SOC
Présentation
Les rapports AWS System Organization Control (SOC) sont des comptes rendus rédigés suite à un audit indépendant réalisé par un tiers et indiquant comment AWS parvient à mettre en œuvre ses principaux contrôles et objectifs en termes de conformité. Ces rapports sont destinés à aider les clients et leurs auditeurs à comprendre les mesures de contrôle mises en place par AWS en termes d'opérations et de conformité. Il existe trois rapports AWS SOC :
- Rapport AWS SOC 1, accessible aux clients AWS depuis AWS Artifact.
- Rapport AWS SOC 2 sur la sécurité, la disponibilité, la confidentialité et la protection de la vie privée accessible aux clients AWS depuis AWS Artifact.
- Le rapport AWS SOC 3 sur la sécurité, la disponibilité la confidentialité et la protection de la vie privée, accessible au public sous forme de livre blanc.
-
Quelles sont les informations fournies par les rapports AWS SOC ?
SOC 1 SOC 2 : sécurité, la disponibilité, la confidentialité et la protection de la vie privée
SOC 3 : sécurité, la disponibilité, la confidentialité et la protection de la vie privée
En quoi consiste le rapport ? Description de l'environnement de contrôle d'AWS et audit externe des contrôles et objectifs établis par AWS Une description de l'environnement de contrôle d'AWS et audit externe des contrôles AWS répondant aux critères de sécurité, de disponibilité, de confidentialité et du respect de la vie privée des services Trust définis par l'AICPA
Un rapport public montrant qu'AWS respecte les critères de sécurité, de disponibilité, de confidentialité et du respect de la vie privée des services Trust définis par l'AICPA
À quelle norme correspond le rapport d'audit ? SSAE N° 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), comprenant AT-C section 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control Over Financial Reporting. AICPA Guide, Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control Over Financial Reporting (SOC 1®) SSAE N° 18, Attestation Standards: Clarification and Recodification, comprenant AT-C section 105, Concepts Common to All Attestation Engagements et AT-C section 205, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality ou Privacy(SOC 2®) TSP section 100A 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) SSAE N° 18, Attestation Standards: Clarification and Recodification, comprenant AT-C section 105, Concepts Common to All Attestation Engagements et AT-C section 205, Examination Engagements TSP section 100A 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) Quel est l'objectif principal du rapport ? Fournir aux clients des informations concernant l'environnement de contrôle d'AWS qui peuvent les intéresser dans le cadre du contrôle interne de leurs états financiers
Fournir aux clients et à leurs auditeurs des informations qui leur permettront d'évaluer l'efficacité des contrôles internes portant sur les états financiers
Fournir aux clients et utilisateurs dont l'activité présente des contraintes une évaluation indépendante de l'environnement de contrôle d'AWS en matière de sécurité, de disponibilité, de confidentialité et du respect de la vie privée des systèmes
Fournir aux clients et utilisateurs dont l'activité présente des contraintes une évaluation indépendante de l'environnement de contrôle d'AWS en matière de sécurité, de disponibilité et de confidentialité et respect de la vie privée des systèmes, sans pour autant divulguer d'informations internes d'AWS
À qui s'adresse principalement le rapport ? Entreprises clientes (dirigeants et auditeurs) Utilisateurs dont l'activité présente des contraintes Disponible publiquement ici Quelle période couvre le rapport AWS ? 12 mois :
se terminant le 31 mars, le 30 juin, le 30 septembre et le 31 décembre12 mois :
se terminant le 31 mars et le 30 septembre12 mois :
se terminant le 31 mars et le 30 septembre -
Quels sont les services AWS entrant dans le cadre des rapports SOC ?
Les services AWS couverts qui appartiennent déjà au champ d'application des rapports SOC sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez nous contacter.
-
Quelles sont les régions concernées par les rapports AWS SOC ?
Pour la liste complète de toutes les régions concernées, veuillez consulter le rapport AWS SOC 3.
-
Par qui l'audit externe indépendant d'AWS est-il réalisé dans le cadre des rapports SOC ?
Les audits AWS SOC 1, SOC 2 et SOC 3 sont réalisés par Ernst & Young LLP.
-
À quelle fréquence les rapports AWS SOC sont-ils publiés, et à quelles dates ?
AWS publie des rapports SOC 1 tous les trimestres et des rapports SOC 2/3 deux fois par an. Chaque rapport couvre une période de 12 mois. Les nouveaux rapports SOC sont publiés environ 6 à 7 semaines après la fin de la période d'audit (mi-février et mi-août pour le SOC 1 uniquement et mi-mai et mi-novembre pour le SOC 1/2/3).
-
Existe-t-il un rapport ISAE 3402 ?
L'audit AWS SOC 1 est réalisé conformément à la norme International Standards for Assurance Engagements N° 3402 (ISAE 3402). Les clients ayant besoin d'un rapport ISAE 3402 doivent demander le rapport AWS SOC 1, type II en utilisant AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console ou apprenez-en plus sur la page Mise en route avec AWS Artifact.
-
Un accord de non-divulgation (NDA) est-il nécessaire pour recevoir des rapports AWS SOC ?
Un NDA est nécessaire pour la consultation des rapports AWS SOC 1 et SOC 2. Le rapport AWS SOC 3 est un résumé du rapport AWS SOC 2 qui est disponible publiquement. Le rapport AWS SOC 3 démontre qu'AWS est conforme aux Trust Security Principles de l'AICPA dans SOC 2 et inclut l'avis de l'auditeur indépendant sur l'utilisation des contrôles. Vous pouvez lire le dernier rapport AWS SOC 3 sur le site Web d'AWS.
-
Comment demander un rapport AWS SOC 1 ou SOC 2 ?
Les rapports AWS SOC 1 et SOC 2 sont disponibles pour les clients utilisant AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console ou apprenez-en plus sur la page Mise en route avec AWS Artifact.
-
Où puis-je trouver le rapport AWS SOC 3 ?
Le dernier rapport AWS SOC 3 est publiquement disponible sur le site web AWS.
-
Quand de nouvelles régions seront-elles couvertes par les rapports SOC ?
AWS publie ses rapports SOC 1, SOC 2 et SOC 3 deux fois par an, couvrant ainsi des périodes de 6 mois (du 1er octobre au 31 mars et du 1er avril au 30 septembre). Le cas échéant, nous couvrirons de nouvelles régions dans nos rapports SOC lors du prochain cycle de passage en revue disponible.