SOC(服务机构控制)2 是针对服务机构的安全标准。它将安全运营的目标分成称为信任原则的五个不同类别,具体为

  1. 安全性
  2. 可用性
  3. 处理完整性
  4. 机密性
  5. 隐私
可以根据一个或多个信任原则对服务机构进行评估。

Akamai 的 SOC 2 报告介绍了安全性和可用性信任原则。

不需要使用合规证书,而是由具有相关资质的第三方评估机构为接受评估的组织出具合规报告、讨论接受评估的组织的系统描述、范围、关于满足通用标准的控制措施描述、证据以及组织描述和证据的适用性。报告通过下列两种格式之一提供:

类型 1:评估单一时间点的证据,证明如果控制措施按预期运行,则评估组织将符合其目标;以及
类型 2:在更大的时间跨度(通常为 6 个月到 1 年)内评估证据,证明接受评估的组织始终符合其目标。

我们的 SOC 2 报告涵盖了 Secure CDN(即 ESSL)及其上面运行的应用程序(例如 Kona)(与 PCI DSS 类似)、Prolexic 产品和关键平台基础设施(例如 Authgate、KMI、Auditserver、Sentry、Forcefield 和元数据系统)的增强型 TLS 服务。

Ernst & Young (EY) 完成了 Akamai 的 2017 SOC 2 类型 2 报告,它包含以下四个部分:
  • 审计员报告
  • Akamai 管理认定
  • 关于 Akamai 覆盖系统的安全性和可用性描述
  • 关于通用标准、控制措施、测试和测试结果的描述
在完成审计后,EY 得出以下关于我们的安全控制措施的无保留意见:

我们认为,在所有重要方面,基于描述标准和适用的信任服务标准:
  1. “描述”公正地展示了 2017 年 1 月 1 日至 2017 年 9 月 30 日期间设计并实施的 Akamai 覆盖系统。
  2. “描述”中所述的控制措施设计合理,可以合理地保证:如果控制措施有效运行并且用户实体在 2017 年 1 月 1 日至 2017 年 9 月 30 日期间应用了 Akamai 控制措施设计中假设的控制措施,则表示满足适用的信任服务标准。
  3. 有效运行的控制措施可以合理地保证:在 2017 年 1 月 1 日至 2017 年 9 月 30 日期间,如果 Akamai 控制措施设计中假设的用户实体控制措施在 2017 年 1 月 1 日至 2017 年 9 月 30 日期间进行了有效运行,则表示满足适用的信任服务标准。
如果客户和合作伙伴与 Akamai 签署保密协议 (NDA),我们可以向其提供该文档。有关更多信息,请联系您的客户团队。

请注意,Akamai 不会进行 SOC 1(一项专注于财务控制措施的审计)评估;由于 Akamai 是一家美国上市公司,我们受《萨班斯-奥克斯利法案》和其他法规的约束,这让我们的财务状况非常透明。客户和潜在客户可以在我们的投资者关系页面上访问我们的年度财务报表和 10-K 表格。