SOC
Visão geral
Os relatórios de controles de sistema e organização (SOC) da AWS são relatórios independentes da avaliação de terceiros que demonstram como a AWS atinge os principais controles e objetivos de conformidade. O propósito desses relatórios é ajudar você e os seus auditores a entender os controles estabelecidos na AWS para apoiar as operações e a conformidade. Existem três tipos de relatórios SOC da AWS:
- Relatório SOC 1 da AWS, disponível para clientes da AWS no AWS Artifact.
- Relatório de segurança, disponibilidade, confidencialidade e privacidade SOC 2 da AWS disponível para clientes da AWS no AWS Artifact.
- Relatório de segurança, disponibilidade, confidencialidade e privacidade SOC 3 da AWS, disponível publicamente como um whitepaper.
Relatórios SOC da AWS
- SOC 1
Uma descrição do ambiente de controle da AWS e da auditoria externa de controles e objetivos definidos pela AWS. - SOC 2: segurança, disponibilidade, confidencialidade e privacidade
Uma descrição do ambiente de controles da AWS e auditoria externa dos controles da AWS que atendem aos critérios de segurança, disponibilidade, confidencialidade e privacidade da AICPA Trust Services - SOC 3: segurança, disponibilidade, confidencialidade e privacidade
Um relatório público demonstrando que a AWS atendeu aos critérios de segurança, disponibilidade, confidencialidade e privacidade da AICPA Trust Services
- SOC 1
SSAE No. 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), que inclui a seção 320 da AT-C, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting. AICPA Guide, Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®) - SOC 2: segurança, disponibilidade, confidencialidade e privacidade
SSAE No. 18, Attestation Standards: Clarification and Recodification, que inclui a seção 105 da AT-C, Concepts Common to All Attestation Engagements, e a seção 205 da AT-C, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, ou a seção 100A da Privacy(SOC 2®) TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) - SOC 3: segurança, disponibilidade, confidencialidade e privacidade
SSAE No. 18, Attestation Standards: Clarification and Recodification, que inclui a seção 105 da AT-C, Concepts Common to All Attestation Engagements, e a seção 205 da AT-C, Examination Engagements, seção 100A da TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)
- SOC 1
Disponibilizar informações aos clientes sobre o ambiente de controle da AWS que podem ser relevantes para seus controles internos de relatórios financeiros.
Fornecer informações aos clientes e seus auditores para avaliação e parecer sobre a efetividade dos controles internos de reporte financeiro (ICFR). - SOC 2: segurança, disponibilidade, confidencialidade e privacidade
Fornecer aos clientes e usuários com necessidades comerciais uma avaliação independente do ambiente de controle da AWS relevante para a segurança, disponibilidade, confidencialidade e privacidade do sistema. - SOC 3: segurança, disponibilidade, confidencialidade e privacidade
Fornecer aos clientes e usuários com necessidade de negócios uma avaliação independente do ambiente de controle da AWS relevante para segurança, disponibilidade, confidencialidade e privacidade do sistema sem divulgar informações internas da AWS.
- SOC 1
Gestão de clientes e seus auditores - SOC 2: segurança, disponibilidade, confidencialidade e privacidade
Usuários com necessidades de negócios - SOC 3: segurança, disponibilidade, confidencialidade e privacidade
Disponível publicamente aqui
- SOC 1
12 meses: término em 31/03, 30/06, 30/09, 31/12 - SOC 2: segurança, disponibilidade, confidencialidade e privacidade
12 meses: término em 31/03, 30/09 - SOC 3: segurança, disponibilidade, confidencialidade e privacidade
12 meses: término em 31/03, 30/09
Perguntas frequentes gerais
Abrir tudoA Carta de Continuidade de Operações do SOC (também conhecida como Carta Ponte ou COL) para os relatórios SOC 1 e SOC 2 da AWS é atualizada mensalmente e está disponível no Artifact (Título: SOC Continued Operations Letter). A COL geralmente é publicada na primeira semana de cada mês, abrangendo o período desde a data do último relatório SOC emitido até a data em que o COL foi publicado.
AWS no SOC
Abrir tudoOs serviços da AWS abrangidos e já no escopo dos relatórios SOC podem ser encontrados em Serviços da AWS no escopo por programa de conformidade. Se quiser saber mais sobre o uso desses serviços e tiver interesse em outros, entre em contato conosco.
Para obter uma lista completa de todas as regiões em escopo, consulte o Relatório SOC 3 da AWS.
A Ernst & Young LLP executa as auditorias do AWS SOC 1, SOC 2 e SOC 3.
- Ciclo da primavera: (1º de abril a 31 de março) [SOC 1/2/3 emitido aproximadamente no final de maio]
- Ciclo de verão: (1º de julho a 30 de junho) [SOC 1 emitido apenas aproximadamente no final de agosto]
- Ciclo de outono: (1º de outubro a 30 de setembro) [SOC 1/2/3 emitido aproximadamente no final de novembro]
- Ciclo de inverno: (1.º de janeiro a 31 de dezembro) [SOC 1 gerado apenas aproximadamente no final de fevereiro]
A AWS publica relatórios SOC 1 trimestralmente e relatórios SOC 2 e 3 duas vezes por ano. Cada relatório abrange os últimos 12 meses. Há muitos fatores que influenciam a data de lançamento do relatório, mas os novos relatórios geralmente são lançados aproximadamente 9 a 10 semanas após a data de término desse período.
A Auditoria do SOC 1 na AWS é conduzida de acordo com os Padrões Internacionais para Interações de Garantia N.º 3402 (ISAE 3402). Os clientes que precisam de um relatório ISAE 3402 devem solicitar o relatório SOC 1 Type II da AWS por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.
É necessário um NDA para analisar os relatórios SOC 1 e SOC 2 da AWS. O relatório SOC 3 da AWS é um resumo sobre o relatório SOC 2 da AWS, disponível para o público. O relatório SOC 3 da AWS descreve como ela atende aos critérios de serviços de confiança do AICPA no SOC 2 e inclui a opinião de um auditor externo sobre a operação de controles. Você pode ler o Relatório SOC 3 da AWS mais recente no site da AWS.
Os relatórios SOC 1 e SOC 2 da AWS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.
O Relatório SOC 3 da AWS mais recente está disponível publicamente no site da AWS.
A AWS cria relatórios SOC 1 trimestralmente e relatórios SOC 2/3 duas vezes por ano. Cada relatório abrange um período de 12 meses. Conforme apropriado, vamos inserir as novas regiões no escopo de nossos relatórios SOC no próximo ciclo de revisão disponível.