SOC

ภาพรวม

SOC-SizedLogo

รายงานการควบคุมระบบและองค์กร (SOC) ของ AWS เป็นรายงานการตรวจสอบของบุคคลที่สามที่เป็นอิสระซึ่งแสดงให้เห็นวิธีที่ AWS สามารถควบคุมการปฏิบัติตามข้อกำหนดและบรรลุวัตถุประสงค์หลักได้ วัตถุประสงค์ของรายงานเหล่านี้คือ เพื่อช่วยให้คุณและผู้ตรวจสอบเข้าใจถึงการควบคุมของ AWS ที่มีขึ้นเพื่อสนับสนุนการปฏิบัติงานและการปฏิบัติตามข้อกำหนด ซึ่งประกอบด้วยรายงาน SOC ของ AWS จำนวน 5 ฉบับ ดังนี้

  • รายงาน SOC 1 ของ AWS จะให้บริการแก่ลูกค้า AWS จาก AWS Artifact
  • รายงาน SOC 2 ของ AWS เพื่อการรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับจะให้บริการแก่ลูกค้า AWS จาก AWS Artifact
  • รายงาน SOC 2 ของ AWS เพื่อการรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับจะให้บริการแก่ลูกค้า AWS จาก AWS Artifact (ขอบเขตจะรวมถึง Amazon DocumentDB เท่านั้น)
  • รายงาน SOC 2 ของ AWS เพื่อความเป็นส่วนตัว Type I จะให้บริการแก่ลูกค้า AWS จาก AWS Artifact
  • รายงาน SOC 3 ของ AWS เพื่อการรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับเปิดเผยต่อสาธารณชนแล้วในรูปแบบเอกสารรายงาน 
  • รายงาน SOC ของ AWS มีข้อมูลใดบ้าง

      SOC 1 SOC 2: การรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับ
    SOC 2: ความเป็นส่วนตัว 
    SOC 3: การรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับ
    รายงานคืออะไร คำอธิบายสภาพแวดล้อมในการควบคุมของ AWS และการตรวจสอบจากภายนอกตามการควบคุมและวัตถุประสงค์ที่กำหนดโดย AWS คำอธิบายสภาพแวดล้อมในการควบคุมของ AWS และการตรวจสอบจากภายนอกสำหรับการควบคุมของ AWS ที่ตรงตามหลักการและเกณฑ์ด้านการรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับของ AICPA Trust Services คำอธิบายสภาพแวดล้อมในการควบคุมของ AWS และการตรวจสอบจากภายนอกสำหรับการควบคุมของ AWS ที่ตรงตามหลักการและเกณฑ์ด้านความเป็นส่วนตัวของ AICPA Trust Services รายงานสาธารณะที่แสดงให้เห็นว่า AWS ได้ปฏิบัติตามหลักการและเกณฑ์ด้านการรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับของ AICPA Trust Services
    รายงานการตรวจสอบใช้มาตรฐานใด SSAE No. 18 มาตรฐานการรับรอง: การชี้แจงและการจัดหมวดหมู่ใหม่ (AICPA มาตรฐานวิชาชีพ) ซึ่งรวมถึง AT-C มาตราที่ 320 การรายงานเกี่ยวกับการตรวจสอบการควบคุมที่องค์กรบริการ ในเรื่องการควบคุมภายในต่อรายงานทางการเงินของหน่วยงานของผู้ใช้ คู่มือ AICPA องค์กรบริการ: การรายงานเกี่ยวกับการตรวจสอบการควบคุมที่องค์กรบริการ ในเรื่องการควบคุมภายในต่อรายงานทางการเงินของหน่วยงานของผู้ใช้ (SOC 1®) SSAE No. 18 มาตรฐานการรับรอง: การชี้แจงและการจัดหมวดหมู่ใหม่ ซึ่งรวมถึง AT-C มาตราที่ 105 แนวคิดที่ใช้ร่วมกันกับงานตรวจสอบที่ให้ความเชื่อมั่นต่อคำรับรองจากบุคคลอื่นทั้งหมด และ AT-C มาตราที่ 205 คู่มืองานตรวจสอบที่ให้ความเชื่อมั่นด้วยการทดสอบของ AICPA, การรายงานเกี่ยวกับการควบคุมที่องค์กรบริการ ในเรื่องการรักษาความปลอดภัย ความพร้อมใช้งาน บูรณภาพของกระบวนการ การรักษาความลับ หรือความเป็นส่วนตัว (SOC 2®) TSP มาตราที่ 100A, เกณฑ์ของ Trust Services ปี 2017 สำหรับการรักษาความปลอดภัย ความพร้อมใช้งาน บูรณภาพของกระบวนการ การรักษาความลับ และความเป็นส่วนตัว (AICPA, เกณฑ์ของ Trust Services ปี 2017) เช่นเดียวกับ SOC 2: การรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับ SSAE No. 18 มาตรฐานการรับรอง: การชี้แจงและการจัดหมวดหมู่ใหม่ ซึ่งรวมถึง AT-C มาตราที่ 105 แนวคิดที่ใช้ร่วมกันกับงานตรวจสอบที่ให้ความเชื่อมั่นต่อคำรับรองจากบุคคลอื่นทั้งหมด และ AT-C มาตราที่ 205 งานตรวจสอบที่ให้ความเชื่อมั่นด้วยการทดสอบ TSP มาตราที่ 100A, เกณฑ์ของ Trust Services ปี 2017 สำหรับการรักษาความปลอดภัย ความพร้อมใช้งาน บูรณภาพของกระบวนการ การรักษาความลับ และความเป็นส่วนตัว (AICPA, เกณฑ์ของ Trust Services ปี 2017)
    วัตถุประสงค์ของรายงานหลักคืออะไร

    เพื่อให้ข้อมูลแก่ลูกค้าเกี่ยวกับสภาพแวดล้อมในการควบคุมของ AWS ที่อาจเกี่ยวข้องกับการควบคุมภายในต่อรายงานทางการเงิน

    เพื่อให้ข้อมูลแก่ลูกค้าและผู้ตรวจสอบสำหรับการประเมินและความคิดเห็นเกี่ยวกับประสิทธิผลของการควบคุมภายในต่อรายงานทางการเงิน (ICOFR)

    เพื่อให้ลูกค้าและผู้ใช้ที่มีความต้องการทางธุรกิจทราบการประเมินอย่างอิสระด้านสภาพแวดล้อมในการควบคุมของ AWS ที่เกี่ยวข้องกับการรักษาความปลอดภัยของระบบ ความพร้อมใช้งาน และการรักษาความลับ

    เพื่อให้ลูกค้าทราบการประเมินอย่างอิสระเกี่ยวกับระบบของ AWS และความเหมาะสมในการออกแบบการควบคุมความเป็นส่วนตัวของ AWS

    หลักการความน่าเชื่อถือด้านความเป็นส่วนตัว SOC 2 ที่พัฒนาโดย American Institute of CPAs (AICPA) ได้กำหนดเกณฑ์สำหรับการประเมินการควบคุมที่เกี่ยวข้องกับวิธีการรวบรวม ใช้ เก็บรักษา เปิดเผย และกำจัดข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ของหน่วยงาน

    เพื่อให้ลูกค้าและผู้ใช้ที่มีความต้องการทางธุรกิจทราบการประเมินอย่างอิสระด้านสภาพแวดล้อมในการควบคุมของ AWS ที่เกี่ยวข้องกับการรักษาความปลอดภัยของระบบ ความพร้อมใช้งาน และการรักษาความลับโดยไม่เปิดเผยข้อมูลภายในของ AWS
    ใครคือกลุ่มเป้าหมายของรายงานหลัก การจัดการลูกค้าและผู้ตรวจสอบ ผู้ใช้ที่มีความต้องการทางธุรกิจ ผู้ใช้ที่มีธุรกิจต้องเข้าใจการควบคุมของ AWS ที่เกี่ยวข้องกับความเป็นส่วนตัว เปิดเผยต่อสาธารณะแล้วที่นี่
    รายงาน AWS ครอบคลุมช่วงเวลาใด

    6 เดือน:

    10/1-3/31 และ 4/1-9/30

    6 เดือน:

    10/1-3/31 และ 4/1-9/30

     

    ตำแหน่งของเวลา (ตามวันที่รายงาน)

    6 เดือน:

    10/1-3/31 และ 4/1-9/30

    SOC 2: การรักษาความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับ
  • บริการของ AWS ใดที่อยู่ในขอบข่ายสำหรับรายงาน SOC

    บริการของ AWS ที่ครอบคลุมซึ่งอยู่ในขอบข่ายของรายงาน SOC อยู่แล้วนั้นได้รับการระบุไว้ในบริการของ AWS ซึ่งอยู่ในขอบข่ายโปรแกรมการปฏิบัติตามข้อกำหนด หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการใช้บริการเหล่านี้ และ/หรือมีความสนใจในบริการอื่นๆ โปรดติดต่อเรา

  • ภูมิภาคใดบ้างที่อยู่ภายใต้การรับรองรายงาน SOC ของ AWS

    สำหรับรายการภูมิภาคที่อยู่ในขอบเขตทั้งหมด โปรดดูรายงาน SOC 3 ของ AWS 

  • ใครคือหน่วยงานอิสระภายนอกที่ดำเนินการตรวจสอบรายงาน SOC ของ AWS

    Ernst & Young LLP จะเป็นผู้ทำการตรวจสอบ SOC 1, SOC 2 และ SOC 3 ของ AWS

  • มีการออกรายงาน SOC ของ AWS บ่อยเพียงใด และคาดว่าจะมีการเผยแพร่รายงานใหม่ได้เมื่อใด

    AWS มีการออกรายงาน SOC 1, SOC 2 และ SOC 3 สองครั้งต่อปี โดยครอบคลุมระยะเวลา 6 เดือน (1 ตุลาคม – 31 มีนาคมและ 1 เมษายน – 30 กันยายน) รายงานใหม่จะเผยแพร่ช่วงกลางเดือนพฤษภาคมและกลางเดือนพฤศจิกายน

  • มีรายงาน ISAE 3402 หรือไม่

    การตรวจสอบ SOC 1 ของ AWS จะดำเนินการตามมาตรฐานสากลสำหรับงานตรวจสอบที่ให้ความเชื่อมั่นหมายเลข 3402 (ISAE 3402) ลูกค้าที่ต้องการรายงาน ISAE 3402 ควรขอรายงาน SOC 1 Type II ของ AWS โดยใช้ AWS Artifact ซึ่งเป็นพอร์ทัลแบบบริการตนเองสำหรับเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact

  • จำเป็นต้องใช้ข้อตกลงการไม่เปิดเผยข้อมูล (NDA) เพื่อรับรายงาน SOC ของ AWS หรือไม่

    จำเป็นต้องใช้ NDA เพื่อตรวจสอบรายงาน SOC 1 และ SOC 2 ของ AWS รายงาน SOC 3 ของ AWS เป็นข้อมูลสรุปที่เปิดเผยต่อสาธารณะเกี่ยวกับรายงาน SOC 2 ของ AWS รายงาน SOC 3 ของ AWS จะสรุปว่า AWS เป็นไปตามหลักการความไว้วางใจด้านการรักษาความปลอดภัยของ AICPA ใน SOC 2 อย่างไร และรวมถึงความเห็นของผู้ตรวจสอบบัญชีภายนอกเกี่ยวกับการปฏิบัติงานในการควบคุม คุณสามารถอ่านรายงาน SOC 3 ของ AWS ฉบับล่าสุดได้บนเว็บไซต์ AWS

  • ฉันจะขอรายงาน SOC 1 หรือ SOC 2 ของ AWS ได้อย่างไร

    ลูกค้าสามารถดูรายงาน SOC 1 และ SOC 2 ของ AWS ได้โดยใช้ AWS Artifact ซึ่งเป็นพอร์ทัลแบบบริการตนเองสำหรับการเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact

  • ฉันจะหารายงาน SOC 3 ของ AWS ได้จากที่ใด

    รายงาน SOC 3 ของ AWS ฉบับล่าสุดเปิดเผยต่อสาธารณะแล้วบนเว็บไซต์ AWS

compliance-contactus-icon
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »