Compliance

Programas de conformidade da Akamai

Saiba mais sobre como os produtos e serviços da Akamai seguem leis, regulamentos, certificações e estruturas de privacidade.

Privacy Trust Center

Alinhamentos, estruturas, autoavaliações

Os alinhamentos e as estruturas de conformidade incluem requisitos de segurança ou conformidade publicados para uma finalidade determinada, como uma indústria ou função específica. A Akamai fornece funcionalidades como recursos de segurança e documentos para esses tipos de programas. Os requisitos de alinhamentos e estruturas específicos podem não estar sujeitos a certificação ou certificação.

Privacy Trust Center

Lei de Privacidade do Consumidor da Califórnia (CCPA)

 

Visão geral

A Lei de Privacidade do Consumidor da Califórnia de 2018 é uma lei da Califórnia destinada a melhorar os direitos de privacidade e a proteção do consumidor para residentes desse estado dos EUA.

A partir de 1º de janeiro de 2020, as empresas ou organizações que fazem negócios na Califórnia deverão cumprir com a nova e rigorosa legislação de privacidade do estado, que estabelece o direito legal e aplicável de privacidade para todos os residentes da Califórnia. As novas regulamentações não se destinam apenas a empresas com sede na Califórnia, mas a todas as empresas que fazem negócios no estado, independentemente do local de incorporação.

Conformidade da Akamai

Em relação à CCPA, a Akamai atua como provedora de serviços para nossos clientes. Os clientes são, em última instância, a parte responsável com relação às obrigações da CCPA associadas às propriedades da Internet que usam os serviços da Akamai.

Todos os serviços da Akamai estão em conformidade com a CCPA. Isso significa que os clientes podem continuar usando os serviços existentes da Akamai e também implantar serviços como o Akamai Identity Cloud como parte essencial de sua estratégia de conformidade com a CCPA.

A CCPA exige que os dados pessoais de clientes na Califórnia processados por uma organização sejam protegidos e gerenciados de modo suficiente e adequado. Em um mundo conectado, onde muitas aplicações e websites coletam e usam dados pessoais, isso pode ser um grande desafio. A Intelligent Edge Platform da Akamai pode ser aproveitada para ajudar os clientes a enfrentar esse desafio. Ela oferece recursos eficientes de segurança e gerenciamento de dados com base em uma ferramenta de gerenciamento de dados de autoatendimento, uma equipe com os melhores profissionais de segurança, processos flexíveis e de alta qualidade e reconhecida tecnologia de ponta.

Recursos do CCPA

Serviços da Akamai aplicáveis

Todos os serviços da Akamai são aplicáveis.

Voltar ao topo

 

Leis de privacidade eletrônica

 

Visão geral

A Leis de E-Privacy são um importante instrumento legal para garantir o direito à privacidade em comunicações eletrônicas e marketing digital. A versão atual da Diretiva 2009/136/EC foi implementada na legislação local pela maioria dos estados membros da UE.

A Diretiva E-Privacy é direcionada aos provedores de serviço de telecomunicações e consiste em:

  • Segurança de redes e serviços
  • Confidencialidade das comunicações
  • Acesso aos dados armazenados em dispositivos de terminal
  • Processamento de dados de localização e tráfego
  • Identificação da linha de chamada
  • Diretórios de assinantes públicos
  • Comunicações comerciais não solicitadas ("spam")
  • Uso de cookies

As principais alterações na atual Diretiva 2009/136/EC em comparação com a versão 2002 foram a introdução de um requisito de notificação de violação de dados para provedores de serviços de telecomunicações e o requisito de consentimento para uso de cookies.

A Diretiva E-Privacy está atualmente em análise pelos órgãos da UE para se tornar um regulamento que prevalecerá sobre o GDPR mais geral no que se refere aos dados pessoais na comunicação eletrônica. A diferença para a Diretiva existente é que o escopo do Regulamento de E-Privacy é estendido para lidar também com o provedor de serviços de comunicação OTT (over-the-top).

Conformidade da Akamai

A Akamai garantiu a conformidade com os diversos requisitos da Diretiva 2009/136/EC e suas implementações locais, como banners de cookies em seus websites, mecanismo de exclusão dos cookies usados ao fornecer os serviços e o desempenho das atividades de marketing em conformidade com os requisitos de privacidade eletrônica.

Serviços da Akamai aplicáveis

Todas as soluções de segurança da Akamai, incluindo soluções de análise de dispositivos móveis e da Web (mPulse, CloudTest), são aplicáveis.

Perguntas e respostas

O serviço mPulse da Akamai cumpre com as leis do E-Privacy?

Sim, todos os serviços da Akamai estão em conformidade com o E-Privacy. Para mPulse, leia o white paper “mPulse - Compliance with Data Protection Laws”.

Voltar ao topo 

Akamai and the GDPR Thumbnail
???Watch the Video???

GDPR (Regulamentação Geral de Proteção de Dados)

 

Visão geral

A GDPR (Regulamentação Geral de Proteção de Dados), em vigor desde 25 de maio de 2018, é a atual lei de proteção de dados da União Europeia que visa harmonizar as leis locais de proteção de dados em toda a Europa. Desde sua concepção, a lei tem levado as organizações a reforçar as políticas de privacidade e estabelecer as práticas recomendadas de proteção de dados em todo o mundo.

A GDPR exige que as organizações gerenciem e protejam qualquer operação que envolva o processamento de dados pessoais de integrantes da UE contra acesso não autorizado. A não conformidade com a GDPR pode resultar em multas que afetam materialmente uma organização.

Regulamentação Geral de Proteção de Dados da UE

Conformidade da Akamai

Os serviços da Akamai estão em conformidade com a GDPR. Isso significa que os clientes podem continuar usando a Akamai e também implantar os serviços da Akamai como parte essencial de sua estratégia de conformidade com a GDPR. A GDPR exige que os dados pessoais da UE processados por uma organização sejam protegidos e gerenciados de modo suficiente e adequado. Em um mundo conectado, onde muitas aplicações e websites coletam e usam dados pessoais, isso pode ser um grande desafio. A Intelligent Edge Platform da Akamai pode ser aproveitada para ajudar os clientes a enfrentar esse desafio. Ela oferece uma estratégia eficiente de segurança e gerenciamento de dados em uma ferramenta de autoatendimento, uma equipe com profissionais experientes de segurança, processos flexíveis e de alta qualidade e reconhecida tecnologia de ponta.

GDPR
Arquitetura de referência do Akamai Identity Cloud.

A Akamai descreve as atividades de processamento durante seu provisionamento de serviço no documento "Akamai’s Personal Data Processing Activities and Role".

Além disso, a Akamai solicita que os clientes concordem com um acordo de processamento de dados para garantir que o cliente e a Akamai estejam em conformidade com o Artigo 28 da GDPR quanto ao processamento de dados pessoais durante o provisionamento de serviços da Akamai.

Serviços da Akamai aplicáveis

Todos os serviços da Akamai são aplicáveis.

Perguntas e respostas

O serviço mPulse da Akamai está em conformidade com a GDPR?

Sim, todos os serviços da Akamai estão em conformidade com o GDPR. Para mPulse, leia o white paper "mPulse – Compliance with EU Data Protection Laws".

Voltar ao topo

 

HIPAA/HITECH

 

Visão geral

A HIPAA (Lei de Portabilidade e Responsabilidade de Seguros de Saúde) de 1996 dos EUA estabelece os requisitos para o processamento de informações pessoais identificáveis por prestadores de serviços de saúde e seguros.

A HITECH (Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica) de 2009 define os direitos de acesso a dados de saúde e mecanismos para que os pacientes mantenham o controle sobre seus dados. Ela expande a troca de informações de saúde eletrônicas protegidas, bem como o escopo de proteções de privacidade e segurança sob a HIPAA.

Recursos

Conformidade da Akamai

Nem a HIPAA nem a HITECH são diretamente aplicáveis à Akamai como um provedor de serviços de segurança na Web e entrega de conteúdo. No entanto, quando a Akamai é envolvida por seus clientes de saúde em processos de dados dessa natureza, ela pode ser considerada um Parceiro comercial, caso em que um Acordo para Parceiro Comercial pode ser necessário entre a Akamai e o cliente de saúde. Uma cópia do Acordo para Parceiro Comercial padrão da Akamai está disponível mediante solicitação.

Para garantir a conformidade com a Lei de segurança HIPAA, a Akamai busca uma avaliação anual. O resumo executivo dessa avaliação e/ou a carta relacionada dos assessores estão disponíveis aos clientes e parceiros da Akamai mediante a assinatura de um NDA (Acordo de confidencialidade).

Recursos

Serviços da Akamai aplicáveis

Os serviços de segurança e desempenho na Web da Akamai ao serem executados na CDN segura da Akamai com o serviço TLS aprimorado, e na Akamai Identity Cloud, quando usados para processar informações pessoais identificáveis por provedores de serviços de saúde e seguros.

Perguntas e respostas

Quando ocorreu a avaliação HIPAA mais recente da Akamai?

A mais recente avaliação de conformidade da Akamai para a Regra de segurança HIPAA foi realizada pela CFGI. Entre em contato com a equipe da sua conta para obter mais informações.

A Akamai tem certificação HIPAA?

Não, pois essa certificação não existe. A conformidade com a HIPAA é um processo contínuo. A Akamai treina seus funcionários em requisitos HIPAA e garante que eles estejam seguindo políticas e procedimentos relacionados à HIPAA.

A Akamai assina Acordos para Parceiro Comercial com os clientes?

Na medida em que a Akamai transmite informações de saúde pessoal enquanto presta serviços aos clientes de entidade coberta, de modo que ela esteja atuando como um "Parceiro comercial", a Akamai celebrará o Acordo para Parceiro Comercial necessário como parte do processo normal de contratação. Uma cópia do Acordo para Parceiro Comercial padrão da Akamai está disponível mediante solicitação.

A Akamai é avaliada de acordo com a estrutura de CSF HITRUST?

A Akamai não é avaliada de acordo com a estrutura de CSF HITRUST. A Akamai passa por auditorias anuais conduzidas por auditores certificados independentes para garantir a conformidade contínua com HIPAA e HITECH para os serviços identificados como apropriados para uso com informações de saúde protegidas.

Voltar ao topo

 

LGPD (Brasil)

 

Visão geral

A Lei Geral de Proteção de Dados do Brasil, “Brazilian General Data Protection Law”, Lei federal nº 13.709/2018 (“LGPD”) entrará em vigor em 16 de agosto de 2020. A LGPD cria uma nova estrutura legal para o uso de dados pessoais no Brasil, tanto on-line quanto off-line, nos setores público e privado. Como autoridade supervisora, a ANPD (Autoridade Nacional de Proteção de Dados) foi criada e encarregada de supervisionar e fazer cumprir a LGPD.

Recursos

Conformidade da Akamai

Os serviços da Akamai estão em conformidade com a LGPD. Isso significa que os clientes podem continuar usando os serviços da Akamai e também implantá-los como parte essencial de sua estratégia de conformidade com a LGPD. A LGPD exige que os dados pessoais do Brasil processados por uma organização sejam protegidos e gerenciados de modo suficiente e adequado. Em um mundo conectado, onde muitas aplicações e websites coletam e usam dados pessoais, isso pode ser um grande desafio.

A Intelligent Edge Platform da Akamai pode ser aproveitada para ajudar os clientes a enfrentar esse desafio. Ela oferece uma estratégia eficiente de segurança e gerenciamento de dados com base em uma ferramenta de gerenciamento de dados de autoatendimento, uma equipe com os melhores profissionais de segurança, processos flexíveis e de alta qualidade e reconhecida tecnologia de ponta.

Downloads/links

Privacy Trust Center

Serviços da Akamai aplicáveis

Todos os serviços são aplicáveis.

Perguntas e respostas

Qual é diferença entre a LGPD e o GDPR?

A LGPD difere do GDPR em algumas áreas. Por exemplo: nos termos da LGPD, há 10 bases legais para atender a atividade de processamento, em comparação com seis bases legais do GDPR.

Existe um prazo de acordo com a LGPD para cumprir a obrigação de notificação de violação de dados?

A LGPD não estabelece um prazo para o controlador de dados notificar as violações de dados. A ANPD definirá esse prazo.

Voltar ao topo

 

MAS (Singapura)

 

Visão geral

A MAS (Autoridade Monetária de Singapura) regula as instituições financeiras nos setores bancário, de mercados de capital, seguros e pagamentos incorporados em Singapura. Nenhuma de suas normas é diretamente aplicável à Akamai como um provedor de serviços de segurança na Web e entrega de conteúdo. No entanto, quando a Akamai é envolvida por seus clientes de serviços financeiros de Singapura para processar dados financeiros, sua atuação pode ser considerada como uma provedora de serviço terceirizado regulada pela MAS. As Diretrizes de terceirização MAS para instituições financeiras locais sobre o gerenciamento de risco em contratos de terceirização, abrangem:

  • Envolvimento da MAS em terceirização
  • Práticas sólidas de gerenciamento de risco em contratos de terceirização
  • Computação em nuvem

Recursos

Alterações:

Conformidade da Akamai

Os serviços da Akamai usados por provedores de serviços financeiros incorporados em Singapura são considerados atividades terceirizadas de acordo com essas diretrizes. Como os serviços da Akamai estão em conformidade com as diretrizes, os clientes de serviços financeiros incorporados em Singapura podem continuar usando os serviços da Akamai e também implantá-los como uma parte essencial de uma estratégia de conformidade de terceirização.

Serviços da Akamai aplicáveis

  • CDN segura com TLS aprimorado e serviços relacionados
  • Produtos de desempenho na Web, como o Ion, ao serem executados na CDN segura com TLS aprimorado
  • Produtos de segurança na nuvem, como Kona Site Defender e Bot Manager, ao serem executados na CDN segura com TLS aprimorado
  • Serviços de atenuação de DDoS Prolexic
  • Akamai Identity Cloud

Voltar ao topo

 

Revised Payment Services Directive PSD2
???Watch the Video???

Diretiva de serviços de pagamento (PSD2)

 

Visão geral

A Diretiva de serviços de pagamento (PSD2) revisada da UE e o Open Banking, implementação do PSD2 no Reino Unido, exigem que as instituições financeiras abram sua infraestrutura de pagamento, concedendo ao TPP (Provedor terceirizado) o acesso aos dados da conta bancária de seus clientes. Os órgãos regulatórios estão conduzindo essa iniciativa para facilitar a inovação, a concorrência e a eficiência em serviços financeiros, permitindo que os TPPs forneçam serviços de pagamento e informações de conta aos consumidores.

Recursos

Conformidade da Akamai

As soluções da Akamai ajudam instituições financeiras a cumprir com a PSD2, aprimorando as experiências do cliente, a estabilidade da aplicação e os controles de segurança. A Intelligent Edge Platform da Akamai atua como condutor de comunicação entre TPPs e a instituição financeira. Os serviços de segurança da Akamai protegem as APIs da instituição contra acesso não autorizado e garantem que apenas as solicitações de acesso autenticadas sejam processadas. A Akamai ajuda na conformidade com a PSD2 da seguinte maneira:

  • Aprimorando a experiência do cliente
  • Fornecendo controle de acesso e governança para APIs
  • Protegendo as APIs contra ataques
  • Fornecendo comunicação comum e segura (SSL/TLS)
  • Evitando roubo de conteúdo

Downloads / Links

Akamai Compliance PSD2 Callout Image
APIs internas e aplicações proprietárias são substituídas por APIs públicas e aplicações de terceiros quando os Provedores terceirizados (TPPs) atuam entre um banco e seus clientes.
Akamai Compliance PSU Authorization Flow Callout Image
Fluxo de autorização entre o Usuário de serviços de pagamento (PSU), Provedores terceirizados (TPP) e o Provedor de serviços de pagamento de contas (ASPSP).

Serviços da Akamai aplicáveis

Identity Cloud, Secure Content Delivery, Kona Site Defender, Ion, DSA e API Gateway.

Perguntas e respostas

O Open Banking é a mesma coisa que PSD2?

O Open Banking é a implementação do PSD2 no Reino Unido. Ele é baseado em uma decisão, emitida em agosto de 2016 pela Autoridade de Concorrência e Mercados (CMA) do Reino Unido, que exigia que os nove maiores bancos do Reino Unido permitissem que as startups licenciadas tivessem acesso direto aos seus dados até o nível de transações de contas. Consulte também a Wikipedia.

Por que a implementação do PSD2 é sempre uma solução personalizada?

O PSD2 sempre será uma implementação personalizada devido às necessidades exclusivas de cada TP (Provedor de confiança) da autoridade de certificação, a legislação específica dos países da UE e os requisitos de conformidade internos de acordo com as políticas individuais da empresa.

Voltar ao topo

 

Infraestrutura crítica (Alemanha)

 

Visão geral

Desde junho de 2017, a Akamai atende aos requisitos para provedores de serviços de infraestrutura crítica em seus serviços de rede de entrega de conteúdo na Alemanha, implementados pelo BSI (Escritório Federal de Segurança da Informação) alemão. De acordo com a legislação subjacente, a Lei BSI, a Akamai realiza uma auditoria de terceiros a cada dois anos para provar que suas medidas técnicas e organizacionais protegem adequadamente seu sistema e garantem disponibilidade, integridade, autenticidade e confidencialidade de seus serviços.

Recursos

Avaliação da Akamai

No primeiro trimestre de 2019, a Akamai Germany realizou a auditoria, que foi aceita pelo BSI. A base para a auditoria é o relatório SOC 2 Tipo 2 de 2018 da Akamai e a avaliação ISO 27002, bem como três auditorias no local em data centers na Alemanha.

Downloads / Links

Serviços da Akamai aplicáveis

  • CDN da Akamai

Perguntas e respostas

Há quanto tempo os serviços de CDN da Akamai são serviços de infraestrutura crítica na Alemanha?

Desde junho de 2017.

E os serviços de segurança da Akamai?

Os serviços de segurança não são considerados um serviço de infraestrutura crítica de acordo com a Lei BSI. A Akamai é um provedor recomendado de serviços de proteção DDoS (Distribuídos de negação de serviço) para outros provedores de serviços de infraestrutura crítica. Consulte também Provedores de serviço de atenuação de DDoS qualificados (Alemanha).

Voltar ao topo

 

CSA STAR Nível 2

 

Visão geral

O programa STAR (Cloud Security Alliance Security Trust Assurance and Risk) engloba os princípios fundamentais de transparência, auditoria rigorosa e harmonização de padrões. As empresas que usam o STAR indicam as melhores práticas e validam a postura de segurança de suas ofertas de nuvem.

O registro STAR documenta os controles de segurança e privacidade fornecidos pelas populares ofertas de computação em nuvem. Esse registro acessível publicamente permite que os clientes de nuvem avaliem seus provedores de segurança para tomar as melhores decisões de aquisição.

Recursos

Certificação da Akamai

O Identity Cloud obteve o atestado CSA (Cloud Security Alliance) Nível 2, Tipo 2 (auditoria de terceiros).

Serviços da Akamai aplicáveis

  • Akamai Identity Cloud

Datas/prazo/auditor

A A-LIGN Assurance realiza o Atestado CSA Nível 2, Tipo 2 da Akamai.

A avaliação mais recente da Akamai abrange o período de 1º de maio de 2018 a 30 de abril de 2019 e é válida até 1º de maio de 2020.

Perguntas e respostas

Como posso obter uma cópia do Atestado CSA Nível 2, Tipo 2 da Akamai?

Sua equipe de contas da Akamai pode disponibilizar uma cópia desse relatório.

Voltar ao topo

 

FedRAMP

 

Visão geral

O Federal Risk and Authorization Management Program (FedRAMP) é um programa de conformidade do governo dos EUA que estabelece uma abordagem padronizada à avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços de nuvem.

O FedRAMP criou e gerencia um conjunto central de processos para garantir uma segurança em nuvem eficiente e repetível para o governo dos EUA. Ele estabeleceu um marketplace consolidado para aumentar a utilização e a familiaridade com os serviços de nuvem.

Recursos

Certificação da Akamai

A Akamai Intelligent Edge Platform conta com a P-ATO (Autorização provisória para operar), da JAB (FedRAMP Joint Authorization Board), uma referência moderada, como um provedor de IaaS (infraestrutura como serviço).

Downloads / Links

Serviços da Akamai aplicáveis

  • Intelligent Edge Platform para HTTP e HTTPS Delivery (conhecido como as redes ESSL e FreeFlow) e os serviços em execução nelas
  • Edge DNS (com DNSSEC)
  • NetStorage
  • Serviços de streaming de mídia
  • Akamai Control Center
  • Global Traffic Management

Datas/prazo/auditor

O avaliador terceirizado da Akamai para FedRAMP é a Coalfire Systems, Inc.

A Akamai conta com a autorização do FedRAMP desde 23 de agosto de 2013 e passa por avaliações anuais e monitoramento contínuo para manter a conformidade.

Perguntas e respostas

Como posso acessar a documentação do FedRAMP da Akamai?

Os clientes podem obter o "Formulário de solicitação de acesso a pacotes" no website do marketplace do FedRAMP.

Qual é o Nível de impacto do FedRAMP da Akamai?

A autorização FedRAMP da Akamai tem o nível de impacto Moderado. De acordo com o FedRAMP, um sistema de Impacto Moderado compreende "cerca de 80% das aplicações CSP que recebem autorização FedRAMP e é mais apropriado para CSOs onde a perda de confidencialidade, integridade e disponibilidade resultaria em efeitos adversos graves sobre as operações, ativos ou indivíduos de uma agência. Os efeitos adversos graves podem incluir danos operacionais significativos aos ativos da agência, perda financeira ou danos individuais que não são perda de vida ou física."

No momento, a Akamai não procura a autorização FedRAMP para o nível de impacto Alto.

Voltar ao topo

 

IRAP (Austrália)

 

Visão geral

O IRAP (Information Security Registered Assessors Program) é uma iniciativa da ASD (Australian Signals Directorate) para fornecer serviços de informação de avaliação de segurança de ICT de alta qualidade e tecnologias de comunicações ao governo. O ACSC (Australian Cyber Security Center) dentro da ASD produz o ISM (Manual de segurança da informação) do governo australiano. O objetivo do ISM é descrever uma estrutura de segurança virtual que as organizações podem aplicar para proteger suas informações e sistemas contra ameaças on-line.

O ISM é composto por mais de 600 controles que definem requisitos de segurança em mais de 80 áreas, como:

  • Incidentes de segurança virtual
  • Fortalecimento de sistemas
  • Gerenciamento de vulnerabilidades
  • Aplicação de patches
  • Criptografia
  • Design de rede
  • Desenvolvimento de aplicações

Recursos

Conformidade da Akamai

A Akamai é avaliada anualmente por um auditor independente para a conformidade com os controles de segurança do IRAP definidos no ISM. A primeira avaliação IRAP da Akamai foi realizada no início de 2019. A avaliação abrangeu os ambientes de produção e rede corporativa da Akamai, e o relatório resultante de avaliação de conformidade foi concluído pela NJOY Security em 8 de abril de 2019. O resumo executivo da avaliação de segurança IRAP da Akamai e a carta relacionada do assessor oficial da IRAP para a Akamai está disponível mediante a assinatura de um NDA (Acordo de confidencialidade).

Entre em contato com a equipe da sua conta Akamai para obter mais informações.

Serviços da Akamai aplicáveis

  • CDN segura com TLS aprimorado e os serviços em execução nela
  • Produtos de desempenho na Web, como o Ion, ao serem executados na CDN segura com TLS aprimorado
  • Gerenciador de bots Padrão e Premier
  • Produtos de segurança na nuvem, como Kona Site Defender e Bot Manager, ao serem executados na CDN segura com TLS aprimorado
  • Edge DNS

Datas/prazo/auditor

A mais recente avaliação da Akamai foi realizada pela NJOY em 8 de abril de 2019

Voltar ao topo

 

ISO/IEC 27001:2013 e ISO/IEC 27018:2014

 

Visão geral

A ISO/IEC 27001 especifica formalmente um ISMS (Sistema de gerenciamento de Segurança da informação), um conjunto de atividades relacionadas ao gerenciamento de riscos de informação. O ISMS é uma estrutura de gerenciamento abrangente pela qual a organização identifica, analisa e aborda seus riscos de informação. Ele garante que os acordos de segurança sejam aperfeiçoados para acompanhar as alterações nas ameaças de segurança, vulnerabilidades e impactos comerciais, um aspecto importante em um campo tão dinâmico.

Recursos

Essa norma estabelece orientações voltadas para garantir que os provedores de serviços de nuvem ofereçam controles de segurança da informação adequados para proteger a privacidade de seus clientes e dos clientes deles, protegendo as PII (Informações de identificação pessoal) confiadas a eles.

Ela serve como uma referência para selecionar controles de proteção de PII ao implementar um sistema de gerenciamento de segurança da informação na computação em nuvem com base na ISO/IEC 27001. Além disso, ela oferece orientações sobre a implementação de controles de proteção de PII.

Recursos

Certificação da Akamai

O Identity Cloud obteve sua mais recente certificação ISO 27001 e 27018 em 22 de abril de 2019.

Serviços da Akamai aplicáveis

  • Akamai Identity Cloud

Datas/prazo/auditor

A A-LIGN Assurance realiza o Atestado CSA Nível 2, Tipo 2 da Akamai.

A avaliação mais recente da Akamai abrange o período de 1º de maio de 2018 a 30 de abril de 2019 e é válida até 1º de maio de 2020.

Perguntas e respostas

Quais regiões são cobertas pela conformidade da Akamai com a ISO 27001/27018?

A certificação ISO 27001/27018 do serviço Akamai Identity Cloud abrange todas as regiões globais, exceto a Federação Russa.

Como posso obter uma cópia das certificações ISO 27001 e 27018 da Akamai?

Sua equipe de contas pode disponibilizar essas certificações a você.

Voltar ao topo

 

PCI DSS Nível 1

 

Visão geral

A conformidade com o PCI DSS (Payment Card Industry Data Security Standard) é um requisito que deve ser seguido por todas as empresas que armazenam, processam ou transmitem dados de cartão de crédito. Desenvolvido pelas principais empresas de cartão de crédito, o PCI DSS estabelece medidas para garantir a proteção de dados e processos e procedimentos de segurança consistentes relacionados a transações financeiras on-line. As empresas que não conseguirem manter a conformidade com o PCI DSS estarão sujeitas a multas e penalidades rigorosas.

Conforme estabelecido pelo Conselho de normas de segurança PCI, as exigências de conformidade do PCI DSS incluem:

  • Desenvolver e manter uma política de segurança que abrange todos os aspectos dos negócios
  • Instalar firewalls para proteger os dados
  • Criptografar dados de titulares de cartão que são transmitidos por redes públicas
  • Usar software antivírus e fazer atualizações regulares
  • Definir senhas fortes e outros protocolos de segurança virtual
  • Aplicar controles de acesso rígidos e monitorar o acesso aos dados da conta

Para grandes comerciantes e provedores de serviços que processam grandes volumes de transações financeiras on-line, a conformidade com PCI DSS é imposta pelas validações anuais realizadas por um QSA (Avaliador de segurança qualificado) independente.

Recursos

Certificação da Akamai

O AoC (Atestado de conformidade) da Akamai serve como evidência para nossos clientes de que nossos serviços no escopo estão em conformidade com a norma de segurança PCI DSS v. 3.2.1.

Em relação à conformidade com a PCI DSS, a Akamai realiza testes trimestrais de penetração externa da CDN (Rede de Entrega de Conteúdo) segura. Os resultados desses testes trimestrais de penetração, bem como a documentação e/ou certificação de conformidade, são disponibilizados aos clientes mediante a assinatura de um NDA (Acordo de confidencialidade).

Downloads / Links

Serviços da Akamai aplicáveis

  • CDN segura com TLS aprimorado e os serviços em execução nela
  • Produtos de desempenho na Web, como o Ion, ao serem executados na CDN segura com TLS aprimorado
  • Gerenciador de bots Premier
  • Produtos de segurança na nuvem, como Kona Site Defender e Bot Manager, ao serem executados na CDN segura com TLS aprimorado
  • Serviços de gerenciamento de desempenho digital mPulse
  • Enterprise Application Access (EAA), o componente principal das soluções de segurança corporativa Zero Trust da Akamai (akamai.com/zerotrust)

Perguntas e respostas

A Akamai tem certificação PCI DSS?

Sim, a Akamai é certificada como um provedor de serviços PCI DSS 3.2.1 Nível 1, o mais alto nível de avaliação disponível. A avaliação de conformidade foi realizada pela Specialized Security Services, Inc., um QSA (Avaliador de segurança qualificado) independente. O Atestado de conformidade com a PCI DSS e a Matriz de responsabilidade estão disponíveis publicamente.

Se meu website estiver usando a Akamai, como posso ter certeza de que ele está em conformidade com o PCI DSS?

Os clientes são responsáveis pela própria certificação PCI DSS e devem contratar um QSA (Avaliador de Segurança qualificado) para validar seus controles e obter a certificação. Os clientes e seus QSAs podem confiar no Atestado de conformidade da Akamai para a parte de seu ambiente de dados do titular do cartão para usar os serviços compatíveis com PCI DSS da Akamai. A Matriz de responsabilidades do PCI DSS da Akamai descreve as responsabilidades da Akamai e de nossos clientes em relação a cada um dos requisitos do PCI DSS. Sua equipe de contas pode disponibilizar nosso Guia de configuração do cliente PCI DSS, que também fornece mais detalhes.

A Akamai está listada no Registro global de provedores de serviços da Visa e na Lista de provedores de serviços aprovados pela Mastercard?

Sim. A Akamai está incluída nas listas fornecidas pela Visa e a MasterCard. Isso mostra que a Akamai atendeu a todos os requisitos aplicáveis do programa dessas grandes empresas de cartão de pagamento.

Posso ver um resumo executivo das verificações trimestrais de vulnerabilidade do ASV (Fornecedor de verificação aprovado) da Akamai e dos testes de penetração externa?

Sim. Sua equipe de contas pode disponibilizar essas informações, mediante a assinatura de um NDA (Acordo de confidencialidade) padrão.

Voltar ao topo

 

SOC 2 Tipo 2

 

Visão geral

O SOC (Service Organization Controls) é um padrão de segurança estabelecido pelo AICPA (Instituto Americano de Contadores Públicos Certificados) que informa os controles diretamente relacionados à segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade em uma organização de serviços.

Recursos

Certificação da Akamai

A Akamai recebe relatórios anuais do SOC 2 Tipo 2, que demonstram que nossos controles de segurança são continuamente auditados ao longo do ano.

Serviços da Akamai aplicáveis

Para os seguintes serviços, os Princípios do serviço de confiança de segurança e disponibilidade são abordados:

  • CDN segura com TLS aprimorado e serviços relacionados
  • Produtos de desempenho na Web, como o Ion, ao serem executados na CDN segura com TLS aprimorado
  • Produtos de segurança na nuvem, como Kona Site Defender e Bot Manager, ao serem executados na CDN segura com TLS aprimorado
  • Serviços de atenuação de DDoS Prolexic

Para o seguinte serviço, todos os Princípios do serviço de confiança são abordados:

  • Identity Cloud

Datas/prazo/auditor

O relatório SOC 2 da Akamai que aborda os princípios do serviço de confiança de segurança e disponibilidade é gerado pela Ernst & Young LLP e abrange o período de janeiro a setembro de cada ano.

O relatório SOC 2 do Akamai Identity Cloud, que abrange todos os cinco princípios do serviço de confiança, é gerado pela A-LIGN e abrange o período de 1º de maio a 30 de abril de cada ano.

Perguntas e respostas

Quem realiza a auditoria independente da Akamai para seus relatórios SOC 2?

A Ernst & Young LLP realiza auditorias independentes das principais soluções de rede de entrega de conteúdo da Akamai, que abrange os princípios do serviço de confiança de Segurança e Disponibilidade.

A A-LIGN Assurance realiza a auditoria independente do Akamai Identity Cloud, que abrange todos os cinco princípios do serviço de confiança.

Como posso obter uma cópia do relatório SOC 2?

Sua equipe de contas da Akamai pode disponibilizar uma cópia.

Quais regiões são abrangidas?

Os relatórios SOC 2 da Akamai abrangem os serviços da Akamai como um todo e não estão limitados a regiões específicas.

Qual é o período coberto pelo relatório SOC 2 da Akamai?

O relatório SOC 2 da Akamai feito pela Ernst & Young LLP abrange o período de 1º de janeiro a 30 de setembro de cada ano. O relatório SOC 2 da Akamai feito pela A-LIGN Assurance abrange o período de 1º de maio a 30 de abril de cada ano.

Existe uma análise de gap que abrange o interim desde o último período coberto?

Sua equipe de contas pode disponibilizar uma análise de gap que abrange o período de 1º de outubro a 31 de dezembro do ano anterior, com relação ao relatório SOC 2 da Ernst & Young LLP. Como o relatório SOC 2 a A-LIGN Assurance abrange o ano todo, não há necessidade de uma análise de gap para esse relatório.

Com que frequência os relatórios SOC 2 da Akamai são emitidos e quando posso esperar um novo?

O relatório SOC 2 da Akamai feito pela Ernst & Young LLP normalmente é lançado no quarto trimestre de cada ano.

A Akamai tem um certificado de conformidade com SOC 2?

Não existe um certificado de conformidade. Em vez disso, avaliadores qualificados de terceiros produzem um relatório sobre conformidade para a organização avaliada, discutindo a descrição do sistema, o escopo, as descrições de controle para atender aos critérios comuns, evidências e adequação das descrições e evidências da organização.

Por que há dois relatórios SOC 2 diferentes para a Akamai?

Como o serviço Akamai Identity Cloud fazia parte da aquisição da Janrain, Inc. pela Akamai, em 2019, existem dois relatórios SOC 2 Tipo 2 diferentes: a Ernst & Young LLP prepara o relatório que abrange nossos serviços centrais de CDN e segurança e a A-LIGN Assurance prepara o relatório para o Akamai Identity Cloud.

A Akamai tem um relatório SOC 1?

A Akamai não é submetida a uma auditoria SOC 1 (com foco em controles financeiros). Como a Akamai é uma empresa de capital aberto dos EUA, estamos vinculados à Sarbanes-Oxley e a outras normas para tornar nosso bem-estar financeiro publicamente disponível. Clientes e clientes em potencial podem acessar nossas demonstrações financeiras anuais e formulário 10-K no nosso website de Relações com investidores.

Voltar ao topo

 

CSA STAR Nível 1

 

Visão geral

O programa STAR (Cloud Security Alliance Security Trust Assurance and Risk) engloba os princípios fundamentais de transparência, auditoria rigorosa e harmonização de padrões. As empresas que usam o STAR indicam as melhores práticas e validam a postura de segurança de suas ofertas de nuvem.

O registro STAR documenta os controles de segurança e privacidade fornecidos pelas populares ofertas de computação em nuvem. Esse registro acessível publicamente permite que os clientes de nuvem avaliem seus provedores de segurança para tomar as melhores decisões de aquisição.

Recursos

Avaliação da Akamai

A Akamai enviou, a partir de julho de 2019, um relatório documentando a conformidade com a CCM (Matriz de Controles em Nuvem) como parte da Autoavaliação CSA STAR, uma oferta que documenta os controles de segurança fornecidos por várias ofertas de computação em nuvem, ajudando os usuários a avaliarem a segurança dos provedores de nuvem.

O relatório está disponível para o público no registro STAR. A Akamai tem o compromisso de promover a transparência no setor de serviços de nuvem e fornecer aos clientes visibilidade das práticas de segurança.

Downloads / Links

Serviços da Akamai aplicáveis

  • CDN segura com TLS aprimorado e serviços relacionados
  • Produtos de desempenho na Web, como o Ion, ao serem executados na CDN segura com TLS aprimorado
  • Produtos de segurança na nuvem, como Kona Site Defender e Bot Manager, ao serem executados na CDN segura com TLS aprimorado

Perguntas e respostas

Quando foi a autoavaliação de CSA STAR da Akamai?

A mais recente autoavaliação de CSA STAR Nível 1 da Akamai foi realizada em 2 de julho de 2019.

Voltar ao topo

 

ISO 27002

 

Visão geral

A ISO/IEC 27002:2013 é um padrão de segurança da informação publicado pela ISO (Organização Internacional de Padronização) e pela IEC (Comissão Eletrotécnica Internacional), intitulado Código de prática de tecnologia da informação (técnicas de segurança) para controles de segurança da informação.

A ISO/IEC 27002:2013 estabelece diretrizes para normas organizacionais de segurança da informação e práticas de gerenciamento de segurança da informação, incluindo seleção, implementação e gerenciamento de controles levando em consideração os ambientes de risco de segurança da informação da organização.

Ela foi projetada para organizações que pretendem:

  • Selecionar controles dentro do processo de implementação de um sistema de gerenciamento de segurança da informação com base na ISO/IEC 27001
  • Implementar controles de segurança da informação comumente aceitos
  • Desenvolver diretrizes próprias de gerenciamento de segurança da informação

Recursos

Avaliação da Akamai

A Akamai é avaliada anualmente quanto à conformidade com a ISO 27002, que define os controles do programa de segurança da informação da empresa. Nossa avaliação mais recente da ISO 27002 foi realizada pela CFGI no final de 2018 e o relatório data de 28 de fevereiro de 2019. Um resumo executivo desse relatório está disponível para clientes e parceiros mediante a assinatura de NDAs (Acordos de confidencialidade) com a Akamai. Entre em contato com a equipe da sua conta para obter mais informações.

Serviços da Akamai aplicáveis

A avaliação ISO 27002 da Akamai se aplica a todas as ofertas da Akamai e ao nosso Programa de Segurança de Informações.

Perguntas e respostas

Quando ocorreu a avaliação ISO 27002 da Akamai?

A CFGI realizou a mais recente avaliação de brechas da ISO 27002 na Akamai em 28 de fevereiro de 2019.

Posso obter uma cópia da avaliação?

Sua equipe de contas pode disponibilizar um resumo executivo da nossa avaliação mais recente da ISO 27002.

Voltar ao topo

 

NIST

 

Visão geral

Os controles de segurança 800-53 do NIST (Instituto Nacional de Padrões e Tecnologia) geralmente são aplicáveis aos sistemas de informações federais dos EUA. Para garantir proteção suficiente de confidencialidade, integridade e disponibilidade de informações e sistemas de informações, os sistemas de informações federais normalmente passam por um processo formal de avaliação e autorização.

O CSF (Cybersecurity Framework) do NIST conta com o apoio de governos e setores de todo o mundo como um parâmetro recomendado para uso por qualquer organização, independentemente do setor ou do tamanho. As agências agora precisam implementar o CSF de acordo com a Ordem Executiva de segurança virtual.

Recursos

Avaliação da Akamai

A Intelligent Edge Platform da Akamai foi validada por testes realizados por terceiros em relação aos controles NIST 800-53, bem como requisitos FedRAMP adicionais. A autorização NIST da Akamai tem o nível de impacto Moderado.

Consulte a página de conformidade do FedRAMP da Akamai para saber mais sobre a conformidade do FedRAMP, que inclui os controles NIST relevantes.

Downloads / Links

Voltar ao topo

 

Proteção de Privacidade UE-EUA

 

Visão geral

Facilitando a transferência de dados pessoais entre a União Europeia (UE) e os Estados Unidos (EUA), a Proteção de Privacidade UE-EUA é uma estrutura que regula as trocas transatlânticas de dados pessoais para fins comerciais. Seu objetivo é garantir que os dados pessoais dos cidadãos da UE processados nos EUA sejam protegidos no mesmo nível que tais dados são protegidos quando processados na UE.

Recursos

Avaliação da Akamai

As atividades de processamento da Akamai são certificadas pelo programa de Proteção de Privacidade UE-EUA e nos termos do programa de Proteção de Privacidade Suíça-EUA.

Downloads / Links

Serviços da Akamai aplicáveis

Todas as atividades de processamento relacionadas a serviços da Akamai estão no escopo do certificado de Proteção de Privacidade. As atividades internas de processamento de RH da Akamai não são cobertas.

Caso os dados de RH do cliente façam parte das propriedades da Web do cliente e sejam processados pela Akamai durante o provisionamento dos serviços, o processamento dos dados de RH do cliente é coberto pelo certificado de Proteção de Privacidade da Akamai. Tais atividades de processamento estão relacionadas aos serviços da Akamai e não são consideradas atividades de processamento internas de RH da Akamai.

Perguntas e respostas

Qual é o prazo do certificado da Akamai?

O ciclo de certificação é de um ano. O prazo atual é descrito no certificado de Proteção de Privacidade da Akamai.

Voltar ao topo