SOC
Übersicht
AWS-SOC-Berichte (System and Organization Controls) sind durch unabhängige Dritte erstellte Prüfberichte, die nachweisen, wie AWS wichtige Compliance-Kontrollen und -Ziele erfüllt. Zweck dieser Berichte ist es, Ihnen und Ihren Prüfern die AWS-Kontrollen zu veranschaulichen, die für die Unterstützung von Betrieb und Compliance eingerichtet wurden. Es gibt drei AWS-SOC-Berichte:
- AWS-SOC-1-Bericht – wird AWS-Kunden über AWS Artifact bereitgestellt.
- AWS-SOC-2-Bericht zu Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz – wird AWS-Kunden über AWS Artifact bereitgestellt.
- AWS-SOC-3-Bericht zu Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz – öffentlich als Whitepaper verfügbar.
Häufig gestellte Fragen
-
Welche Informationen bieten AWS-SOC-Berichte?
SOC 1 SOC 2: Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz
SOC 3: Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz
Was enthält der Bericht? Eine Beschreibung des AWS-Kontrollumfelds und der externen Prüfung der von AWS definierten Kontrollen und Kontrollziele Eine Beschreibung der AWS-Kontrollumgebung und eine externe Prüfung der AWS-Kontrollen, die die Sicherheits-, Verfügbarkeits-, Vertraulichkeits- und Datenschutzkriterien von AICPA Trust Services erfüllen
Ein öffentlicher Bericht, der zeigt, dass AWS die Sicherheits-, Verfügbarkeits-, Vertraulichkeits- und Datenschutzkriterien von AICPA Trust Services erfüllt
Gemäß welchem Standard wurde der Prüfbericht erstellt? SSAE 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), was den AT-C-Abschnitt 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting, umfasst. AICPA-Leitfaden, Serviceorganisationen: Berichterstattung über eine Prüfung der Kontrollen bei einer Serviceorganisation, die für die interne Kontrolle der Benutzerentitäten über die Finanzberichterstattung relevant sind (SOC 1®) SSAE 18, Attestation Standards: Clarification and Recodification, was den AT-C-Abschnitt 105, Concepts Common to All Attestation Engagements, und den AT-C-Abschnitt 205, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy(SOC 2®) und den TSP-Abschnitt 2017 100A, Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria), umfasst SSAE 18, Attestation Standards: Clarification and Recodification, was den AT-C-Abschnitt 105, Concepts Common to All Attestation Engagements, und den AT-C-Abschnitt 205 sowie den Examination Engagements TSP-Abschnitt 100A, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria), umfasst Was ist der Hauptzweck der Berichte? Kunden Informationen zum AWS-Kontrollumfeld bieten, die für ihre internen Kontrollen bei der Finanzberichterstattung ggf. relevant sind
Kunden und ihren Prüfern Informationen für ihre Bewertung und Einschätzung der Wirksamkeit interner Kontrollen bei der Finanzberichterstattung bieten (ICOFR)
Um Kunden und Benutzern mit Geschäftsanforderungen eine unabhängige Bewertung der AWS-Kontrollumgebung zu bieten, die für Systemsicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz relevant ist
Um Kunden und Benutzern mit geschäftlichen Anforderungen eine unabhängige Bewertung der AWS-Kontrollumgebung zu bieten, die für Systemsicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz relevant ist, ohne interne AWS-Informationen preiszugeben
Wer ist die Hauptzielgruppe der Berichte? Geschäftsleitung des Kunden und ihre Prüfer Benutzer mit geschäftlichen Anforderungen Hier öffentlich zugänglich Welchen Zeitraum deckt der AWS-Bericht ab? 12 Monate:
endet am 31.03., 30.6., 30.9., 31.12.12 Monate:
endet am 31.03., 30.9.12 Monate:
endet am 31.03., 30.9. -
Welche AWS-Services werden von den SOC-Berichten abgedeckt?
Die durch die SOC-Berichte abgedeckten AWS-Services finden Sie unter AWS-Services in Scope nach Compliance-Programm. Möchten Sie mehr über die Verwendung dieser Services erfahren, und/oder interessieren Sie sich für andere Services, kontaktieren Sie uns.
-
Welche Regionen werden von den AWS SOC-Berichten abgedeckt?
Eine vollständige Liste aller abgedeckten Regionen finden Sie im AWS SOC 3-Bericht.
-
Von wem wird die unabhängige Prüfung von AWS für die SOC-Berichte durchgeführt?
Die AWS-SOC-1-, SOC-2- und SOC-3-Prüfungen werden von Ernst & Young LLP durchgeführt.
-
Wie häufig werden die AWS-SOC-Berichte herausgegeben, und wann wird ein neuer Bericht veröffentlicht?
AWS veröffentlicht vierteljährlich SOC-1-Berichte und zweimal jährlich SOC-2/3-Berichte. Jeder Bericht deckt einen Zeitraum von 12 Monaten ab. Neue SOC-Berichte werden etwa 6-7 Wochen nach Ende des Prüfungszeitraums veröffentlicht (Mitte Februar und Mitte August nur für SOC 1 und Mitte Mai und Mitte November für SOC 1/2/3).
-
Gibt es einen ISAE 3402-Bericht?
Die AWS SOC 1-Prüfung wird in Übereinstimmung mit International Standards for Assurance Engagements No. 3402 (ISAE 3402). Kunden, die einen ISAE 3402-Bericht benötigen, können über AWS Artifact, einem Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können, einen AWS SOC 1-Bericht vom Typ II anfordern. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.
-
Ist für den Erhalt der AWS-SOC-Berichte eine Geheimhaltungsvereinbarung (NDA) erforderlich?
Für den Erhalt von AWS-SOC-1- und SOC-2-Berichten ist eine NDA erforderlich. Der AWS-SOC-3-Bericht ist eine öffentlich verfügbare Zusammenfassung des AWS-SOC-2-Berichts. Im AWS-SOC-3-Bericht wird erläutert, wie AWS die Kriterien für vertrauenswürdige Services des AICPA in SOC 2 erfüllt. Zudem enthält der Bericht den Bestätigungsvermerk des externen Prüfers hinsichtlich der Umsetzung der Kontrollen. Den neuesten AWS-SOC-3-Bericht können Sie auf der AWS-Website einsehen.
-
Wie beantrage ich einen AWS SOC 1- oder SOC 2-Bericht?
AWS SOC 1 und SOC 2 stehen Kunden über AWS Artifact zur Verfügung, einem Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.
-
Wo finde ich den AWS SOC 3-Bericht?
Der neueste AWS-SOC-3-Bericht ist öffentlich auf der AWS-Website verfügbar.
-
Wann werden neue Regionen von den SOC-Berichten abgedeckt?
AWS veröffentlicht vierteljährlich SOC-1-Berichte und zweimal jährlich SOC-2/3-Berichte. Jeder Bericht deckt einen Zeitraum von 12 Monaten ab. Gegebenenfalls werden wir im nächsten verfügbaren Überprüfungszyklus neue Regionen in unsere SOC-Berichte einbeziehen.