstra que a AWS atende aos AICPA Trust Services Privacy Criteria
    Sob qual padrão o relatório de auditoria é executado? SSAE No. 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), que inclui a seção 320 da AT-C, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting. AICPA Guide, Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®) SSAE No. 18, Attestation Standards: Clarification and Recodification, que inclui a seção 105 da AT-C, Concepts Common to All Attestation Engagements, e a seção 205 da AT-C, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, ou a seção 100A da Privacy(SOC 2®) TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) O mesmo que SOC 2: segurança, disponibilidade e confidencialidade SSAE No. 18, Attestation Standards: Clarification and Recodification, que inclui a seção 105 da AT-C, Concepts Common to All Attestation Engagements, e a seção 205 da AT-C, Examination Engagements, seção 100A da TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)
    Qual o principal objetivo do Relatório?

    Disponibilizar informações aos clientes sobre o ambiente de controle da AWS que podem ser relevantes para seus controles internos de reporte financeiro

    Fornecer informações aos clientes e seus auditores para avaliação e parecer sobre a efetividade dos controles internos de reporte financeiro (ICOFR)

    Para clientes e usuários com uma determinada necessidade empresarial, o relatório disponibiliza uma avaliação independente sobre o ambiente de controle da AWS relevante para a segurança, a disponibilidade e a confidencialidade do sistema

    Para fornecer aos clientes uma avaliação independente dos sistemas da AWS e da adequação do projeto dos controles de privacidade da AWS.

    O princípio de confiança de privacidade do SOC 2, desenvolvido pelo American Institute of CPAs (AICPA), estabelece critérios para avaliar controles relacionados a como as informações pessoais são coletadas, usadas, retidas, divulgadas e descartadas para cumprir os objetivos da entidade.

    Para clientes e usuários com uma determinada necessidade empresarial, o relatório disponibiliza uma avaliação independente sobre o ambiente de controle da AWS relevante para a segurança, a disponibilidade e a confidencialidade do sistema sem divulgar informações internas da AWS
    Qual é o público principal do Relatório? Gestão de clientes e auditores Usuários com necessidades de negócios Usuários com necessidades de negócios precisam compreender os controles da AWS relevantes para a privacidade Disponível publicamente aqui
    Que período o Relatório da AWS abrange?

    6 meses:

    01/10-31/03 e 01/04-30/09

    6 meses:

    01/10-31/03 e 01/04-30/09

    6 meses:

    01/10-31/03 e 01/04-30/09

    6 meses:

    01/10-31/03 e 01/04-30/09

    SOC 2: segurança, disponibilidade e confidencialidade
  • Os serviços da AWS cobertos e já no escopo dos relatórios SOC podem ser encontrados em Serviços da AWS no escopo por programa de conformidade. Se quiser saber mais sobre o uso desses serviços e/ou tiver interesse em outros, entre em contato conosco.

  • Para obter uma lista completa de todas as regiões em escopo, consulte o relatório SOC 3 da AWS

  • A Ernst & Young LLP executa as auditorias da AWS SOC 1, SOC 2, e SOC 3.

  • A AWS emite os relatórios SOC 1, SOC 2 e SOC 3, cobrindo períodos de 6 meses (de 1 de outubro a 31 de março e de 1 de abril a 30 de setembro). Os novos relatórios são publicados em meados de maio e meados de novembro.

  • A Auditoria da SOC 1 na AWS é conduzida de acordo com os Padrões Internacionais para Interações de Garantia Nº 3402 (ISAE 3402). Os clientes que precisam de um relatório ISAE 3402 devem solicitar o relatório SOC 1 tipo II da AWS por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.

  • É necessário um NDA para revisar os relatórios SOC 1 e SOC 2 da AWS. O relatório SOC 3 da AWS é um resumo sobre o relatório SOC 2 da AWS, disponível para o público. O relatório AWS SOC 3 descreve como a AWS atende aos princípios de segurança de confiança do AICPA no SOC 2 e inclui a opinião de um auditor externo sobre a operação de controles. Você pode ler o relatório SOC 3 da AWS mais recente no site da AWS.

  • Os relatórios SOC 1 e SOC 2 da AWS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.

  • O relatório SOC 3 da AWS mais recente está disponível para o público no site da AWS.

  • A AWS emite os relatórios SOC 1, SOC 2 e SOC 3, cobrindo períodos de 6 meses (de 1.º de outubro a 31 de março e de 1.º de abril a 30 de setembro). Conforme apropriado, vamos inserir as novas regiões no escopo de nossos relatórios SOC no próximo ciclo de revisão disponível. 

Dúvidas? Entre em contacto com um representante comercial da AWS
Está a explorar funções de conformidade?
Inscreva-se hoje »
Quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »