SOC
Información general
Los informes de Control de organizaciones y sistemas (SOC) de AWS son informes de análisis independientes de terceros que demuestran de qué manera AWS logra los controles y objetivos clave de cumplimiento. La finalidad de estos informes es ayudarlo a usted y a sus auditores a entender los controles de AWS establecidos para respaldar las operaciones y el cumplimiento. Existen tres tipos de informes SOC de AWS:
- Informe SOC 1 de AWS, disponible para los clientes de AWS mediante AWS Artifact.
- Informe de seguridad, disponibilidad, confidencialidad y privacidad SOC 2 de AWS, disponible para los clientes de AWS mediante AWS Artifact.
- Informe de seguridad, disponibilidad, confidencialidad y privacidad SOC 3 de AWS, disponible públicamente como documento técnico.
Preguntas frecuentes
-
¿Qué información proporcionan los informes SOC de AWS?
SOC 1 SOC 2: Informe de seguridad, disponibilidad, confidencialidad y privacidad
SOC 3: Informe de seguridad, disponibilidad, confidencialidad y privacidad
¿Qué es el informe? Una descripción del entorno de control de AWS y una auditoría externa de los controles y objetivos definidos por AWS Una descripción del entorno de control de AWS y una auditoría externa de los controles de AWS que cumplen los criterios de servicios de confianza de AICPA en cuanto a seguridad, disponibilidad, confidencialidad y privacidad
Un informe público que demuestra que AWS ha cumplido los criterios de servicios de confianza de AICPA en cuanto a seguridad, disponibilidad, confidencialidad y privacidad
¿Según qué norma se realiza el informe de auditoría? SSAE n.º 18, estándares de acreditación: clarificación y recodificación (AICPA, estándares profesionales), que incluye la sección 320 de AT-C, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting. Guía de AICPA, organizaciones de servicios: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®) SSAE n.º 18, estándares de acreditación: clarificación y recodificación, que incluye la sección 105 de AT-C, Concepts Common to All Attestation Engagements, y la sección 205 de AT-C, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy (SOC 2®) Sección 100A de TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) SSAE n.º 18, estándares de acreditación: clarificación y recodificación, que incluye la sección 105 de AT-C, Concepts Common to All Attestation Engagements, y la sección 205 de AT-C, Examination Engagements La sección 100A de TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) ¿Cuál es la finalidad principal del informe? Proporcionar información a los clientes sobre el entorno de control de AWS que pudiera ser relevante para sus controles internos en relación con la generación de informes financieros
Proporcionar información a los clientes y sus auditores para su evaluación y opinión de la efectividad de los controles internos sobre los informes financieros (ICOFR)
Proporcionar a los clientes y usuarios una necesidad de negocio con una evaluación independiente del entorno de control de AWS en lo que atañe a la seguridad, disponibilidad, confidencialidad y privacidad del sistema
Proporcionar a los clientes y usuarios una necesidad de negocio con una evaluación independiente del entorno de control de AWS en lo que atañe a la seguridad, disponibilidad, confidencialidad y privacidad del sistema sin revelar información interna de AWS
¿Quiénes son los principales destinatarios del informe? Administración de clientes y sus auditores Usuarios con necesidades de negocio Disponible para el público aquí ¿Qué período cubre el informe de AWS? 12 meses:
que terminan el 31 de marzo, 30 de junio, 30 de septiembre y 31 de diciembre12 meses:
finalizando el 31 de marzo y el 30 de septiembre12 meses:
finalizando el 31 de marzo y el 30 de septiembre -
¿Qué servicios de AWS están cubiertos por los informes SOC?
En Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS cubiertos en el ámbito de los informes SOC. Si desea más información sobre el uso de estos servicios o sobre otros servicios, contacte con nosotros.
-
¿Qué regiones cubren los informes SOC de AWS?
Para obtener una lista completa de todas las regiones del ámbito, consulte el Informe SOC 3 de AWS.
-
¿Quién lleva a cabo la auditoría independiente de terceros de AWS para los informes SOC?
Ernst & Young LLP realiza las auditorías SOC 1, SOC 2 y SOC 3 de AWS.
-
¿Con qué frecuencia se emiten los informes SOC de AWS y para cuándo se prevé la publicación de un nuevo informe?
AWS publica los informes SOC 1 trimestralmente y los informes SOC 2/3 dos veces al año. Cada informe cubre un período de 12 meses. Los nuevos informes del SOC se publican aproximadamente entre 6 y 7 semanas después del final del período de auditoría (mediados de febrero y mediados de agosto solo para el SOC 1 y mediados de mayo y mediados de noviembre para el SOC 1/2/3).
-
¿Existe un informe ISAE 3402?
La auditoría SOC 1 de AWS se realiza según las normas internacionales para compromisos de seguridad n.º 3402 (ISAE 3402). Los clientes que necesiten un Informe ISAE 3402 deben solicitar el Informe SOC 1 de AWS Tipo II mediante el uso de AWS Artifact, un portal de autoservicio para el acceso bajo demanda a los informes de conformidad de AWS. Puede iniciar sesión en AWS Artifact en la consola de administración de AWS u obtener más información en Introducción a AWS Artifact.
-
¿Es necesario un acuerdo de confidencialidad (NDA) para recibir los informes SOC de AWS?
Se requiere un NDA para revisar los informes SOC 1 y SOC 2 de AWS. El informe SOC 3 de AWS es un resumen público del informe SOC 2 de AWS. En el informe SOC 3 de AWS se explica cómo AWS cumple los criterios de servicios de seguridad de confianza de AICPA en SOC 2 y se incluye la opinión del auditor externo acerca de la operación de los controles. Puede leer el último Informe SOC 3 de AWS en el sitio web de AWS.
-
¿Cómo puedo pedir un informe SOC 1 o SOC 2 de AWS?
Los informes SOC 1 y SOC 2 de AWS están disponibles para clientes mediante AWS Artifact, un portal de autoservicio de acceso bajo demanda a los informes de conformidad de AWS. Puede iniciar sesión en AWS Artifact en la consola de administración de AWS u obtener más información en Introducción a AWS Artifact.
-
¿Dónde puedo encontrar el informe SOC 3 de AWS?
El informe SOC 3 de AWS más reciente se encuentra públicamente disponible en el sitio web de AWS.
-
¿Cuándo se cubrirán las regiones nuevas en los informes SOC?
AWS publica los informes SOC 1 trimestralmente y los informes SOC 2/3 dos veces al año. Cada informe cubre un período de 12 meses. Incluiremos nuevas regiones en nuestros informes SOC según corresponda en el próximo ciclo de revisión disponible.