SOC
Übersicht
Berichte zu AWS-System- und Organisationskontrollen (SOC) sind durch unabhängige Dritte erstellte Prüfberichte, die nachweisen, wie AWS wichtige Compliance-Kontrollen und -Ziele erfüllt. Zweck dieser Berichte ist es, Ihnen und Ihren Prüfern die AWS-Kontrollen zu veranschaulichen, welche für die Unterstützung von Betrieb und Compliance eingerichtet wurden. Es gibt drei AWS-SOC-Berichte:
- AWS-SOC-1-Bericht – wird AWS-Kunden über AWS Artifact bereitgestellt.
- AWS-SOC-2-Bericht zu Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz – wird AWS-Kunden über AWS Artifact bereitgestellt.
- AWS-SOC-3-Bericht zu Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz – öffentlich als Whitepaper verfügbar.
AWS-SOC-Berichte
- SOC 1
Eine Beschreibung der AWS-Kontrollumgebung und der externen Prüfung der von AWS definierten Kontrollen und Kontrollziele. - SOC 2: Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz
Eine Beschreibung der AWS-Kontrollumgebung und eine externe Prüfung der AWS-Kontrollen, welche die Sicherheits-, Verfügbarkeits-, Vertraulichkeits- und Datenschutzkriterien von AICPA Trust Services erfüllen - SOC 3: Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz
Ein öffentlicher Bericht, der zeigt, dass AWS die Sicherheits-, Verfügbarkeits-, Vertraulichkeits- und Datenschutzkriterien von AICPA Trust Services erfüllt
- SOC 1
SSAE 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), was den AT-C-Abschnitt 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting, umfasst. AICPA-Leitfaden, Serviceorganisationen: Berichterstattung über eine Prüfung der Kontrollen bei einer Serviceorganisation, die für die interne Kontrolle der Benutzerentitäten über die Finanzberichterstattung relevant sind (SOC 1®) - SOC 2: Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz
SSAE 18, Attestation Standards: Clarification and Recodification, was den AT-C-Abschnitt 105, Concepts Common to All Attestation Engagements, und den AT-C-Abschnitt 205, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy(SOC 2®) und den TSP-Abschnitt 2017 100A, Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria), umfasst - SOC 3: Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz
SSAE 18, Attestation Standards: Clarification and Recodification, was den AT-C-Abschnitt 105, Concepts Common to All Attestation Engagements, und den AT-C-Abschnitt 205 sowie den Examination Engagements TSP-Abschnitt 100A, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria), umfasst
- SOC 1
Kunden Informationen zum AWS-Kontrollumfeld bieten, die für ihre internen Kontrollen bei der Finanzberichterstattung ggf. relevant sind.
Kunden und ihren Prüfern Informationen für ihre Bewertung und Einschätzung der Wirksamkeit interner Kontrollen bei der Finanzberichterstattung bieten (ICFR). - SOC 2: Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz
Um Kunden und Benutzern mit Geschäftsanforderungen eine unabhängige Bewertung der AWS-Kontrollumgebung zu bieten, welche für Systemsicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz relevant ist. - SOC 3: Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz
Um Kunden und Benutzern mit geschäftlichen Anforderungen eine unabhängige Bewertung der AWS-Kontrollumgebung zu bieten, welche für Systemsicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz relevant ist, ohne interne AWS-Informationen preiszugeben.
- SOC 1
Kundenmanagement und deren Auditoren - SOC 2: Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz
Benutzer mit geschäftlichen Anforderungen - SOC 3: Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz
Hier öffentlich zugänglich
- SOC 1
12 Monate: endet am 31. März, 30. Juni, 30. September, 31. Dezember - SOC 2: Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz
12 Monate: endet am 31. März, 30. September - SOC 3: Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz
12 Monate: endet am 31. März, 30. September
Häufig gestellte allgemeine Fragen
Alles öffnenDer SOC Continued Operations Letter (auch bekannt als Bridge Letter oder COL) für die AWS-SOC-1- und -SOC-2-Berichte wird monatlich aktualisiert und ist in Artefakt verfügbar (Titel: SOC Continued Operations Letter). Der COL wird in der Regel in der ersten Woche eines jeden Monats veröffentlicht und deckt den Zeitraum vom Datum des letzten veröffentlichten SOC-Berichts bis zum Datum der Veröffentlichung des COL ab.
AWS in SOC
Alles öffnenDie durch die SOC-Berichte abgedeckten AWS-Services finden Sie unter AWS-Services im Geltungsbereich nach Compliance-Programm. Wenn Sie mehr über die Nutzung dieser Services erfahren möchten und/oder Interesse an anderen Services haben, kontaktieren Sie uns.
Eine vollständige Liste aller abgedeckten Regionen finden Sie im AWS-SOC-3-Bericht.
Die AWS-SOC-1-, SOC-2- und SOC-3-Prüfungen werden von Ernst & Young LLP durchgeführt.
- Frühlingszyklus: (1. April–31. März) [SOC 1/2/3, veröffentlicht etwa Ende Mai]
- Sommerzyklus: (1. Juli–30. Juni) [SOC 1 wird erst gegen Ende August veröffentlicht]
- Herbstzyklus: (1. Oktober–30. September) [SOC 1/2/3, veröffentlicht etwa Ende November]
- Winterzyklus: (1. Januar–31. Dezember) [SOC 1 wird erst gegen Ende Februar veröffentlicht]
AWS veröffentlicht vierteljährlich SOC-1-Berichte und SOC-2- und -3-Berichte zweimal pro Jahr. Jeder Bericht deckt die letzten 12 Monate ab. Es gibt viele Faktoren, die das Veröffentlichungsdatum des Berichts beeinflussen, aber neue Berichte werden in der Regel etwa 9 bis 10 Wochen nach dem Enddatum dieses Zeitraums veröffentlicht.
Die AWS-SOC-1-Prüfung wird in Übereinstimmung mit International Standards for Assurance Engagements No. 3402 (ISAE 3402) durchgeführt. Kunden, die einen ISAE 3402-Bericht benötigen, können über AWS Artifact, einem Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können, einen AWS SOC 1-Bericht vom Typ II anfordern. Melden Sie sich an in AWS Artifact in der AWS-Managementkonsole, oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.
Für den Erhalt von AWS-SOC-1- und SOC-2-Berichten ist ein NDA erforderlich. Der AWS-SOC-3-Bericht ist eine öffentlich verfügbare Zusammenfassung des AWS-SOC-2-Berichts. Im AWS-SOC-3-Bericht wird erläutert, wie AWS die Kriterien für vertrauenswürdige Services des AICPA in SOC 2 erfüllt. Zudem enthält der Bericht den Bestätigungsvermerk des externen Prüfers hinsichtlich der Umsetzung der Kontrollen. Den neuesten AWS-SOC-3-Bericht können Sie auf der AWS-Website einsehen.
AWS SOC 1 und SOC 2 stehen Kunden über AWS Artifact zur Verfügung, einem Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können. Melden Sie sich an in AWS Artifact in der AWS-Managementkonsole, oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.
Der neueste AWS-SOC-3-Bericht ist öffentlich auf der AWS-Website verfügbar.
AWS veröffentlicht vierteljährlich SOC-1-Berichte und zweimal jährlich SOC-2/3-Berichte. Jeder Bericht deckt einen Zeitraum von 12 Monaten ab. Gegebenenfalls werden wir im nächsten verfügbaren Überprüfungszyklus neue Regionen in unsere SOC-Berichte einbeziehen.