SOC

Tổng quan

Báo cáo AWS System and Organization Controls (SOC) là bản báo cáo kiểm tra độc lập của bên thứ ba thể hiện cách AWS đạt được các mục tiêu và kiểm soát tuân thủ quan trọng. Mục đích của các báo cáo này là để giúp bạn và chuyên viên kiểm tra nắm bắt các biện pháp kiểm soát của AWS được thiết lập để hỗ trợ các hoạt động và khả năng tuân thủ. Có năm loại báo cáo AWS SOC:

• Báo cáo AWS SOC 1, khách hàng AWS có thể xem tại AWS Artifact.
• Báo cáo AWS SOC 2 về mức độ bảo mật, tính khả dụng & bí mật, khách hàng AWS có thể xem tại AWS Artifact.
• Báo cáo AWS SOC 2 loại II về quyền riêng tư, khách hàng AWS có thể xem tại AWS Artifact.
• Báo cáo tính bảo mật, sẵn sàng & tin cẩn của AWS SOC 3, được công khai dưới dạng báo cáo nghiên cứu chuyên sâu. 

• Báo cáo AWS SOC cung cấp thông tin gì?

  	SOC 1	SOC 2: Tính bảo mật, sẵn sàng & tin cẩn	SOC 2: Quyền riêng tư	SOC 3: Tính bảo mật, sẵn sàng & tin cẩn
  Báo cáo là gì?	Mô tả về môi trường kiểm soát và kiểm tra bên ngoài AWS đối với các biện pháp kiểm soát và mục tiêu mà AWS đã xác định	Mô tả về môi trường thuộc biện pháp kiểm soát của AWS và hoạt động kiểm tra bên ngoài biện pháp kiểm soát AWS đáp ứng các Tiêu chí về tính bảo mật, khả năng sẵn sàng và độ tin cẩn trong dịch vụ đáng tin cậy của AICPA	Mô tả về môi trường thuộc biện pháp kiểm soát của AWS và hoạt động kiểm tra bên ngoài biện pháp kiểm soát AWS đáp ứng các Tiêu chí về quyền riêng tư trong dịch vụ đáng tin cậy của AICPA	Báo cáo công khai thể hiện rằng AWS đáp ứng các Tiêu chí về tính bảo mật, khả năng sẵn sàng và độ tin cẩn trong dịch vụ đáng tin cậy của AICPA
  Báo cáo kiểm tra được thực hiện theo tiêu chuẩn nào?	SSAE số 18, Tiêu chuẩn chứng nhận: Làm rõ và sửa đổi (AICPA, Tiêu chuẩn chuyên nghiệp), bao gồm AT-C phần 320, Báo cáo về thanh tra kiểm soát tại tổ chức dịch vụ có liên quan đến kiểm soát nội bộ của thực thể người dùng trong báo cáo tài chính. Hướng dẫn AICPA, Tổ chức dịch vụ: Báo cáo về thanh tra kiểm soát tại tổ chức dịch vụ có liên quan đến kiểm soát nội bộ của thực thể người dùng trong báo cáo tài chính (SOC 1®)	SSAE số 18, Tiêu chuẩn chứng nhận: Làm rõ và sửa đổi, bao gồm AT-C phần 105, Khái niệm chung cho tất cả các cam kết chứng nhận, và phần AT-C 205, Hướng dẫn AICPA về thực hiện thanh tra, Báo cáo về kiểm soát tại tổ chức dịch vụ liên quan đến tính bảo mật, khả năng sử dụng, tính liêm chính khi xử lý, tính tin cẩn hoặc quyền riêng tư (SOC 2®) TSP phần 100A, Tiêu chí của dịch vụ đáng tin cậy về tính bảo mật, tính sẵn sàng, tính liêm chính khi xử lý, tính tin cẩn và quyền riêng tư năm 2017 (AICPA, Tiêu chí dịch vụ đáng tin cậy năm 2017)	Tương tự như SOC 2: Tính bảo mật, sẵn sàng & tin cẩn	SSAE số 18, Tiêu chuẩn chứng nhận: Làm rõ và sửa đổi, bao gồm AT-C phần 105, Khái niệm chung cho tất cả các cam kết chứng nhận và phần AT-C 205, TSP thực hiện thanh tra phần 100A, Tiêu chí của dịch vụ đáng tin cậy về tính bảo mật, tính sẵn sàng, tính liêm chính khi xử lý, tính tin cẩn và quyền riêng tư năm 2017 (AICPA, Tiêu chí dịch vụ đáng tin cậy năm 2017)
  Mục đích báo cáo chính là gì?	Cung cấp thông tin cho khách hàng về các môi trường kiểm soát của AWS có thể liên quan đến kiểm soát nội bộ của họ đối với báo cáo tài chính Để cung cấp thông tin cho khách hàng và chuyên viên đánh giá phục vụ đánh giá và ý kiến của họ về sự hiệu quả của kiểm soát nội bộ của họ đối với báo cáo tài chính (ICOFR)	Cung cấp cho khách hàng và người dùng có nhu cầu kinh doanh một bản đánh giá độc lập về môi trường kiểm soát của AWS liên quan đến bảo mật hệ thống, khả năng sử dụng và tính tin cẩn	Cung cấp cho khách hàng một bản đánh giá độc lập về hệ thống của AWS và độ phù hợp với thiết kế các biện pháp bảo đảm quyền riêng tư của AWS. Nguyên tắc đáng tin cậy về quyền riêng tư SOC 2, được xây dựng bởi Viện Kế toán viên Công Chứng Hoa Kỳ (AICPA) thiết lập các tiêu chí đánh giá biện pháp kiểm soát liên quan đến cách thức thu thập, sử dụng, tiết lộ và tiêu hủy thông tin cá nhân để đáp ứng các mục tiêu của tổ chức.	Cung cấp cho khách hàng và người dùng có nhu cầu kinh doanh một bản đánh giá độc lập về môi trường kiểm soát của AWS liên quan đến bảo mật hệ thống, khả năng sử dụng và tính tin cẩn mà không làm tiết lộ thông tin nội bộ AWS
  Ai là người đọc báo cáo chính?	Quản lý khách hàng và chuyên viên đánh giá của họ	Người dùng có nhu cầu kinh doanh	Người dùng có nhu cầu kinh doanh cần nắm bắt các biện pháp kiểm soát của AWS lên quan đến quyền riêng tư	Được cung cấp công khai tại đây
  Báo cáo AWS bao gồm giai đoạn nào?	6 tháng: 1/10-31/3 và 1/4-30/9	6 tháng: 1/10-31/3 và 1/4-30/9	6 tháng: 1/10-31/3 và 1/4-30/9	6 tháng: 1/10-31/3 và 1/4-30/9

  SOC 2: Tính bảo mật, sẵn sàng & tin cẩn

• Các dịch vụ AWS nào nằm trong phạm vi báo cáo SOC?

  Bạn có thể tìm thấy những dịch vụ AWS được áp dụng nằm trong phạm vi của báo cáo SOC ở Dịch vụ AWS trong phạm vi của Chương trình tuân thủ. Nếu bạn muốn tìm hiểu thêm về việc sử dụng những dịch vụ này và/hoặc quan tâm tới các dịch vụ khác, vui lòng liên hệ với chúng tôi.
  

• Những vùng nào nằm trong phạm vi báo cáo SOC của AWS?

  Để có danh sách đầy đủ tất cả các vùng phạm vi, vui lòng tham khảo Báo cáo SOC 3 của AWS. 

• Ai thực hiện việc kiểm tra độc lập bên thứ ba cho AWS về chứng nhận báo cáo SOC?

  Ernst & Young LLP thực hiện kiểm tra SOC 1, SOC 2 và SOC 3 của AWS.

• Báo cáo SOC của AWS được phát hành với tần suất thế nào và khi nào tôi có thể mong chờ một báo cáo mới được phát hành?

  AWS phát hành báo cáo SOC 1, SOC 2 và SOC 3 một năm hai lần, bao hàm thông tin trong khoảng thời gian 6 tháng (ngày 1 tháng 10 đến ngày 31 tháng 3 và ngày 1 tháng 4 đến ngày 30 tháng 9). Báo cáo mới được phát hành vào giữa tháng 5 và giữa tháng 11.
  

• Có báo cáo ISAE 3402 không?

  Kiểm tra AWS SOC 1 được thực hiện theo các tiêu chuẩn quốc tế về Cam kết đảm bảo số 3402 (ISAE 3402). Khách hàng cần báo cáo ISAE 3402 nên yêu cầu báo cáo AWS SOC 1 loại II bằng cách sử dụng AWS Artifact, một cổng tự phục vụ cho những truy cập theo yêu cầu đến các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.
  

• Có cần thỏa thuận bảo mật thông tin (NDA) để nhận báo cáo SOC của AWS không?

  Cần có NDA để xem xét báo cáo SOC 1 và SOC 2 của AWS. Báo cáo AWS SOC 3 là bản tóm tắt công khai của báo cáo SOC 2 của AWS. Báo cáo SOC 3 của AWS trình bày cách AWS đáp ứng Nguyên tắc bảo mật tin cậy của AICPA trong SOC 2 và bao gồm ý kiến của chuyên viên đánh giá bên ngoài về hoạt động kiểm soát. Bạn có thể đọc Báo cáo SOC 3 của AWS mới nhất được cung cấp công khai trên trang web của AWS.
  

• Làm cách nào để yêu cầu báo cáo SOC, SOC 1 hoặc SOC 2 của AWS?

  Các báo cáo SOC 1 và SOC 2 của AWS được cung cấp cho khách hàng bằng cách sử dụng AWS Artifact, một cổng tự phục vụ để xem các báo cáo tuân thủ của AWS theo yêu cầu. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.
  

• Tôi có thể tìm thấy Báo cáo SOC 3 của AWS ở đâu?

  Báo cáo AWS SOC 3 mới nhất được cung cấp công khai trên trang web của AWS.
  

• Khi nào Báo cáo SOC sẽ đề cập đến các khu vực mới?

  AWS phát hành báo cáo SOC 1, SOC 2 và SOC 3 một năm hai lần, bao gồm thông tin trong khoảng thời gian 6 tháng (ngày 1 tháng 10 đến ngày 31 tháng 3 và ngày 1 tháng 4 đến ngày 30 tháng 9). Khi thích hợp, chúng tôi sẽ đưa các khu vực mới vào báo cáo SOC trong chu kỳ đánh giá tiếp theo.