SOC

ภาพรวม

รายงานการควบคุมระบบและองค์กร (SOC) ของ AWS เป็นรายงานการตรวจสอบของบุคคลที่สามที่เป็นอิสระซึ่งแสดงให้เห็นวิธีที่ AWS สามารถควบคุมการปฏิบัติตามข้อกำหนดและบรรลุวัตถุประสงค์หลักได้ วัตถุประสงค์ของรายงานเหล่านี้คือ เพื่อช่วยให้คุณและผู้ตรวจสอบเข้าใจถึงการควบคุมของ AWS ที่มีขึ้นเพื่อสนับสนุนการปฏิบัติงานและการปฏิบัติตามข้อกำหนด ซึ่งประกอบด้วยรายงาน SOC ของ AWS จำนวน 5 ฉบับ ดังนี้

• รายงาน SOC 1 ของ AWS จะให้บริการแก่ลูกค้า AWS จาก AWS Artifact
• รายงาน AWS SOC 2 เพื่อการรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับจะให้บริการแก่ลูกค้า AWS จาก AWS Artifact
• รายงาน AWS SOC 2 Privacy Type II จะให้บริการแก่ลูกค้า AWS จาก AWS Artifact
• รายงาน SOC 3 ของ AWS เพื่อการรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับเปิดเผยต่อสาธารณชนแล้วในรูปแบบเอกสารรายงาน 

• รายงาน SOC ของ AWS มีข้อมูลใดบ้าง

  	SOC 1	SOC 2: การรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับ	SOC 2: ความเป็นส่วนตัว	SOC 3: การรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับ
  รายงานคืออะไร	คำอธิบายสภาพแวดล้อมในการควบคุมของ AWS และการตรวจสอบจากภายนอกตามการควบคุมและวัตถุประสงค์ที่กำหนดโดย AWS	คำอธิบายสภาพแวดล้อมในการควบคุมของ AWS และการตรวจสอบจากภายนอกสำหรับการควบคุมของ AWS ที่ตรงตามเกณฑ์ด้านการรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับของ AICPA Trust Services	คำอธิบายสภาพแวดล้อมในการควบคุมของ AWS และการตรวจสอบจากภายนอกสำหรับการควบคุมของ AWS ที่ตรงตามเกณฑ์ด้านความเป็นส่วนตัวของ AICPA Trust Services	รายงานสาธารณะที่แสดงให้เห็นว่า AWS ได้ปฏิบัติตามเกณฑ์ด้านการรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับของ AICPA Trust Services
  รายงานการตรวจสอบใช้มาตรฐานใด	SSAE No. 18 มาตรฐานการรับรอง: การชี้แจงและการจัดหมวดหมู่ใหม่ (AICPA มาตรฐานวิชาชีพ) ซึ่งรวมถึง AT-C มาตราที่ 320 การรายงานเกี่ยวกับการตรวจสอบการควบคุมที่องค์กรบริการ ในเรื่องการควบคุมภายในต่อรายงานทางการเงินของหน่วยงานของผู้ใช้ คู่มือ AICPA องค์กรบริการ: การรายงานเกี่ยวกับการตรวจสอบการควบคุมที่องค์กรบริการ ในเรื่องการควบคุมภายในต่อรายงานทางการเงินของหน่วยงานของผู้ใช้ (SOC 1®)	SSAE No. 18 มาตรฐานการรับรอง: การชี้แจงและการจัดหมวดหมู่ใหม่ ซึ่งรวมถึง AT-C มาตราที่ 105 แนวคิดที่ใช้ร่วมกันกับงานตรวจสอบที่ให้ความเชื่อมั่นต่อคำรับรองจากบุคคลอื่นทั้งหมด และ AT-C มาตราที่ 205 คู่มืองานตรวจสอบที่ให้ความเชื่อมั่นด้วยการทดสอบของ AICPA, การรายงานเกี่ยวกับการควบคุมที่องค์กรบริการ ในเรื่องการรักษาความปลอดภัย ความพร้อมใช้งาน บูรณภาพของกระบวนการ การรักษาความลับ หรือความเป็นส่วนตัว (SOC 2®) TSP มาตราที่ 100A, เกณฑ์ของ Trust Services ปี 2017 สำหรับการรักษาความปลอดภัย ความพร้อมใช้งาน บูรณภาพของกระบวนการ การรักษาความลับ และความเป็นส่วนตัว (AICPA, เกณฑ์ของ Trust Services ปี 2017)	เช่นเดียวกับ SOC 2: การรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับ	SSAE No. 18 มาตรฐานการรับรอง: การชี้แจงและการจัดหมวดหมู่ใหม่ ซึ่งรวมถึง AT-C มาตราที่ 105 แนวคิดที่ใช้ร่วมกันกับงานตรวจสอบที่ให้ความเชื่อมั่นต่อคำรับรองจากบุคคลอื่นทั้งหมด และ AT-C มาตราที่ 205 งานตรวจสอบที่ให้ความเชื่อมั่นด้วยการทดสอบ TSP มาตราที่ 100A, เกณฑ์ของ Trust Services ปี 2017 สำหรับการรักษาความปลอดภัย ความพร้อมใช้งาน บูรณภาพของกระบวนการ การรักษาความลับ และความเป็นส่วนตัว (AICPA, เกณฑ์ของ Trust Services ปี 2017)
  วัตถุประสงค์ของรายงานหลักคืออะไร	เพื่อให้ข้อมูลแก่ลูกค้าเกี่ยวกับสภาพแวดล้อมในการควบคุมของ AWS ที่อาจเกี่ยวข้องกับการควบคุมภายในต่อรายงานทางการเงิน เพื่อให้ข้อมูลแก่ลูกค้าและผู้ตรวจสอบสำหรับการประเมินและความคิดเห็นเกี่ยวกับประสิทธิผลของการควบคุมภายในต่อรายงานทางการเงิน (ICOFR)	เพื่อให้ลูกค้าและผู้ใช้ที่มีความต้องการทางธุรกิจทราบการประเมินอย่างอิสระด้านสภาพแวดล้อมในการควบคุมของ AWS ที่เกี่ยวข้องกับการรักษาความปลอดภัยของระบบ ความพร้อมใช้งาน และการรักษาความลับ	เพื่อให้ลูกค้าทราบการประเมินอย่างอิสระเกี่ยวกับระบบของ AWS และความเหมาะสมในการออกแบบการควบคุมความเป็นส่วนตัวของ AWS หลักการความน่าเชื่อถือด้านความเป็นส่วนตัว SOC 2 ที่พัฒนาโดย American Institute of CPAs (AICPA) ได้กำหนดเกณฑ์สำหรับการประเมินการควบคุมที่เกี่ยวข้องกับวิธีการรวบรวม ใช้ เก็บรักษา เปิดเผย และกำจัดข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ของหน่วยงาน	เพื่อให้ลูกค้าและผู้ใช้ที่มีความต้องการทางธุรกิจทราบการประเมินอย่างอิสระด้านสภาพแวดล้อมในการควบคุมของ AWS ที่เกี่ยวข้องกับการรักษาความปลอดภัยของระบบ ความพร้อมใช้งาน และการรักษาความลับโดยไม่เปิดเผยข้อมูลภายในของ AWS
  ใครคือกลุ่มเป้าหมายของรายงานหลัก	การจัดการลูกค้าและผู้ตรวจสอบ	ผู้ใช้ที่มีความต้องการทางธุรกิจ	ผู้ใช้ที่มีธุรกิจต้องเข้าใจการควบคุมของ AWS ที่เกี่ยวข้องกับความเป็นส่วนตัว	เปิดเผยต่อสาธารณะแล้วที่นี่
  รายงาน AWS ครอบคลุมช่วงเวลาใด	6 เดือน: 10/1-3/31 และ 4/1-9/30	6 เดือน: 10/1-3/31 และ 4/1-9/30	6 เดือน: 10/1-3/31 และ 4/1-9/30	6 เดือน: 10/1-3/31 และ 4/1-9/30

  SOC 2: การรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับ

• บริการของ AWS ใดที่อยู่ในขอบข่ายสำหรับรายงาน SOC

  บริการของ AWS ที่ครอบคลุมซึ่งอยู่ในขอบข่ายของรายงาน SOC อยู่แล้วนั้นได้รับการระบุไว้ในบริการของ AWS ซึ่งอยู่ในขอบข่ายโปรแกรมการปฏิบัติตามข้อกำหนด หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการใช้บริการเหล่านี้ และ/หรือมีความสนใจในบริการอื่นๆ โปรดติดต่อเรา
  

• ภูมิภาคใดบ้างที่อยู่ภายใต้การรับรองรายงาน SOC ของ AWS

  สำหรับรายการภูมิภาคที่อยู่ในขอบเขตทั้งหมด โปรดดูรายงาน SOC 3 ของ AWS 

• ใครคือหน่วยงานอิสระภายนอกที่ดำเนินการตรวจสอบรายงาน SOC ของ AWS

  Ernst & Young LLP จะเป็นผู้ทำการตรวจสอบ SOC 1, SOC 2 และ SOC 3 ของ AWS

• มีการออกรายงาน SOC ของ AWS บ่อยเพียงใด และคาดว่าจะมีการเผยแพร่รายงานใหม่ได้เมื่อใด

  AWS มีการออกรายงาน SOC 1, SOC 2 และ SOC 3 สองครั้งต่อปี โดยครอบคลุมระยะเวลา 6 เดือน (1 ตุลาคม – 31 มีนาคมและ 1 เมษายน – 30 กันยายน) รายงานใหม่จะเผยแพร่ช่วงกลางเดือนพฤษภาคมและกลางเดือนพฤศจิกายน
  

• มีรายงาน ISAE 3402 หรือไม่

  การตรวจสอบ SOC 1 ของ AWS จะดำเนินการตามมาตรฐานสากลสำหรับงานตรวจสอบที่ให้ความเชื่อมั่นหมายเลข 3402 (ISAE 3402) ลูกค้าที่ต้องการรายงาน ISAE 3402 ควรขอรายงาน SOC 1 Type II ของ AWS โดยใช้ AWS Artifact ซึ่งเป็นพอร์ทัลแบบบริการตนเองสำหรับเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact
  

• จำเป็นต้องใช้ข้อตกลงการไม่เปิดเผยข้อมูล (NDA) เพื่อรับรายงาน SOC ของ AWS หรือไม่

  จำเป็นต้องใช้ NDA เพื่อตรวจสอบรายงาน SOC 1 และ SOC 2 ของ AWS รายงาน SOC 3 ของ AWS เป็นข้อมูลสรุปที่เปิดเผยต่อสาธารณะเกี่ยวกับรายงาน SOC 2 ของ AWS รายงาน SOC 3 ของ AWS จะสรุปว่า AWS เป็นไปตามหลักการความไว้วางใจด้านการรักษาความปลอดภัยของ AICPA ใน SOC 2 อย่างไร และรวมถึงความเห็นของผู้ตรวจสอบบัญชีภายนอกเกี่ยวกับการปฏิบัติงานในการควบคุม คุณสามารถอ่านรายงาน SOC 3 ของ AWS ฉบับล่าสุดได้บนเว็บไซต์ AWS
  

• ฉันจะขอรายงาน SOC 1 หรือ SOC 2 ของ AWS ได้อย่างไร

  ลูกค้าสามารถดูรายงาน SOC 1 และ SOC 2 ของ AWS ได้โดยใช้ AWS Artifact ซึ่งเป็นพอร์ทัลแบบบริการตนเองสำหรับการเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact
  

• ฉันจะหารายงาน SOC 3 ของ AWS ได้จากที่ใด

  รายงาน SOC 3 ของ AWS ฉบับล่าสุดเปิดเผยต่อสาธารณะแล้วบนเว็บไซต์ AWS
  

• รายงาน SOC จะครอบคลุมรีเจี้ยนใหม่เมื่อใด

  AWS มีการออกรายงาน SOC 1, SOC 2 และ SOC 3 สองครั้งต่อปี โดยครอบคลุมระยะเวลา 6 เดือน (1 ตุลาคม – 31 มีนาคมและ 1 เมษายน – 30 กันยายน) เราจะกำหนดขอบเขตในรีเจี้ยนใหม่ให้กับรายงาน SOC ของเราในรอบการตรวจสอบถัดไปตามความเหมาะสม