SOC
Présentation
Les rapports relatifs aux contrôles AWS des systèmes et de l’organisation (SOC) sont des comptes rendus rédigés suite à un audit indépendant réalisé par un tiers et indiquant comment AWS parvient à mettre en œuvre ses principaux contrôles et objectifs en termes de conformité. Ces rapports sont destinés à aider les clients et leurs auditeurs à comprendre les mesures de contrôle mises en place par AWS en termes d’opérations et de conformité. Il existe trois rapports AWS SOC :
- Rapport AWS SOC 1, accessible aux clients AWS depuis AWS Artifact.
- Rapport AWS SOC 2 sur la sécurité, la disponibilité, la confidentialité et la protection de la vie privée accessible aux clients AWS depuis AWS Artifact.
- Le rapport AWS SOC 3 sur la sécurité, la disponibilité la confidentialité et la protection de la vie privée, accessible au public sous forme de livre blanc.
Rapports AWS SOC
- SOC 1
Une description de l’environnement de contrôle d’AWS et audit externe des contrôles et objectifs établis par AWS. - SOC 2 : sécurité, la disponibilité, la confidentialité et la protection de la vie privée
Une description de l’environnement de contrôle d’AWS et audit externe des contrôles AWS répondant aux critères de sécurité, de disponibilité, de confidentialité et du respect de la vie privée des services Trust définis par l’AICPA - SOC 3 : sécurité, la disponibilité, la confidentialité et la protection de la vie privée
Un rapport public montrant qu’AWS respecte les critères de sécurité, de disponibilité, de confidentialité et du respect de la vie privée des services Trust définis par l’AICPA
- SOC 1
SSAE N° 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), comprenant AT-C section 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting. AICPA Guide, Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®) - SOC 2 : sécurité, la disponibilité, la confidentialité et la protection de la vie privée
SSAE N° 18, Attestation Standards: Clarification and Recodification, comprenant AT-C section 105, Concepts Common to All Attestation Engagements et AT-C section 205, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality ou Privacy(SOC 2®) TSP section 100A 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) - SOC 3 : sécurité, la disponibilité, la confidentialité et la protection de la vie privée
SSAE N° 18, Attestation Standards: Clarification and Recodification, comprenant AT-C section 105, Concepts Common to All Attestation Engagements et AT-C section 205, Examination Engagements TSP section 100A 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)
- SOC 1
Fournir aux clients des informations concernant l’environnement de contrôle d’AWS qui peuvent les intéresser dans le cadre du contrôle interne de leurs états financiers.
Fournir aux clients et à leurs auditeurs des informations qui leur permettront d’évaluer l’efficacité des contrôles internes portant sur les états financiers (ICFR). - SOC 2 : sécurité, la disponibilité, la confidentialité et la protection de la vie privée
Fournir aux clients et utilisateurs dont l’activité présente des contraintes une évaluation indépendante de l’environnement de contrôle d’AWS en matière de sécurité, de disponibilité, de confidentialité et du respect de la vie privée des systèmes. - SOC 3 : sécurité, la disponibilité, la confidentialité et la protection de la vie privée
Fournir aux clients et utilisateurs dont l’activité présente des contraintes une évaluation indépendante de l’environnement de contrôle d’AWS en matière de sécurité, de disponibilité et de confidentialité et respect de la vie privée des systèmes, sans pour autant divulguer d’informations internes d’AWS.
- SOC 1
Entreprises clientes (dirigeants et auditeurs) - SOC 2 : sécurité, la disponibilité, la confidentialité et la protection de la vie privée
Utilisateurs dont l’activité présente des contraintes - SOC 3 : sécurité, la disponibilité, la confidentialité et la protection de la vie privée
Disponible publiquement ici
- SOC 1
12 mois : au 31 mars, au 30 juin, au 30 septembre, au 31 décembre - SOC 2 : sécurité, la disponibilité, la confidentialité et la protection de la vie privée
12 mois : au 31 mars, au 30 septembre - SOC 3 : sécurité, la disponibilité, la confidentialité et la protection de la vie privée
12 mois : au 31 mars, au 30 septembre
Foires aux questions générales
Ouvrir toutLa lettre sur la continuité des opérations SOC (également connue sous le nom de lettre de pont ou COL) pour les rapports SOC 1 et SOC 2 d’AWS est mise à jour mensuellement et est disponible dans Artifact (Titre : Lettre sur la continuité des opérations SOC). La COL est généralement publiée au cours de la première semaine de chaque mois, couvrant la période allant de la date du dernier rapport SOC publié à la date de publication de la COL.
AWS sur SOC
Ouvrir toutLes services AWS couverts qui appartiennent déjà au champ d’application des rapports SOC sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l’utilisation de ces services et/ou si vous êtes intéressé par d’autres services, veuillez nous contacter.
Pour la liste complète de toutes les régions concernées, veuillez consulter le rapport AWS SOC 3.
Les audits AWS SOC 1, SOC 2 et SOC 3 sont réalisés par Ernst & Young LLP.
- Cycle de printemps : (1er avril au 31 mars) [SOC 1/2/3 publié vers la fin du mois de mai]
- Cycle d’été : (1er juillet au 30 juin) [SOC 1 n’a été publié que vers la fin août]
- Cycle d’automne : (1er octobre au 30 septembre) [SOC 1/2/3 publié vers la fin novembre]
- Cycle d’hiver : (1er janvier – 31 décembre) [SOC 1 n’a été publié que vers la fin du mois de février]
AWS publie des rapports SOC 1 tous les trimestres et des rapports SOC 2 et 3 deux fois par an. Chaque rapport couvre les 12 mois précédents. De nombreux facteurs interviennent dans la date de publication du rapport, mais les nouveaux rapports sont généralement publiés environ neuf à dix semaines après la date de fin de la période concernée.
L’audit AWS SOC 1 est réalisé conformément à la norme International Standards for Assurance Engagements N° 3402 (ISAE 3402). Les clients ayant besoin d’un rapport ISAE 3402 doivent demander le rapport AWS SOC 1, type II en utilisant AWS Artifact, un portail en libre-service qui permet d’accéder sur demande aux rapports de conformité d’AWS. Connectez‑vous à AWS Artifact dans la Console de gestion AWS, ou obtenez davantage d’informations sur la page Commencer avec AWS Artifact.
Un NDA est nécessaire pour la consultation des rapports AWS SOC 1 et SOC 2. Le rapport AWS SOC 3 est un résumé du rapport AWS SOC 2 qui est disponible publiquement. Le rapport AWS SOC 3 démontre qu’AWS est conforme aux Trust Services Criteria de l’AICPA dans SOC 2 et inclut l’avis de l’auditeur indépendant sur l’utilisation des contrôles. Vous pouvez lire le dernier rapport AWS SOC 3 sur le site Web d’AWS.
Les rapports AWS SOC 1 et SOC 2 sont disponibles pour les clients utilisant AWS Artifact, un portail en libre-service qui permet d’accéder sur demande aux rapports de conformité d’AWS. Connectez‑vous à AWS Artifact dans la Console de gestion AWS, ou obtenez davantage d’informations sur la page Commencer avec AWS Artifact.
Le dernier rapport AWS SOC 3 est publiquement disponible sur le site web AWS.
AWS publie des rapports SOC 1 tous les trimestres et des rapports SOC 2/3 deux fois par an. Chaque rapport couvre une période de 12 mois. Le cas échéant, nous couvrirons de nouvelles régions dans nos rapports SOC lors du prochain cycle de passage en revue disponible.