Compliance

Akamai 合规计划

详细了解 Akamai 产品和服务如何遵循隐私法律、法规、认证和框架。

隐私信任中心

协调、框架、自我评估

合规性协调和框架包括针对特定目的(例如特定行业或职能)发布的安全性或合规性要求。Akamai 为这些类型的计划提供安全功能和文档等功能。特定协调和框架下的要求可能不受认证或证明的约束。

隐私信任中心

《加州消费者隐私法案》(CCPA)

 

概述

2018 年《加州消费者隐私法案》旨在增强美国居民的隐私权和消费者保护。

从 2020 年 1 月 1 日开始,在加州开展业务的公司或组织都需要遵守该州严格的全新隐私法案,该法案确立了每位加州居民的、可强制执行的法定隐私权利。新法规不仅适用于总部位于加州的企业,也适用于在该州开展业务的所有公司(不考虑公司的成立地点)。

Akamai 合规性

根据 CCPA,Akamai 可充当我们客户的服务提供商。对于与使用 Akamai 服务的互联网资产相关的 CCPA 义务,客户是最终的责任方。

所有 Akamai 服务均符合 CCPA。这意味着,客户不仅可以继续使用其现有的 Akamai 服务,还可以将 Akamai Identity Cloud 等服务作为其 CCPA 合规性战略的关键组成部分进行部署。

CCPA 要求对公司处理的加州消费者个人数据进行适当、充分的管理和保护。当今世界互联互通,许多 Web 应用程序和网站收集和使用个人数据,这会产生巨大难题。Akamai 的 Intelligent Edge Platform 可帮助客户应对此难题。它基于自助数据管理工具、合格的安全专家团队、灵活且高质量的流程以及公认的出色技术,可以提供强大的数据管理和安全功能。

CCPA 资源

适用的 Akamai 服务

所有 Akamai 服务均适用。

返回顶部

 

电子隐私保护法

 

概述

电子隐私法律是一个重要的法律工具,用于确保电子通信和数字化营销中的隐私权。大多数欧盟成员国家/地区已将当前的指令 2009/136/EC 版本实施到当地法律中。

《电子隐私指令》针对的是电信服务提供商,包括以下内容:

  • 网络和服务的安全性
  • 通信的机密性
  • 对存储在终端设备上的数据的访问
  • 流量和位置数据的处理
  • 主叫线路识别
  • 公共用户目录
  • 未经请求的商业通信(“垃圾邮件”)
  • Cookie 用途

与 2002 版相比,当前的指令 2009/136/EC 的主要变化是引入了电信服务提供商的数据泄漏通知要求,以及与 Cookie 用途有关的许可要求。

欧盟相关机构目前正在审查《电子隐私指令》,旨在将其变为一项法规,在涉及电子通信中的个人数据时,这项法规的优先级将高于具有更强普适性的 GDPR。与现有指令的不同之处:《电子隐私法规》的范围经过扩大,将 OTT 通信服务提供商也包含在内。

Akamai 合规性

Akamai 确保遵守了指令 2009/136/EC 及其本地实施的各种要求,比如网站上的 cookie 横幅、针对提供服务时所用 cookie 的选择退出机制以及符合电子隐私要求的营销活动执行过程。

适用的 Akamai 服务

所有 Akamai 安全解决方案均适用 - 包括 Web 和移动分析解决方案(mPulseCloudTest)

问答

Akamai 的 mPulse 服务是否符合电子隐私法律?

是的,所有 Akamai 服务均符合《电子隐私》法律。对于 mPulse,请阅读白皮书《mPulse - 数据保护法律合规性》。

返回顶部 

Akamai and the GDPR Thumbnail
???Watch the Video???

通用数据保护条例 (GDPR)

 

概述

2018 年 5 月 25 日生效的通用数据保护条例 (GDPR) 是最新的欧盟 (EU) 数据保护法律,旨在协调欧洲的本地数据保护法律。自实施以来,该法律促使各大公司加强隐私政策并在全球范围内建立数据保护最佳做法。

GDPR 要求公司管理和保护任何涉及处理欧盟个人数据的运营,以防止未经授权的访问。如果不遵守 GDPR,将会导致严重影响公司的处罚。

欧盟通用数据保护条例

Akamai 合规性

Akamai 服务遵守 GDPR。这意味着,客户不仅可以继续使用 Akamai,还可以将 Akamai 服务作为其 GDPR 合规性策略的关键部分进行部署。GDPR 要求对公司处理的欧盟个人数据进行适当、充分的管理和保护。当今世界互联互通,许多 Web 应用程序和网站收集和使用个人数据,这会产生巨大难题。Akamai 的 Intelligent Edge Platform 可帮助客户应对此难题。该平台基于自助数据管理工具、专业安全专家团队、灵活且高质量的流程以及公认的出色技术,可以提供强大的数据管理和安全策略。

GDPR
Akamai Identity Cloud 参考架构。

在《Akamai 的个人数据处理活动和角色》文档中,Akamai 介绍了服务调配期间的处理活动。

此外,Akamai 要求客户就数据处理协议达成一致,确保客户和 Akamai 在 Akamai 服务调配期间遵守与个人数据处理相关的 GDPR 第 28 条规定。

适用的 Akamai 服务

所有 Akamai 服务均适用。

问答

Akamai 的 mPulse 服务是否符合 GDPR?

是的,所有 Akamai 服务均符合 GDPR。如需了解 mPulse,请阅读白皮书《mPulse - 欧盟数据保护法律合规性》。

返回顶部

 

HIPAA / HITECH

 

概览

美国 1996 年《健康保险流通与责任法案》(HIPAA) 规定了医疗服务和保险提供商对个人身份信息进行处理的要求。

2009 年《经济与临床健康医疗信息技术法案》(HITECH) 定义了对健康数据的访问权限和让病人保持对其数据的控制的机制。它扩展了受保护的电子健康信息的交换,以及 HIPAA 规定的隐私和安全保护范围。

资源

Akamai 合规性

HIPAA 和 HITECH 都不直接适用于 Akamai(作为内容交付和网站安全性服务提供商)。尽管如此,如果 Akamai 受医疗保健客户的委托处理医疗保健数据,它可能被视为业务合作伙伴,Akamai 与医疗保健客户之间可能需要签订业务合作伙伴协议。可应要求提供 Akamai 标准业务合作伙伴协议的副本。

为了确保遵守 HIPAA 安全条例,Akamai 会进行年度评估。Akamai 客户和合作伙伴需要遵守保密协议 (NDA) 的规定,可以获得此类评估和/或评估机构提供的相关文件的执行摘要。

资源

适用的 Akamai 服务

Akamai 的 Web 性能和安全服务(在具有增强型 TLS 服务的 Akamai 安全 CDN 上运行时)以及 Akamai Identity Cloud(在医疗服务和保险提供商用于处理个人身份信息时)。

问答

Akamai 最近的 HIPAA 评估是在什么时候进行的?

Akamai 最近对 HIPAA 安全条例合规性的评估由 CFGI 完成。有关更多信息,请联系您的客户团队。

Akamai 是否通过了 HIPAA 认证?

没有通过,原因是不存在此类证书。HIPAA 合规性是一个持续的过程。Akamai 针对 HIPAA 要求进行员工培训,确保他们遵守 HIPAA 相关的政策和流程。

Akamai 是否与客户签署业务合作伙伴协议?

当 Akamai 向合作的机构客户提供服务并传输个人健康信息,从而以“业务合作伙伴”的身份开展合作时,Akamai 将在正常签约流程中签订必要的业务合作伙伴协议。可应要求提供 Akamai 标准业务合作伙伴协议的副本。

Akamai 是否根据 HITRUST CSF 框架接受评估?

Akamai 未根据 HITTRUST CSF 框架接受评估。Akamai 接受由经过认证的独立审核机构执行的年度审核,确保适用于受保护健康信息的服务能够持续遵守 HIPAA 和 HITECH 法规。

返回顶部

 

LGPD(巴西)

 

概述

巴西的 Lei Geral de Proteção de Dados《巴西通用数据保护法》第 13,709/2018 号联邦法律(下称“LGPD”)将于 2020 年 8 月 16 日生效。LGPD 将创建一个新的法律框架,用于管理巴西的私有和公共部门中对在线和离线个人数据的使用。巴西建立了国家数据保护局 (ANPD) 作为监督机构,负责监督和执行 LGPD。

资源

Akamai 合规性

Akamai 服务遵守 LGPD。这意味着,客户不仅可以继续使用 Akamai 服务,还可以将 Akamai 服务作为其 LGPD 合规性策略的关键部分进行部署。LGPD 要求对公司处理的巴西个人数据进行适当、充分的管理和保护。当今世界互联互通,许多 Web 应用程序和网站收集和使用个人数据,这会产生巨大难题。

Akamai 的 Intelligent Edge Platform 可用于帮助客户应对此难题,方法是基于自助数据管理工具、专业安全专家团队、灵活且高质量的流程以及公认的出色技术,可以提供强大的数据管理和安全策略。

下载/链接

隐私信任中心

适用的 Akamai 服务

所有服务均适用。

问答

LGPD 与 GDPR 有何不同?

LGPD 在某些方面与 GDPR 不同。例如,根据 LGPD,处理活动需要满足十项基础法律要求,而对于 GDPR,则为六项。

LGPD 是否规定了最后期限,以遵守数据泄漏通知义务?

LGDP 未规定数据控制者应通知数据泄漏的最后期限。ANPD 规定了此类最后期限。

返回顶部

 

MAS(新加坡)

 

概述

新加坡金融管理局 (MAS) 负责管理新加坡成立的银行业、资本市场、保险和支付行业中的金融机构。其法规不直接适用于 Akamai(作为内容交付和网站安全性服务提供商)。但是,如果 Akamai 受新加坡金融服务客户的委托处理财务数据,则可以将其视为受 MAS 监管的外包服务提供商。针对当地金融机构的 MAS 外包准则,涉及外包举措的风险管理,其中包括:

  • 与新加坡金融管理局合作外包
  • 有关外包举措的风险管理的合理做法
  • 云计算

资源

修订:

Akamai 合规性

根据这些准则,新加坡成立的金融服务提供商使用的 Akamai 服务被视为外包活动。由于 Akamai 服务符合这些准则,因此在新加坡成立的金融服务客户不仅可以继续使用 Akamai 服务,还可以将其作为外包合规性战略的关键组成部分进行部署。

适用的 Akamai 服务

  • 采用增强型 TLS 的安全 CDN 以及相关服务
  • Web 性能产品,例如 Ion(在采用增强型 TLS 的安全 CDN 上运行时)
  • 云安全产品,例如 Kona Site Defender 和 Bot Manager(在采用增强型 TLS 的安全 CDN 上运行时)
  • Prolexic DDoS 缓解服务
  • Akamai Identity Cloud

返回顶部

 

Revised Payment Services Directive PSD2
???Watch the Video???

支付服务指令 (PSD2)

 

概览

欧洲实施的修订后的支付服务指令 (PSD2) 和《开放银行业务》(英国实施的 PSD2)要求金融机构开放支付基础架构,并允许第三方提供商 (TPP) 访问其客户的银行账户数据。监管机构正在推动该计划,以使 TPP 能够向消费者提供支付和账户信息服务,从而促进金融服务的创新、竞争和效率。

资源

Akamai 合规性

Akamai 解决方案通过增强客户体验、应用程序稳定性和安全控制来帮助金融机构遵守 PSD2。Akamai Intelligent Edge Platform 充当 TPP 与金融机构之间的通信渠道。Akamai 安全服务可保护机构的 API 免受未经授权的访问,同时确保仅处理经过身份验证的访问请求。Akamai 通过以下方式帮助实现 PSD2 合规性:

  • 增强客户体验
  • 提供 API 的访问控制和治理
  • 保护 API 免受攻击
  • 提供通用和安全通信 (SSL/TLS)
  • 防止屏幕抓取

下载/链接

Akamai Compliance PSD2 Callout Image
内部 API 和专有应用程序被公共 API 和第三方应用程序所取代,而第三方提供商 (TPP) 成为银行与其客户之间的纽带。
Akamai Compliance PSU Authorization Flow Callout Image
支付服务用户 (PSU)、第三方提供商 (TPP) 和账户服务支付服务提供商 (ASPSP) 之间的授权流程。

适用的 Akamai 服务

Identity Cloud、安全内容交付、Kona Site Defender、Ion、DSA 和 API 网关。

问答

《开放银行业务》与 PSD2 是否相同?

《开放银行业务》是英国实施的 PSD2。它基于英国竞争和市场管理局 (CMA) 于 2016 年 8 月发布的一项裁决,这项裁决要求九家英国最大的银行允许获得许可的初创公司直接访问他们的数据(细至交易帐户交易级别)。另请参阅维基百科

为什么实施的 PSD2 始终是自定义解决方案?

由于每个证书颁发机构信任提供商 (TP) 的独特需求、欧盟国家/地区的特定法律以及依据各个公司政策的内部合规要求,PSD2 将始终采取自定义实施。

返回顶部

 

关键基础架构(德国)

 

概览

从 2017 年 6 月起,针对由德国 BSI(联邦信息安全办公室)实施的德国内容交付网络服务,Akamai 满足了关键基础架构服务提供商的要求。根据基础法规 BSI 法案,Akamai 每两年执行一次第三方审核,以证明其技术和组织措施可以恰当保护其系统并确保其服务的可用性、完整性、真实性以及机密性。

资源

Akamai 评估

Akamai Germany 在 2019 年第一季度完成了审核,而且该审核已被 BSI 接受。这项审核的基础是 Akamai 的 2018 SOC 2 类型 2 报告和 ISO 27002 评估,以及在德国数据中心的三次现场审核。

下载/链接

适用的 Akamai 服务

  • Akamai CDN

问答

Akamai CDN 服务在德国成为关键基础架构服务有多久了?

是从 2017 年 6 月开始的。

Akamai 的安全服务呢?

根据 BSI 法案,安全服务不被视为关键基础架构服务。Akamai 是向其他关键基础架构服务提供商提供分布式拒绝服务 (DDoS) 保护服务的推荐提供商。另请参见合格的 DDoS 缓解服务提供商(德国)

返回顶部

 

CSA STAR 2 级

 

概览

云安全联盟安全信任保证和风险 (STAR) 计划的关键原则是透明公开、严格审核和协调标准。使用 STAR 的公司指明了最佳做法并验证了其云产品的安全状况。

STAR 登记册记录了热门云计算产品提供的安全和隐私控制。这份可公开访问的登记册允许云客户评估安全提供商,帮助做出最佳采购决策。

资源

Akamai 认证

Identity Cloud 获得了云安全联盟 (CSA) 2 级 2 类认证(第三方审核)。

适用的 Akamai 服务

  • Akamai Identity Cloud

日期/期限/审核机构

A-LIGN Assurance 执行 Akamai 的 CSA 2 级 2 类认证。

Akamai 的最新评估涵盖从 2018 年 5 月 1 日到 2019 年 4 月 30 日的整个时间段,有效期截止到 2020 年 5 月 1 日。

问答

如何获取 Akamai 的 CSA 2 级 2 类认证的副本?

您的 Akamai 客户团队可以提供此报告的副本。

返回顶部

 

联邦风险与授权管理计划 (FedRAMP)

 

概览

美国政府合规性计划“联邦风险与授权管理计划”(FedRAMP) 提供了标准化的方法来对云产品和服务进行安全评估、授权和持续监控。

FedRAMP 创建并管理一组核心流程,确保为美国政府实现有效且可重复的云安全性。它建立了一个成熟的市场,以提高云服务的使用率和熟悉度。

资源

Akamai 认证

以基础架构即服务 (IaaS) 提供商的身份,Akamai Intelligent Edge Platform 获得了适用于中等基准的 FedRAMP 联合授权委员会 (JAB) 临时运营授权 (P-ATO)。

下载/链接

适用的 Akamai 服务

  • 用于 HTTP 和 HTTPS 交付(称为 ESSL 和 FreeFlow 网络)及其上运行服务的 Intelligent Edge Platform
  • Fast DNS(带有 DNSSEC)
  • NetStorage
  • 流媒体服务
  • Akamai Control Center
  • Global Traffic Management

日期/期限/审核机构

Akamai 的 FedRAMP 第三方评估机构是 Coalfire Systems, Inc.。

Akamai 自 2013 年 8 月 23 日起就获得了 FedRAMP 授权,并接受年度评估和持续监控以保持合规性。

问答

如何访问 Akamai 的 FedRAMP 文档记录?

客户可从 FedRAMP 市场 网站获取“软件包访问申请表”。

Akamai 的 FedRAMP 影响级别是什么?

Akamai 的 FedRAMP 授权处于中等影响级别。据 FedRAMP 表示,“中等影响”体系包含“近 80% 的 CSP 应用程序,这些应用程序获得了 FedRAMP 授权且最适合 CSO,其中,机密性、完整性和可用性的损失会对机构的运营、资产或个人造成严重的负面影响。严重的负面影响可能包括对机构资产造成的重大运营损害、财务损失或不危及生命或身体的个人伤害。”

目前,Akamai 尚未申请 FedRAMP“高影响”级别的授权。

返回顶部

 

IRAP(澳大利亚)

 

概览

信息安全注册评估机构计划 (IRAP) 是一项澳大利亚国防情报局 (ASD) 计划,旨在向政府提供高质量的信息和通信技术 (ICT) 安全评估服务。ASD 中的澳大利亚网络安全中心 (ACSC) 制作了《澳大利亚政府信息安全手册》(ISM)。ISM 旨在概述网络安全框架,公司可将其用于保护信息和系统免受在线威胁。

ISM 包括 600 多项安全措施,其中定义了 80 多个领域的安全要求,例如:

  • 网络安全事件
  • 系统强化
  • 漏洞管理
  • 补丁
  • 加密
  • 网络设计
  • 应用程序开发

资源

Akamai 合规性

Akamai 由独立审核机构每年评估一次,以确保符合 ISM 中定义的 IRAP 安全控制措施。Akamai 的首次 IRAP 评估是在 2019 年初进行的。评估涉及 Akamai 的生产和公司网络环境,最终的合规性评估报告由 NJOY Security 于 2019 年 4 月 8 日完成。可以提供 Akamai IRAP 安全评估以及 IRAP 官方评估机构提供的相关文件的执行摘要,并且需要遵守保密协议 (NDA) 的规定。

有关更多信息,请联系您的 Akamai 客户团队。

适用的 Akamai 服务

  • 采用增强型 TLS 的安全 CDN 及其上运行的服务
  • Web 性能产品,例如 Ion(在采用增强型 TLS 的安全 CDN 上运行时)
  • Bot Manager Standard 和 Premier
  • 云安全产品,例如 Kona Site Defender 和 Bot Manager(在采用增强型 TLS 的安全 CDN 上运行时)
  • Fast DNS

日期/期限/审核机构

Akamai 的最新评估由 NJOY 于 2019 年 4 月 8 日完成

返回顶部

 

ISO/IEC 27001:2013 和 ISO/IEC 27018:2014

 

概览

ISO/IEC 27001 正式指定了信息安全管理体系 (ISMS),这是一套涉及信息风险管理的议案。ISMS 是一个总体管理框架,公司可借此识别、分析和解决信息风险。ISMS 可以确保安全措施得到优化,确保与安全威胁、漏洞和业务影响的变化保持同步 - 这一点对于该瞬息万变的领域至关重要。

资源

此标准提供的指南旨在确保云服务提供商提供合适的信息安全控制措施来保护委托给他们的个人身份信息 (PII),从而保护其客户的客户端隐私。

在实施基于 ISO/IEC 27001 的云计算信息安全管理体系时,该标准可用作选择 PII 保护控制措施的参考。它还提供了有关实施 PII 保护控制措施的指南。

资源

Akamai 认证

Identity Cloud 于 2019 年 4 月 22 日获得了最新的 ISO 27001 和 27018 认证。

适用的 Akamai 服务

  • Akamai Identity Cloud

日期/期限/审核机构

A-LIGN Assurance 执行 Akamai 的 CSA 2 级 2 类认证。

Akamai 的最新评估涵盖从 2018 年 5 月 1 日到 2019 年 4 月 30 日的整个时间段,有效期截止到 2020 年 5 月 1 日。

问答

Akamai 的 ISO 27001/27018 合规性涵盖哪些区域?

Akamai Identity Cloud 服务的 ISO 27001/27018 认证涵盖除俄罗斯联邦以外的所有全球区域。

如何获取 Akamai ISO 27001 和 27018 认证的副本?

您的客户团队可以向您提供这些认证。

返回顶部

 

PCI DSS 1 级

 

概览

任何存储、处理或传输支付卡数据的企业都需要遵守《支付卡行业数据安全标准》(PCI DSS)。由主要信用卡公司制定的 PCI DSS 定义了相关措施,旨在确保实施有关在线金融交易的数据保护和一致的安全流程和程序。不符合 PCI DSS 法规要求的企业将受到高额罚款和处罚。

由 PCI 安全标准委员会制定,PCI DSS 合规要求包括:

  • 开发并维护涵盖企业各方面的安全策略
  • 安装防火墙以保护数据
  • 对通过公共网络传输的持卡人数据进行加密
  • 使用防病毒软件并定期更新
  • 建立强密码和其他网络安全协议
  • 强制实施严格的访问控件并监控对帐户数据的访问

对于处理大量在线金融交易的大型商家和服务提供商,PCI DSS 合规性通过年度验证强制实施,该验证由独立的合格安全评估机构 (QSA) 执行。

资源

Akamai 认证

Akamai 的合规性认证 (AoC) 可以向我们的客户证明,我们的服务范围符合 PCI DSS v.3.2.1 安全标准。

为了遵守 PCI DSS,Akamai 每季度对安全 CDN 执行第三方外部渗透测试。可以根据保密协议 (NDA) 向客户提供这些季度渗透测试的结果以及合规性文档和/或认证。

下载/链接

适用的 Akamai 服务

  • 采用增强型 TLS 的安全 CDN 及其上运行的服务
  • Web 性能产品,例如 Ion(在采用增强型 TLS 的安全 CDN 上运行时)
  • Bot Manager Premier
  • 云安全产品,例如 Kona Site Defender 和 Bot Manager(在采用增强型 TLS 的安全 CDN 上运行时)
  • mPulse 数字化性能管理服务
  • Enterprise Application Access (EAA),它是 Akamai 的 Zero Trust 企业安全解决方案 (akamai.com/zerotrust) 的核心组件

问答

Akamai 是否通过了 PCI DSS 认证?

是的,Akamai 通过了 PCI DSS 3.2.1 1 级服务提供商认证,这是可以获得的最高评估级别。合规性评估由独立的合格安全评估机构 (QSA) Specialized Security Services, Inc. 执行。可公开获取 PCI DSS 合规性认证责任矩阵

如果我的网站正在使用 Akamai,如何确定它是否符合 PCI DSS?

客户负责管理自己的 PCI DSS 认证,应联系合格的安全评估机构 (QSA) 验证自己的控制措施并获得认证。客户及其 QSA 可依赖 Akamai 的合规性认证,在部分持卡人数据环境中使用 Akamai 的 PCI DSS 合规服务。Akamai 的 PCI DSS 责任矩阵阐明了 Akamai 和我们的客户在每个 PCI DSS 要求方面的责任。您的客户团队可为您提供《PCI DSS 客户配置指南》,其中也提供了更多详细信息。

Akamai 是否被列举在 Visa 全球服务提供商登记册和 MasterCard 合格服务提供商清单中?

是的。Akamai 已列入 Visa 和 MasterCard 提供的清单中。这表明 Akamai 已满足这些大型支付卡公司的所有适用计划要求。

我能否查看 Akamai 季度批准的扫描供应商 (ASV) 漏洞扫描和外部渗透测试的执行摘要?

是的。您的客户团队可以根据标准保密协议 (NDA) 提供此信息。

返回顶部

 

SOC 2 类型 2

 

概览

SOC(服务组织控制)是由美国注册公共会计师协会 (AICPA) 制定的一项安全标准,用于报告与服务组织的安全性、可用性、处理完整性、机密性和隐私直接相关的控制措施。

资源

Akamai 认证

Akamai 接收年度 SOC 2 类型 2 报告,证明我们的安全控制措施在一年中接受了持续审核。

适用的 Akamai 服务

对于以下服务,涵盖了安全性和可用性信任服务原则:

  • 采用增强型 TLS 的安全 CDN 以及相关服务
  • Web 性能产品,例如 Ion(在采用增强型 TLS 的安全 CDN 上运行时)
  • 云安全产品,例如 Kona Site Defender 和 Bot Manager(在采用增强型 TLS 的安全 CDN 上运行时)
  • Prolexic DDoS 缓解服务

对于以下服务,涵盖了所有信任服务原则:

  • Identity Cloud

日期/期限/审核机构

Akamai 的 SOC 2 报告涵盖了安全和可用性信任服务原则,该报告由 Ernst & Young LLP 生成,涵盖了每年 1 月到 9 月的时间段。

Akamai Identity Cloud SOC 2 报告涵盖了全部五项信任服务原则,该报告由 A-LIGN 生成,涵盖了每年 5 月 1 日至 4 月 30 日的时间段。

问答

由谁为 Akamai 的 SOC 2 报告执行独立审核?

Ernst & Young LLP 独立审核 Akamai 的核心内容交付网络解决方案,其中涵盖安全性和可用性信任服务原则。

A-LIGN Assurance 对 Akamai Identity Cloud 执行独立审核,其中涵盖了全部五项信任服务原则。

如何获取 SOC 2 报告的副本?

您的 Akamai 客户团队可以为您提供一份副本。

涵盖哪些区域?

Akamai 的 SOC 2 报告涵盖 Akamai 的整体服务,不局限于特定区域。

Akamai 的 SOC 2 报告涵盖了什么时间段?

Ernst & Young LLP 提交的 Akamai SOC 2 报告涵盖了每年 1 月 1 日至 9 月 30 日的时间段。由 A-LIGN Assurance 发布的 Akamai SOC 2 报告涵盖了每年 5 月 1 日至 4 月 30 日的时间段。

您是否有涵盖了自上个有效时间段以来的时间段的过渡性证明文件?

有关 Ernst & Young LLP 制作的 SOC 2 报告,您的客户团队可以向您提供一份过渡性证明文件,其中涵盖了去年 10 月 1 日至 12 月 31 日的时间段。A-LIGN Assurance 制作的 SOC 2 报告涵盖全年,因此不需要与此报告有关的过渡性证明文件。

Akamai SOC 2 报告的发布频率是怎样的?我何时可以获得新报告?

Ernst & Young LLP 制作的 Akamai SOC 2 报告通常在每年的第四个日历季度发布。

Akamai 是否具有 SOC 2 合规性证书?

没有合规性证书。相反,合格的第三方评估机构会制作有关受评估公司的合规性报告,其中讨论了该公司的体系说明、范围、用于满足常见标准的控制措施说明、证据以及公司说明和证据的适用性。

为什么有两种不同的 Akamai SOC 2 报告?

由于 Akamai Identity Cloud 服务包含在 Akamai对 Janrain, Inc. 的收购中,因此在 2019 年,有两种不同的 SOC 2 类型 2 报告 - Ernst & Young LLP 负责制作涵盖我们核心 CDN 和安全服务的报告;A-LIGN Assurance 则负责制作我们的 Akamai Identity Cloud 报告。

Akamai 是否有 SOC 1 报告?

Akamai 未接受 SOC 1 审核(重点关注财务控制)。由于 Akamai 是一家美国上市公司,我们必须遵守《萨班斯-奥克斯利法案》和其他法规,以公开我们的财务状况。客户和潜在客户可以在我们的投资者关系网站上访问我们的年度财务报表和 10-K 表。

返回顶部

 

CSA STAR 1 级

 

概览

云安全联盟安全信任保证和风险 (STAR) 计划的关键原则是透明公开、严格审核和协调标准。使用 STAR 的公司指明了最佳做法并验证了其云产品的安全状况。

STAR 登记册记录了热门云计算产品提供的安全和隐私控制。这份可公开访问的登记册允许云客户评估安全提供商,帮助做出最佳采购决策。

资源

Akamai 评估

截至 2019 年 7 月,Akamai 提交了一份记录云控制矩阵 (CCM) 合规性的报告作为 CSA STAR 自我评估的一部分,这项服务记录了各种云计算产品提供的安全控制措施,可帮助用户评估云提供商的安全性。

该报告在 STAR 登记册中公开提供。Akamai 致力于促进云服务行业的透明性,并帮助客户了解安全做法。

下载/链接

适用的 Akamai 服务

  • 采用增强型 TLS 的安全 CDN 以及相关服务
  • Web 性能产品,例如 Ion(在采用增强型 TLS 的安全 CDN 上运行时)
  • 云安全产品,例如 Kona Site Defender 和 Bot Manager(在采用增强型 TLS 的安全 CDN 上运行时)

问答

Akamai 的 CSA STAR 自我评估是在什么时候进行的?

Akamai 最新的 CSA STAR 1 级自我评估日期为 2019 年 7 月 2 日。

返回顶部

 

ISO 27002

 

概览

ISO/IEC 27002:2013 是由国际标准化组织 (ISO) 和国际电工委员会 (IEC) 发布的一项信息安全标准,这被称为用于信息安全控制的信息技术 - 安全技术 - 实践准则。

ISO/IEC 27002:2013 提供了有关公司信息安全标准和信息安全管理做法的准则,其中包括选择、实施和管理将公司信息安全风险环境考虑在内的控制措施。

它旨在供计划采取以下行动的组织使用:

  • 在实施基于 ISO/IEC 27001 的信息安全管理体系的过程中选择控制措施
  • 实施普遍接受的信息安全控制措施
  • 制定自己的信息安全管理指南

资源

Akamai 评估

Akamai 每年评估一次是否符合 ISO 27002(其中定义了有关公司信息安全计划的控制措施)。我们最近的 ISO 27002 评估于 2018 年末由 CFGI 完成,报告日期为 2019 年 2 月 28 日。根据与 Akamai 的保密协议 (NDA),向客户和合作伙伴提供该报告的执行摘要。有关更多信息,请联系您的客户团队。

适用的 Akamai 服务

Akamai 的 ISO 27002 评估适用于所有 Akamai 产品和我们的整体信息安全计划。

问答

Akamai 的 ISO 27002 评估是在什么时候进行的?

CFGI 已于 2019 年 2 月 28 日完成 Akamai 的最新 ISO 27002 差距评估。

我能否获得评估的副本?

您的客户团队可以为您提供我们最新的 ISO 27002 评估的执行摘要。

返回顶部

 

NIST

 

概览

美国国家标准与技术研究院 (NIST) 800-53 安全控制措施通常适用于美国联邦信息系统。为了确保信息和信息系统的机密性、完整性和可用性得到充分保护,联邦信息系统通常会执行正式的评估和授权流程。

NIST 网络安全框架 (CSF) 受到全球政府和行业的支持,作为任何公司使用的推荐基准(不考虑行业或规模)。机构现在需要根据网络安全行政命令实施 CSF。

资源

Akamai 评估

Akamai Intelligent Edge Platform 已经过第三方测试的验证,该测试针对的是 NIST 800-53 控制措施及其他 FedRAMP 要求。Akamai 的 NIST 授权处于“中等影响”级别。

有关 FedRAMP 合规性的更多信息,请参阅 Akamai 的 FedRAMP 合规性页面,其中包括相关的 NIST 控制措施。

下载/链接

返回顶部

 

欧盟-美国隐私保护

 

概览

旨在促进欧盟 (EU) 和美国 (U.S.) 之间的个人数据传输,《欧盟-美国隐私保护》是一个管控跨大西洋交换个人数据(用于商业用途)的框架。其目的是确保在美国处理的欧盟公民个人数据受到保护的级别与在欧盟处理的欧盟公民个人数据相同。

资源

Akamai 评估

Akamai 的处理活动获得了《欧盟-美国隐私保护》计划和《瑞士-美国隐私保护》计划的认证。

下载/链接

适用的 Akamai 服务

所有与 Akamai 服务相关的处理活动均在隐私保护认证范围内。Akamai 的内部 HR 处理活动不在涵盖范围之内。

如果客户 HR 数据是客户 We0b 资产的一部分,并且由 Akamai 在 Akamai 服务调配过程中处理,则客户 HR 数据的处理在 Akamai 的隐私保护认证涵盖范围内。此类处理活动与 Akamai 服务有关,不被视为 Akamai 内部 HR 处理活动。

问答

Akamai 认证的期限是多久?

认证周期为一年。Akamai 的隐私保护认证中概述了当前期限。

返回顶部