我想取得有關雲端 SOC 的資訊
AWS SOC 合規

AWS 系統與組織控制 (SOC) 報告是獨立的第三方檢驗報告,其中展現了 AWS 如何達成關鍵合規性控制與目標。這些報告的用途是協助您和稽核人員了解為了支援運作與合規所建立的 AWS 控制。AWS SOC 報告有三種類型:



  SOC 1 SOC 2:安全性、可用性和機密性
SOC 3:安全性、可用性和機密性
報告內容為何? AWS 控制環境的描述以及 AWS 定義的控制與目標的外部稽核 AWS 控制環境的描述以及符合 AICPA 信託服務安全性、可用性和機密性原則和條件的 AWS 控制的外部稽核 展現 AWS 已達到 AICPA 信託服務安全性、可用性和機密性原則和條件的公開報告
稽核報告執行的依循標準為何? SSAE No. 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards),其中包括 AT-C section 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting。AICPA 指南,Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®)

SSAE No. 18, Attestation Standards: Clarification and Recodification,其中包括 AT-C section 105, Concepts Common to All Attestation Engagements 及 AT-C section 205, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy(SOC 2®) TSP section 100, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)

SSAE No. 18, Attestation Standards: Clarification and Recodification,其中包括 AT-C section 105, Concepts Common to All Attestation Engagements 及 AT-C section 205, Examination Engagements TSP section 100, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)
報告的主要用途是什麼?

為客戶提供與他們內部控制財務報告相關的 AWS 控制環境資訊

為客戶及其稽核人員提供對於他們內部控制財務報告 (ICOFR) 有效性的評估和意見等資訊

為具有商業需求的客戶和使用者提供與系統安全性、可用性和機密性相關的 AWS 控制環境的公正評估 為具有商業需求的客戶和使用者提供與系統安全性、可用性和機密性相關的 AWS 控制環境的公正評估,但不透露 AWS 內部資訊
報告的主要適用對象有哪些? 客戶管理階層及其稽核人員 具有商業需求的使用者 公開資訊,請參閱這裡
AWS 報告涵蓋的期間為何?

6 個月:

10 月 1 日到 3 月 31 日,4 月 1 日到 9 月 30 日

6 個月:

10 月 1 日到 3 月 31 日,4 月 1 日到 9 月 30 日

6 個月:

10 月 1 日到 3 月 31 日,4 月 1 日到 9 月 30 日

您可以在合規計劃的 AWS 服務範圍找到已經涵蓋在 SOC 報告範圍內的 AWS 服務。如果您想進一步了解使用這些服務的資訊及/或對其他服務感興趣,請聯絡我們

美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (奧勒岡)、美國西部 (加利佛尼亞北部)、AWS GovCloud (US)、加拿大 (中部)、歐洲 (愛爾蘭)、歐洲 (法蘭克福)、歐洲 (倫敦)、亞太區域 (新加坡)、亞太區域 (雪梨)、亞太區域 (東京)、亞太區域 (首爾)、亞太區域 (孟買) 和南美洲 (聖保羅) 等區域,以及下列地點的 AWS 節點:

  • 澳洲墨爾本
  • 澳洲雪梨
  • 奧地利維也納
  • 巴西里約熱內盧
  • 巴西聖保羅
  • 加拿大蒙特婁
  • 加拿大多倫多
  • 捷克布拉格
  • 中國香港
  • 英國倫敦
  • 法國馬賽
  • 法國巴黎
  • 德國柏林
  • 德國法蘭克福
  • 德國慕尼黑
  • 印度清奈
  • 印度孟買
  • 印度新德里
  • 愛爾蘭都柏林
  • 義大利米蘭
  • 日本大阪
  • 日本東京
  • 韓國首爾
  • 馬來西亞吉隆坡
  • 荷蘭阿姆斯特丹
  • 菲律賓馬尼拉
  • 波蘭華沙
  • 新加坡
  • 西班牙馬德里
  • 瑞典斯德哥爾摩
  • 台灣台北
  • 美國加州
  • 美國佛羅里達
  • 美國喬治亞
  • 美國伊利諾
  • 美國印地安納
  • 美國明尼蘇達
  • 美國密蘇里
  • 美國新澤西
  • 美國紐約
  • 美國俄亥俄
  • 美國奧勒岡
  • 美國賓夕法尼亞
  • 美國德州
  • 美國維吉尼亞
  • 美國華盛頓

Ernst & Young LLP 進行 AWS SOC 1、SOC 2 和 SOC 3 稽核。

AWS 每年會簽發兩份涵蓋 6 個月期間的 SOC 1、SOC 2 和 SOC 3 報告 (第一份報告的涵蓋時間為 10 月 1 日到 3 月 31 日,第二份的涵蓋時間為 4 月 1 日到 9 月 30 日)。新報告會在五月中和十一月中發佈。

AWS SOC 1 稽核是根據國際鑑證業務準則第3402 號 (ISAE 3402) 來進行。需要 ISAE 3402 報告的客戶應該請求 AWS SOC 1 Type II 報告。

只有檢閱 AWS SOC 1 和 2 報告才需要 NDA;這裡公開提供 AWS SOC 3 報告。AWS SOC 3 報告是 AWS SOC 2 報告的摘要。它概述 AWS 符合 SOC 2 中 AICPA 的 Trust Security Principles,且包含外部稽核員對控制操作的意見。

使用 AWS Artifact (隨需存取 AWS 合規報告的自助服務入口網站) 可將 AWS SOC 1 和 SOC 2 報告提供給客戶。立即開始使用 AWS Artifact。

AWS SOC 3 是公開資訊,可以在這裡找到。

SOC 資源

 

聯絡我們