SOC
Información general
Los informes de los controles de sistema y organización de AWS (SOC) son informes de análisis independientes de terceros que demuestran de qué manera AWS logra los controles y objetivos clave de conformidad. La finalidad de estos informes es ayudar a usted y a sus auditores a entender los controles de AWS que se han establecido como soporte a las operaciones y la conformidad. Existen tres tipos de informes SOC de AWS:
- Informe SOC 1 de AWS, disponible para los clientes de AWS en AWS Artifact.
- Informe de seguridad, disponibilidad, confidencialidad y privacidad SOC 2 de AWS, disponible para los clientes de AWS en AWS Artifact.
- Informe de seguridad, disponibilidad, confidencialidad y privacidad SOC 3 de AWS, disponible para el público como documento técnico.
Informes SOC de AWS
- SOC 1
Una descripción del entorno de control de AWS y una auditoría externa de los controles y objetivos definidos por AWS. - SOC 2: Informe de seguridad, disponibilidad, confidencialidad y privacidad
Una descripción del entorno de control de AWS y una auditoría externa de los controles de AWS que cumplen los criterios de servicios de confianza de AICPA en cuanto a seguridad, disponibilidad, confidencialidad y privacidad - SOC 3: Informe de seguridad, disponibilidad, confidencialidad y privacidad
Un informe público que demuestra que AWS ha cumplido los criterios de servicios de confianza de AICPA en cuanto a seguridad, disponibilidad, confidencialidad y privacidad
- SOC 1
SSAE n.º 18, estándares de acreditación: clarificación y recodificación (AICPA, estándares profesionales), que incluye la sección 320 de AT-C, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting. Guía de AICPA, organizaciones de servicios: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®) - SOC 2: Informe de seguridad, disponibilidad, confidencialidad y privacidad
SSAE n.º 18, estándares de acreditación: clarificación y recodificación, que incluye la sección 105 de AT-C, Concepts Common to All Attestation Engagements, y la sección 205 de AT-C, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy (SOC 2®) Sección 100A de TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) - SOC 3: Informe de seguridad, disponibilidad, confidencialidad y privacidad
SSAE n.º 18, estándares de acreditación: clarificación y recodificación, que incluye la sección 105 de AT-C, Concepts Common to All Attestation Engagements, y la sección 205 de AT-C, Examination Engagements La sección 100A de TSP, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)
- SOC 1
Proporcionar información a los clientes sobre el entorno de control de AWS que pudiera ser relevante para sus controles internos en relación con la generación de informes financieros.
Informar a los clientes y sus auditores para su evaluación y opinión de la efectividad de los controles internos sobre los informes financieros (ICFR). - SOC 2: Informe de seguridad, disponibilidad, confidencialidad y privacidad
Proporcionar a los clientes y usuarios una necesidad de negocio con una evaluación independiente del entorno de control de AWS en lo que atañe a la seguridad, disponibilidad, confidencialidad y privacidad del sistema. - SOC 3: Informe de seguridad, disponibilidad, confidencialidad y privacidad
Proporcionar a los clientes y usuarios una necesidad de negocio con una evaluación independiente del entorno de control de AWS en lo que atañe a la seguridad, disponibilidad, confidencialidad y privacidad del sistema sin revelar información interna de AWS.
- SOC 1
Administración de clientes y sus auditores - SOC 2: Informe de seguridad, disponibilidad, confidencialidad y privacidad
Usuarios con necesidades de negocio - SOC 3: Informe de seguridad, disponibilidad, confidencialidad y privacidad
Disponible para el público aquí.
- SOC 1
12 meses: finaliza el 31 de marzo, el 30 de junio, el 30 de septiembre y el 31 de diciembre - SOC 2: Informe de seguridad, disponibilidad, confidencialidad y privacidad
12 meses: finaliza el 31 de marzo y el 30 de septiembre - SOC 3: Informe de seguridad, disponibilidad, confidencialidad y privacidad
12 meses: finaliza el 31 de marzo y el 30 de septiembre
Preguntas frecuentes generales
Abrir todoLa carta de operaciones continuadas del SOC (también conocida como carta puente o COL) para los informes SOC 1 y SOC 2 de AWS se actualiza mensualmente y está disponible en Artifact (título: Carta de operaciones continuas del SOC). La COL se publica generalmente en la primera semana de cada mes y abarca el período comprendido entre la fecha del último informe del SOC emitido hasta la fecha de publicación de la COL.
AWS en SOC
Abrir todoEn Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS dentro del ámbito de los informes SOC. Si desea obtener más información sobre el uso de estos servicios o si le interesan otros servicios, contáctenos.
Para obtener una lista completa de todas las regiones incluidas, consulte el informe SOC 3 de AWS.
Ernst & Young LLP realiza las auditorías SOC 1, SOC 2 y SOC 3 de AWS.
- Ciclo de primavera: (del 1.° de abril al 31 de marzo) [SOC 1/2/3 emitidos aproximadamente a fines de mayo]
- Ciclo de verano: (del 1.° de julio al 30 de junio) [SOC 1 solo se emitió aproximadamente a fines de agosto]
- Ciclo de otoño: (del 1.° de octubre al 30 de septiembre) [SOC 1/2/3 emitidos aproximadamente a fines de noviembre]
- Ciclo de invierno: (del 1.° de enero al 31 de diciembre) [SOC 1 solo se emitió aproximadamente a fines de febrero]
AWS publica los informes SOC 1 trimestralmente y los informes SOC 2 y 3 dos veces al año. Cada informe abarca los 12 meses anteriores. Hay muchos factores que influyen en la fecha de publicación del informe, pero los nuevos informes generalmente se publican aproximadamente entre 9 y 10 semanas después de la fecha de finalización de ese período.
La auditoría SOC 1 de AWS se realiza según las normas internacionales para compromisos de seguridad n.º 3402 (ISAE 3402). Los clientes que necesiten un Informe ISAE 3402 deben solicitar el Informe SOC 1 de AWS Tipo II mediante el uso de AWS Artifact, un portal de autoservicio para el acceso bajo demanda a los informes de conformidad de AWS. Inicie sesión en AWS Artifact en la Consola de administración de AWS u obtenga más información en Introducción a AWS Artifact.
Se requiere un NDA para ver los informes SOC 1 y SOC 2 de AWS. El informe SOC 3 de AWS es un resumen público del informe SOC 2 de AWS. En el informe SOC 3 de AWS se explica cómo AWS cumple los criterios de servicios de seguridad de confianza de AICPA en SOC 2 y se incluye la opinión del auditor externo acerca de la operación de los controles. Puede leer el último informe SOC 3 de AWS en el sitio web de AWS.
Los informes SOC 1 y SOC 2 de AWS están disponibles para clientes mediante AWS Artifact, un portal de autoservicio de acceso bajo demanda a los informes de conformidad de AWS. Inicie sesión en AWS Artifact en la Consola de administración de AWS u obtenga más información en Introducción a AWS Artifact.
El informe SOC 3 de AWS más reciente se encuentra públicamente disponible en el sitio web de AWS.
AWS publica los informes SOC 1 trimestralmente y los informes SOC 2/3 dos veces al año. Cada informe cubre un período de 12 meses. Incluiremos nuevas regiones en nuestros informes SOC según corresponda en el próximo ciclo de revisión disponible.