SOC
Visão geral
Os relatórios de controles de sistema e organização (SOC) da AWS são relatórios independentes de exame de terceiros que demonstram como a AWS atinge os principais controles e objetivos de conformidade. O propósito desses relatórios é ajudar você e os seus auditores a entenderem os controles estabelecidos na AWS para apoiar as operações e a conformidade. Existem três tipos de relatórios SOC da AWS:
- Relatório SOC 1 da AWS, disponível para clientes da AWS por meio do AWS Artifact.
- Relatório de segurança, disponibilidade, confidencialidade e privacidade SOC 2 da AWS disponível para clientes da AWS no AWS Artifact.
- Relatório de segurança, disponibilidade, confidencialidade e privacidade SOC 3 da AWS, disponível publicamente como um whitepaper.
-
Quais informações os Relatórios AWS SOC disponibilizam?
SOC 1 SOC 2: segurança, disponibilidade, confidencialidade e privacidade
SOC 3: segurança, disponibilidade, confidencialidade e privacidade
No que consiste o Relatório? Uma descrição do ambiente de controle da AWS e da auditoria externa de controles e objetivos definidos pela AWS Uma descrição do ambiente de controles da AWS e auditoria externa dos controles da AWS que atendem aos critérios de segurança, disponibilidade, confidencialidade e privacidade da AICPA Trust Services
Um relatório público demonstrando que a AWS atendeu aos critérios de segurança, disponibilidade, confidencialidade e privacidade da AICPA Trust Services
Sob qual padrão o relatório de auditoria é executado? SSAE No. 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), que inclui a seção 320 da AT-C, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting. Guia AICPA, Organizações de serviços: relatando um exame de controles em uma organização de serviços relevantes para o controle interno das entidades usuárias sobre relatórios financeiros (SOC 1®) SSAE No. 18, Attestation Standards: Clarification and Recodification, que inclui a seção 105 da AT-C, Concepts Common to All Attestation Engagements, e a seção 205 da AT-C, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, ou a seção 100A da Privacy(SOC 2®) TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) SSAE No. 18, Attestation Standards: Clarification and Recodification, que inclui a seção 105 da AT-C, Concepts Common to All Attestation Engagements, e a seção 205 da AT-C, Examination Engagements, seção 100A da TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) Qual o principal objetivo do Relatório? Disponibilizar informações aos clientes sobre o ambiente de controle da AWS que podem ser relevantes para seus controles internos de reporte financeiro
Fornecer informações aos clientes e seus auditores para avaliação e parecer sobre a efetividade dos controles internos de reporte financeiro (ICOFR)
Fornecer aos clientes e usuários com necessidades comerciais uma avaliação independente do ambiente de controle da AWS relevante para a segurança, disponibilidade, confidencialidade e privacidade do sistema
Fornecer aos clientes e usuários com necessidade de negócios uma avaliação independente do ambiente de controle da AWS relevante para segurança, disponibilidade, confidencialidade e privacidade do sistema sem divulgar informações internas da AWS
Qual é o público principal do Relatório? Gestão de clientes e auditores Usuários com necessidades de negócios Disponível publicamente aqui Qual período está incluído no Relatório da AWS? 12 meses:
terminando em 31/03, 30/06, 30/09 e 31/1212 meses:
terminando em 31/03, 30/0912 meses:
terminando em 31/03, 30/09 -
Quais serviços da AWS estão no escopo para os relatórios SOC?
Os serviços da AWS cobertos e já no escopo dos relatórios SOC podem ser encontrados em Serviços da AWS no escopo por programa de conformidade. Se quiser saber mais sobre o uso desses serviços e/ou tiver interesse em outros, entre em contato conosco.
-
Quais regiões são contempladas pelos relatórios AWS SOC?
Para obter uma lista completa de todas as regiões em escopo, consulte o relatório SOC 3 da AWS.
-
Quem executa a auditoria terceirizada independente da AWS para os Relatórios SOC?
A Ernst & Young LLP executa as auditorias da AWS SOC 1, SOC 2, e SOC 3.
-
Com que frequência os relatórios SOC da AWS são criados e quando posso esperar a publicação de um novo relatório?
A AWS cria relatórios SOC 1 trimestralmente e relatórios SOC 2/3 duas vezes por ano. Cada relatório abrange um período de 12 meses. Os novos relatórios SOC são publicados aproximadamente seis a sete semanas após o final do período de auditoria (meados de fevereiro e meados de agosto somente para o SOC 1 e meados de maio e meados de novembro para os SOC 1/2/3).
-
Existe um relatório ISAE 3402?
A Auditoria da SOC 1 na AWS é conduzida de acordo com os Padrões Internacionais para Interações de Garantia Nº 3402 (ISAE 3402). Os clientes que precisam de um relatório ISAE 3402 devem solicitar o relatório SOC 1 tipo II da AWS por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.
-
É necessário um acordo de confidencialidade (NDA) para o recebimento de relatórios SOC da AWS?
É necessário um NDA para revisar os relatórios SOC 1 e SOC 2 da AWS. O relatório SOC 3 da AWS é um resumo sobre o relatório SOC 2 da AWS, disponível para o público. O relatório AWS SOC 3 descreve como a AWS atende aos princípios de segurança de confiança do AICPA no SOC 2 e inclui a opinião de um auditor externo sobre a operação de controles. Você pode ler o relatório SOC 3 da AWS mais recente no site da AWS.
-
Como solicitar um Relatório SOC 1 ou SOC 2 da AWS?
Os relatórios SOC 1 e SOC 2 da AWS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.
-
Onde posso encontrar o relatório SOC 3 da AWS?
O relatório SOC 3 da AWS mais recente está disponível para o público no site da AWS.
-
Quando as novas regiões serão incluídas nos relatórios SOC?
A AWS emite os relatórios SOC 1, SOC 2 e SOC 3, cobrindo períodos de 6 meses (de 1.º de outubro a 31 de março e de 1.º de abril a 30 de setembro). Conforme apropriado, vamos inserir as novas regiões no escopo de nossos relatórios SOC no próximo ciclo de revisão disponível.