Соответствие требованиям SOC. Amazon Web Services (AWS)

Какую информацию содержат отчеты AWS SOC?

	SOC 1	SOC 2: безопасность, доступность и конфиденциальность	SOC 3: безопасность, доступность и конфиденциальность
Что представляет собой данный отчет?	Описание среды средств контроля AWS и внешний аудит определенных средств контроля AWS и выполняемых задач	Описание среды управления AWS и внешний аудит средств контроля AWS, которые соответствуют критериям обеспечения безопасности, доступности и конфиденциальности AICPA Trust Services	Публичный отчет, подтверждающий, что AWS соответствует критериям обеспечения безопасности, доступности и конфиденциальности AICPA Trust Services
В соответствии с каким стандартом составляется отчет об аудиторской проверке?	SSAE 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), который включает в себя раздел 320 AT-C «Отчетность по проверке в сервисной организации средств управления, относящихся ко внутреннему контролю организации пользователя за финансовой отчетностью». Рекомендации AICPA для сервисных организаций: «Отчетность по проверке в сервисной организации средств управления, относящихся ко внутреннему контролю организации пользователя за финансовой отчетностью» (SOC 1®)	SSAE 18, Attestation Standards: Clarification and Recodification, который включает раздел 105 AT-C, «Общие принципы всех процедур аттестации» и раздел 205 AT-C, «Руководство AICPA по процедурам проверки», «Отчетность сервисной организации о средствах управления, связанных с безопасностью, доступностью, целостностью данных при обработке, конфиденциальностью и защитой личных данных» (SOC 2®) TSP, раздел 100A, «Критерии обеспечения уверенности в безопасности, доступности, целостности данных при обработке, конфиденциальности и защиты личных данных 2017» (AICPA, 2017 Trust Services Criteria)	SSAE 18, Attestation Standards: Clarification and Recodification, который включает раздел 105 AT-C, «Общие принципы всех процедур аттестации» и раздел 205 AT-C, «Процедуры проверки», TSP, раздел 100A, «Критерии обеспечения уверенности в безопасности, доступности, целостности данных при обработке, конфиденциальности и защиты личных данных 2017» (AICPA, 2017 Trust Services Criteria)
Какова основная цель отчета?	Предоставить клиентам информацию о среде управления AWS, которая может быть связана с их внутренним средствам управления финансовой отчетностью Предоставить клиентам и их аудиторам информацию для проверки и оценки эффективности внутренних средств управления финансовой отчетностью (ICOFR)	Предоставить клиентам и пользователям с коммерческими потребностями независимую оценку среды управления AWS в отношении безопасности, доступности и конфиденциальности системы	Предоставить клиентам и пользователям с коммерческими потребностями независимую оценку среды управления AWS с точки зрения безопасности, доступности и конфиденциальности, не разглашая внутреннюю информацию AWS
Для кого в первую очередь предназначен отчет?	Управляющие органы клиентов и аудиторы	Пользователи с коммерческими запросами	Находится в открытом доступе здесь
Какой период охватывает отчет AWS?	12 месяцев: оканчивается 31 марта, 30 июня, 30 сентября, 31 декабря	12 месяцев: оканчивается 31 марта, 30 сентября	12 месяцев: оканчивается 31 марта, 30 сентября

Какие сервисы AWS включены в отчеты SOC?

Список сервисов AWS, на которые распространяется действие отчетов SOC, можно найти на странице Сервисы AWS в программе соответствия требованиям. Чтобы подробнее узнать об использовании этих сервисов и/или задать вопросы о других сервисах, свяжитесь с нами.

Какие регионы входят в отчет AWS SOC?

Полный список регионов, охваченных программой, приведен в отчете AWS SOC 3.

Кто проводит независимый аудит AWS для составления отчетов SOC?

Аудиты AWS SOC 1, SOC 2 и SOC 3 проводит компания Ernst & Young LLP.

С какой периодичностью выпускаются отчеты AWS SOC? Когда будет выпущен следующий отчет?

AWS выпускает отчеты SOC 1 ежеквартально, а SOC 2 и SOC 3 – два раза в год. Каждый отчет охватывает 12-месячный период. Новые отчеты SOC публикуются примерно через 6-7 недель после окончания периода аудита (середина февраля и середина августа – только для SOC 1, середина мая и середина ноября – для SOC 1, SOC 2 и SOC 3).

Доступен ли отчет ISAE 3402?

Аудит AWS SOC 1 проводится в соответствии с Международными стандартами подтверждения достоверности информации №3402 (ISAE 3402). Клиенты, которым требуется отчет ISAE 3402, должны запросить отчет AWS SOC 1 Type II с помощью AWS Artifact – портала самообслуживания, который предоставляет доступ по запросу к отчетам AWS по соответствию нормативным требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.

Нужно ли заключать соглашение о неразглашении (NDA), чтобы получить отчеты AWS SOC?

Для просмотра отчетов AWS SOC 1 и SOC 2 необходимо заключить соглашение о неразглашении (NDA). Отчет AWS SOC 3 представляет собой краткий обзор отчета AWS SOC 2, находящийся в открытом доступе. В отчете AWS SOC 3 изложено, что по результатам отчета SOC 2 платформа AWS отвечает принципам надежности сервисов AICPA. В отчет также включено заключение внешнего аудитора о работе средств управления и контроля. С последним отчетом AWS SOC 3 можно ознакомиться на сайте AWS.

Как можно запросить отчет AWS SOC 1 или SOC 2?

Отчеты AWS SOC 1 и SOC 2 можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам по вопросам соответствия AWS требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.

Где можно получить отчет AWS SOC 3?

Последняя версия отчета AWS SOC 3 находится в открытом доступе на веб‑сайте AWS.

Когда в отчете SOC появятся новые регионы?

Отчеты SOC 1, SOC 2 и SOC 3 выпускаются AWS дважды в год и покрывают шестимесячные периоды (1 октября – 31 марта и 1 апреля –30 сентября). При необходимости мы добавим новые регионы в отчеты SOC во время следующего доступного цикла обзора.

SOC

Обзор