本文档主要介绍SOC报告下载获取过程中的常见问题。
什么是SOC报告?
阿里云系统与组织控制(SOC)报告是独立的第三方审计师针对阿里云为客户提供的云服务进行检查验证而出具的独立审计报告。
SOC 1和SOC 2有什么区别?
SOC 1是针对阿里云在过去某段期间与用户财务报表相关的内控审计报告,可帮助用户及其审计师了解并评估阿里云侧在该12个月审计期间内与用户财务报表相关的控制。
SOC 2是针对阿里云提供的云服务的安全性、可用性及机密性相关的内控机制在过去某段期间内的独立审计报告。该审计是根据美国注册会计师协会 (AICPA) 制定的 SOC 2 可信服务标准与安全、可用及机密性相关的原则标准的第三方独立审计,阿里云的用户可以通过该报告了解阿里云系统及内控描述,以及阿里云在该12个月审计期间内对 AICPA 可信服务标准中安全性、可用性和机密性原则要求的符合性。
SOC 报告是否会过期?
阿里云的 SOC 1 和 SOC 2均为 Type II,是针对过去某段时间出具的审计报告,非针对未来时间的证书或资质,不存在“过期”的问题。
阿里云的 SOC 报告何时发布?发布频率是什么?
阿里云每年发布两次 SOC 报告以连续滚动的12个月作为一个审计期间(即每年的4月1日至次年3月31日以及每年的10月1日至次年9月30日),最新的报告在每年的5月中及11月中发布。中文翻译版本的报告会在英文版发布后一个月内发布。
SOC报告中文版本为翻译稿(没有签字),当中文翻译稿和英文稿有出入时,以英文报告为准。
什么是SOC Bridge Letter?发布频率是怎样的?
Bridge Letter(又称Gap Letter)用来涵盖 SOC 报告两次发布之间的客户审计期间需求,以确认阿里云内控环境自审计期间末后无重大变化、SOC 报告的控制描述及审计结论持续有效。
例如,在2025年7月需要2025年1月~6月的 SOC 报告,由于此时未发布2023年10月1日~2024年9月30日的 SOC 报告,则可以下载 2024年4月1日~2025年3月31日的 SOC 报告 + 2025年4月1日~6月30日的Bridge Letter 使用。
SOC Bridge Letter 根据 SOC 报告覆盖的审计期间末后,以每个季度为频率发布,发布时间为其涵盖期末后的下一个月初发布。
例如,10月1日~12月31日的 Bridge Letter 在第二年的1月初发布。
SOC报告下载地址在哪?
下载SOC报告是否需要签订保密协议?
需要签署保密协议。保密协议已包含在合规文档中心的下载流程中,用户可自行在线上完成。
SOC报告下载流程
登录国内/国际站账号,访问对应下载地址。
如果是首次下载,需完善申请前的信息,在“管理您的用作申请合规文档的信息”中填写,包括公司名称、申请人、地区等信息。
说明可能需要手机号验证。
如果是中国内地公司主体申请SOC报告,需在国内站进行下载,国际站信息填写页无法选中中国内地地区。
同一主账号下的不同RAM账号登录获取时,需要分别单独完善信息并接受保密协议。
在“文档申请及下载”页,找到所需时间段的审计报告,点击“下载此文档”按钮。
如果需要整年的报告,如何导出?
阿里云的 SOC 报告并非是按照整年时间段发布的,如果需要历史年份报告,可以直接下载跨越两个年份的4月1日~次年3月31日或10月1日~次年9月30日的报告。
例如:需要2020年全年的报告,可以下载2019年4月1日~2020年3月31日和2020年4月1日~2021年3月31日的报告。
如果所需年份报告还未出具完毕,可结合 SOC Bridge Letter 使用。
例如:需要2024年1月~12月的 SOC 报告,可以下载2023年10月1日~2024年9月30日的报告与2024年10月1日~2024年12月31日的 Bridge Letter。
SOC报告下载后是否带有水印?
带有水印。SOC报告下载前,需要先完善公司主体相关信息,下载后会带有填写的公司名称以及操作下载的阿里云账号id(包含ram账号)水印。
