X
Akamai übernimmt LayerX, um die Kontrolle der KI-Nutzung in jedem Browser durchzusetzen. Weitere Informationen
Akamai
Anmelden
Anmelden Close
Cloud Manager
Verwalten Sie Ihre Cloud-Computing-Dienste
Anmelden Close
Control Center
Verwalten Sie Ihre Sicherheits- und Bereitstellungsdienste

Compliance der Informationssicherheit

Akamai engagiert sich für unsere eigene Sicherheit, die Sicherheit unserer Kunden sowie die Sicherheit von Internet-Endnutzern auf der ganzen Welt. Dies tun wir durch die Einhaltung verschiedener globaler und regionaler Compliance-Programme für Informationssicherheit. Eine Zusammenfassung dieser Programme mit Links zu weiteren Ressourcen finden Sie weiter unten.

Erfahren Sie mehr über das Informationssicherheitsprogramm von Akamai.

Erfahren Sie mehr über den Datenschutz und die Datenschutzprogramme von Akamai.

Global

PCI DSS

Payment Card Industry Data Security Standard

Mehr erfahren

SOC 2

System and Organization Controls 2, Typ 1 und 2

Mehr erfahren

ISO 27001

Internationale Organisation für Normung, Informationssicherheits-Managementsysteme

Mehr erfahren

ISO 27017

Internationale Organisation für Normung, Sicherheitskontrollen bei Public-Cloud-Services

Mehr erfahren

ISO 27018

Internationale Organisation für Normung, Datenschutzkontrollen bei Public-Cloud-Services

Mehr erfahren

ISO 27701

Internationale Organisation für Normung, Datenschutz-Managementsysteme

Mehr erfahren

ProcessUnity Global Risk Exchange (früher CyberGRX)

Risikoaustausch durch Dritte

Mehr erfahren

Regional

FedRAMP

Das Federal Risk and Authorization Management Program, amtliche Zulassung für Anbieter von Clouddiensten in den USA 

Mehr erfahren

HIPAA

Health Insurance Portability and Accountability Act, Geschützte Gesundheitsdaten

Mehr erfahren

Cyber Essentials

Cybersicherheitsstandard des britischen National Cyber Security Centre

Mehr erfahren

BSI

Bundesamt für Sicherheit in der Informationstechnik, zugelassener Anbieter kritischer Infrastruktur (KRITIS), Deutschland

Mehr erfahren
C5

C5

Bescheinigung für betriebliche Cloudsicherheit in Deutschland: Kriterienkatalog C5 Cloud Computing

Mehr erfahren

TISAX

Trusted Information Security Assessment Exchange (TISAX), der von der europäischen Automobilindustrie genutzt wird

Mehr erfahren

IRAP

Infosec Registered Assessors Program, Amtlicher Standard für Informationssicherheit in Australien

Mehr erfahren
Korea Financial Security Institute Compliance Logo

Korea Financial Security Institute

CSP Safety Assessment

Mehr erfahren
Esquema Nacional de Seguridad (Spain)

ENS

Esquema Nacional de Seguridad (Spanien)

Mehr erfahren

PCI DSS Level 1

Überblick

Die PCI-DSS-Compliance (Payment Card Industry Data Security Standard) ist eine Voraussetzung für alle Unternehmen, die Zahlungskartendaten speichern, verarbeiten und übertragen. Der von den wichtigsten Kreditkartenunternehmen entwickelte PCI-DSS-Standard definiert Regeln für die Sicherstellung des Datenschutzes sowie konsistente Sicherheitsprozesse und -verfahren im Zusammenhang mit Online-Finanztransaktionen. Das Regelwerk zur PCI-DSS-Compliance umfasst u. a. folgende, durch das PCI Security Standards Council formulierte Anforderungen:

  • Entwicklung und Durchsetzung einer Sicherheitsrichtlinie, die alle Aspekte des Geschäftsbetriebs abdeckt
  • Installation von Firewalls zum Datenschutz
  • Verschlüsselung von Karteninhaberdaten bei der Übertragung über öffentliche Netzwerke
  • Einsatz von Antivirensoftware und regelmäßige Updates
  • Einrichtung starker Kennwörter und anderer Cybersicherheitsprotokolle
  • Durchsetzung strenger Zugriffskontrollen und Überwachung des Zugriffs auf Kontodaten

Bei großen Handelsunternehmen und Serviceprovidern mit gewaltigen Mengen an Online-Finanztransaktionen wird die PCI-DSS-Compliance durch jährliche Validierungen sichergestellt, die von unabhängigen Sicherheitsgutachtern, den Qualified Security Assessors (QSA), durchgeführt werden. 

Ressourcen

PCI-Sicherheit

Akamai-Zertifizierung

Die Compliance-Bestätigung (Attestation of Compliance, AoC) dient für unsere Kunden als Beleg, dass die entsprechenden Services von Akamai die Anforderungen des Sicherheitsstandards PCI DSS v.4.0 erfüllen.

Zur Gewährleistung der PCI-DSS-Compliance lässt Akamai halbjährlich Penetrationstests der in unserer Bewertung inbegriffenen Systeme durch einen Drittanbieter durchführen. Die Ergebnisse dieser Penetrationstests sowie die Compliance-Dokumentation und/oder -Zertifizierung sind für Kunden im Rahmen einer Geheimhaltungsvereinbarung im Bereich „Download-Center“ des Kundenportals Akamai Control Center verfügbar.

Downloads/Links

Betroffene Akamai-Dienste

  • Sicheres CDN mit erweiterter TLS (das „Sichere CDN“)
  • Content-Delivery-Produkte wie Ion, Dynamic Site Accelerator, API Acceleration und Adaptive Media Delivery, wenn sie auf dem sicheren CDN ausgeführt werden
  • EdgeWorkers bei Ausführung auf dem sicheren CDN
  • Cloudlets
  • mPulse Digital Performance Management Service
  • API Gateway
  • Anwendungs- und API-Sicherheitsprodukte wie App & API Protector, Account Protector (inklusive des Add-ons „Malware Protection“), Kona Site Defender und Bot Manager, wenn sie auf dem sicheren CDN ausgeführt werden
  • App & API Protector Hybrid.
  • API Security (ehemals Noname Security)
  • API Security (ehemals Neosec)
  • Client-Side Protection & Compliance
  • Audience Hijacking Protector
  • Secure Internet Access Enterprise (ehemals Enterprise Threat Protector)
  • Akamai MFA

Fragen und Antworten

Ist Akamai nach PCI DSS zertifiziert?

Ja, Akamai ist als Serviceprovider nach PCI DSS Level 1 zertifiziert, der höchsten verfügbaren Bewertungsebene. Die Compliance-Bestätigung zu PCI DSS und die Zuständigkeitsmatrix sind unter den obenstehenden Links verfügbar.

Wie kann ich beim Einsatz von Akamai auf meiner Website sicherstellen, dass Konformität nach PCI DSS vorhanden ist?

Kunden sind für ihre eigene PCI-DSS-Zertifizierung verantwortlich und sollten einen qualifizierten Sicherheitsbewerter (QSA) beauftragen, um die jeweiligen Kontrollen zu validieren und eine Zertifizierung zu erhalten. Kunden und ihre QSAs können sich bei der Nutzung der PCI-DSS-konformen Services von Akamai auf die Compliance-Bestätigung von Akamai für den entsprechenden Bereich ihrer Umgebung für Karteninhaberdaten verlassen. In der Zuständigkeitsmatrix von Akamai zu PCI DSS (siehe Link oben) werden die Verantwortlichkeiten von Akamai und unseren Kunden in Bezug auf die einzelnen PCI-DSS-Anforderungen erläutert. Unseren PCI DSS Customer Configuration Guide (PCI-DSS-Konfigurationshandbuch für Kunden) mit weiteren Einzelheiten finden Sie im Bereich „Download-Center“ des Kundenportals Akamai Control Center. Ihr Betreuungsteam kann es Ihnen ebenfalls zur Verfügung stellen.

Kann ich eine Zusammenfassung der vierteljährlichen durch genehmigte Scanninganbieter (Approved Scanning Vendor, ASV) bei Akamai durchgeführten Schwachstellen-Scans und externen Penetrationstests einsehen?

Ja. Ihr Betreuungsteam kann Ihnen diese Informationen gemäß der standardmäßigen Vertraulichkeitsvereinbarung (NDA) bereitstellen. Im Bereich „Download-Center“ des Kundenportals Akamai Control Center ist sie ebenfalls verfügbar.

Zurück zum Anfang

SOC 2

Übersicht

SOC (System and Organization Controls) ist ein vom American Institute of Certified Public Accountants (AICPA) festgelegter Sicherheitsstandard. Er umfasst Kontrollen, die sich direkt auf die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Privatsphäre in Serviceunternehmen beziehen.

Ressourcen

AICPA SOC Suite of Services

Akamai-Compliance

Akamai erhält jährlich Berichte zu SOC 2 Typ 2, die belegen, dass unsere Sicherheitskontrollen im Laufe des Jahres kontinuierlich überprüft werden.

Betroffene Akamai-Dienste

Der SOC-2-Typ-2-Hauptbericht von Akamai deckt die Trust-Service-Grundsätze „Sicherheit“ und „Verfügbarkeit“ ab. Folgende Services von Akamai werden in diesem Bericht untersucht:

  • Inhaltsbereitstellungsdienste wie Ion und Dynamic Site Delivery
  • Dienste für die Anwendungs- und API-Sicherheit, einschließlich App & API Protector, Kona Site Defender, Kona DDoS Defender und Web Application Protector
  • Lösungen zum Schutz vor Missbrauch und Betrug, einschließlich Account Protector, Bot Manager und Content Protector
  • DDoS-Abwehrservices von Prolexic
  • Kundenportal Akamai Control Center
  • Edge DNS
  • Global Traffic Management
  • Zusätzliche unterstützende Systeme für das Zugriffs- und Schlüsselmanagement und weitere Infrastruktursysteme

Der Bericht zu SOC 2 Typ 2 von Akamai für Akamai Guardicore Segmentation, API Security (ehemals NeoSec) und API Security (ehemals Noname Security) deckt die Trust-Service-Grundsätze „Sicherheit“, „Verfügbarkeit“ und „Vertraulichkeit“ ab.

Der Bericht zu SOC 2 Typ 2 von Akamai für den Service Akamai Identity Cloud deckt alle fünf Trust-Service-Grundsätze ab.

Mit Berichten zu SOC 2 Typ 1 deckt Akamai zudem die Trust-Service-Grundsätze „Sicherheit“ und „Verfügbarkeit“ in Bezug auf die folgenden Dienste ab:

Cloud-Computing-Services:

  • Computing:
    • Dedicated-CPU-Computing
    • Shared-CPU-Computing
    • High-Memory-Computing
    • GPU-Computing
  • Storage:
    • Object Storage
    • Block Storage
    • Backups
  • Netzwerk:
    • Cloud-Firewalls
    • DDoS-Schutz
    • NodeBalancers
    • Virtuelle Private Cloud (VPC)
    • VLANs
  • Entwicklertools:
    • API
  • Cloud Manager Portal

Sicherheitsservices:

  • Shield NS53
  • Akamai MFA
  • AnswerX Cloud / Managed
  • Secure Internet Access Essentials 1.0

Fragen und Antworten

Wie erhalte ich eine Kopie der SOC 2-Berichte?
Ihr Akamai-Betreuungsteam kann Ihnen Kopien bereitstellen. Im Bereich „Download-Center“ des Kundenportals Akamai Control Center sind die Berichte ebenfalls verfügbar.

Welche Regionen werden abgedeckt?
Die SOC-2-Berichte von Akamai decken die Services von Akamai als Ganzes ab und sind nicht auf bestimmte Regionen beschränkt.

Haben Sie ein Überbrückungsschreiben für die Zeit seit dem letzten abgedeckten Zeitraum?
Ihr Betreuungsteam kann Ihnen ein Überbrückungsschreiben über den Zeitraum seit der letzten Berichtsausgabe zukommen lassen.  

Verfügt Akamai über ein Compliance-Zertifikat zu SOC-2?
SOC 2 bietet kein Compliance-Zertifikat. Stattdessen erstellen qualifizierte Bewertungs-Drittanbieter einen Bericht zur Compliance des bewerteten Unternehmens. Dieser Bericht enthält eine Beschreibung des jeweiligen Systems, seines Umfangs und der Kontrollmechanismen zur Erfüllung der gängigen Kriterien, entsprechende Belege und eine Erörterung, ob die Beschreibungen und Belege des bewerteten Unternehmens angemessen sind. 

Warum gibt es verschiedene SOC-2-Berichte für Akamai?
Akamai bietet jetzt SOC-2-Berichte über die Services Identity Cloud, Akamai Guardicore Segmentation API Security und Cloud-Computing-Services. Diese Services sind das Ergebnis der jüngsten Übernahmen von Akamai. Bis auf weiteres hat sich Akamai dazu entschlossen, diese Berichte getrennt zu halten.

Verfügt Akamai über einen SOC-1-Bericht?
Bei Akamai wird kein SOC-1-Audit durchgeführt. Der SOC-1-Bericht untersucht die internen Kontrollen eines Serviceproviders, die Einfluss auf die Finanzberichterstattung seiner Kunden haben könnten. Die Kunden von Akamai lagern keine Geschäftsprozesse an Akamai aus, die für ihre Finanzberichterstattung wesentlich sind. Daher ist ein SOC-1-Audit für die Services von Akamai nicht relevant.

Zurück zum Anfang

ISO/IEC 27001:2022

Überblick

ISO 27001 ist eine internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie bietet Unternehmen ein Framework für die sichere Verwaltung ihrer sensiblen Informationen und Daten zum Schutz vor unbefugtem Zugriff, Offenlegung, Vernichtung oder Verlust. Der Standard ist risikobasiert und enthält eine Reihe von Best Practices, Kontrollen und Prozessen, mit denen die Informationssicherheit gewährleistet wird. Er wird weltweit verwendet und gilt weithin als Maßstab für das Informationssicherheitsmanagement.

Ressourcen

ISO/IEC 27001:2022

Downloads/Links

Betroffene Akamai-Dienste

  • Ion (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • Dynamic Site Accelerator (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • API Acceleration (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • App & API Protector (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • EdgeWorkers (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • Global Traffic Management Protect & Perform 
  • App & API Protector Hybrid.  
  • Edge DNS 
  • Shield NS53 
  • AnswerX 2.0 
  • Secure Internet Access Enterprise (ehemals Enterprise Threat Protector) 
  • Secure Internet Access IoT Private Access
  • Secure Internet Access Mobile PlatformSecure Internet Access Mobile Private Access
  • Secure Internet Access Mobile Standard
  • Secure Internet Access SMB Cloud Standard 
  • Enterprise Application Access
  • Akamai MFA 
  • Bot Manager 
  • Account Protector 
  • Content Protector 
  • Brand Protector 
  • API Security (ehemals Noname) 
  • Akamai Identity Cloud 
  • Akamai Guardicore Segmentation (ehemals Guardicore Centra) 
  • Prolexic IP Protect 
  • Prolexic Routed Primary Location 
  • Prolexic Routed Additional Location 
  • Portal Akamai Control Center 
  • Die globale Infrastruktur von Akamai
  • Die folgenden Cloud-Computing-Services:
    • Rechenleistung (einschließlich Dedicated-CPU-Tarife, Shared-CPU-Tarife, Premium-CPU-Tarife, High-Memory-Tarife, GPU-Tarife, Linode Kubernetes Service [LKE]) 
    • Speicher (einschließlich Objektspeicher, Blockspeicher, Images, Backups) 
    • Datenbanken (einschließlich verwalteter Datenbanken) 
    • Netzwerke (einschließlich Cloud Firewall, DDoS-Schutz [Distributed Denial of Service], VLANs, NodeBalancer und VPC) 
    • Kostenlose gebündelte Services (einschließlich kostenloser Sicherheits-, Netzwerk-, Wartungs- und Überwachungslösungen) 
    • Entwicklertools (einschließlich APIs [Application Programming Interfaces], Cloud Manager)

Fragen und Antworten

Wie erhalte ich eine Kopie der Anwendbarkeitserklärung von Akamai?

Zusätzlich zu dem oben angegebenen Zertifikat kann Ihr Akamai Account Team Ihnen eine Kopie der zugehörigen Anwendbarkeitserklärung zukommen lassen, die für alle unsere ISO-Zertifizierungen gilt. Im Bereich „Download-Center“ des Kundenportals Akamai Control Center ist sie ebenfalls verfügbar.

Zurück zum Anfang

ISO/IEC 27017:2015

Überblick

ISO/IEC 27017:2015 enthält Richtlinien für Informationssicherheitskontrollen, die für die Bereitstellung und Nutzung von Cloud-Services gelten, indem zusätzliche Implementierungsrichtlinien und Kontrollmechanismen bereitgestellt werden, um die für ISO 27001 verwendeten und speziell auf Cloudservice-Provider und Cloudservice-Kunden zugeschnittenen Richtlinien und Kontrollen zu ergänzen.

Ressourcen

ISO/IEC 27017:2015

Downloads/Links

Betroffene Akamai-Dienste

  • Ion (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • Dynamic Site Accelerator (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • API Acceleration (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • App & API Protector (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • Ion (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • Global Traffic Management Protect & Perform 
  • App & API Protector Hybrid  
  • Edge DNS 
  • Shield NS53 
  • AnswerX 2.0 
  • Secure Internet Access Enterprise (ehemals Enterprise Threat Protector) 
  • Secure Internet Access IoT Private Access
  • Secure Internet Access Mobile Plattform
  • Secure Internet Access Mobile Private Access
  • Secure Internet Access Mobile Standard
  • Secure Internet Access SMB Cloud Standard 
  • Enterprise Application Access
  • Akamai MFA 
  • Bot Manager 
  • Account Protector 
  • Content Protector 
  • Brand Protector 
  • API Security (ehemals Noname) 
  • Akamai Identity Cloud 
  • Akamai Guardicore Segmentation (ehemals Guardicore Centra) 
  • Prolexic IP Protect 
  • Prolexic Routed Primary Location 
  • Prolexic Routed Additional Location 
  • Portal Akamai Control Center 
  • Die globale Infrastruktur von Akamai
  • Die folgenden Cloud-Computing-Services:
    • Rechenleistung (einschließlich Dedicated-CPU-Tarife, Shared-CPU-Tarife, Premium-CPU-Tarife, High-Memory-Tarife, GPU-Tarife, Linode Kubernetes Service [LKE]) 
    • Speicher (einschließlich Objektspeicher, Blockspeicher, Images, Backups) 
    • Datenbanken (einschließlich verwalteter Datenbanken) 
    • Netzwerke (einschließlich Cloud Firewall, DDoS-Schutz (Distributed Denial of Service), VLANs, NodeBalancer und VPC) 
    • Kostenlose gebündelte Services (einschließlich kostenloser Sicherheits-, Netzwerk-, Wartungs- und Überwachungslösungen) 
    • Entwicklertools (einschließlich APIs [Application Programming Interfaces], Cloud Manager)

Fragen und Antworten

Wie erhalte ich eine Kopie der Anwendbarkeitserklärung von Akamai?

Zusätzlich zu dem oben angegebenen Zertifikat kann Ihr Akamai Account Team Ihnen eine Kopie der zugehörigen Anwendbarkeitserklärung zukommen lassen, die für alle unsere ISO-Zertifizierungen gilt. Im Bereich „Download-Center“ des Kundenportals Akamai Control Center ist sie ebenfalls verfügbar.

Zurück zum Anfang

ISO/IEC 27018:2019

Überblick

Dieser Standard bietet Anleitungen, um sicherzustellen, dass Cloud-Serviceprovider geeignete Informationssicherheitskontrollen anbieten, um die Privatsphäre der Kunden ihrer Kunden zu schützen, indem sie die ihnen anvertrauten personenbezogenen Daten (Personally Identifiable Information, PII) schützen.

Der Standard dient als Referenz für die Auswahl von PII-Schutzkontrollen bei der Implementierung eines auf ISO/IEC 27018 basierenden Cloud Computing Information Security Management System. Darüber hinaus sind Empfehlungen zur Implementierung von PII-Schutzkontrollen enthalten.

Ressourcen

ISO/IEC 27018:2019

Downloads/Links

Betroffene Akamai-Dienste

  • Ion (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • Dynamic Site Accelerator (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • API Acceleration (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • App & API Protector (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • Ion (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • Global Traffic Management Protect & Perform 
  • App & API Protector Hybrid  
  • Edge DNS 
  • Shield NS53 
  • AnswerX 2.0 
  • Secure Internet Access Enterprise (ehemals Enterprise Threat Protector) 
  • Secure Internet Access IoT Private Access
  • Secure Internet Access Mobile Plattform
  • Secure Internet Access Mobile Private Access
  • Secure Internet Access Mobile Standard
  • Secure Internet Access SMB Cloud Standard 
  • Enterprise Application Access
  • Akamai MFA 
  • Bot Manager 
  • Account Protector 
  • Content Protector 
  • Brand Protector 
  • API Security (ehemals Noname) 
  • Akamai Identity Cloud 
  • Akamai Guardicore Segmentation (ehemals Guardicore Centra) 
  • Prolexic IP Protect 
  • Prolexic Routed Primary Location 
  • Prolexic Routed Additional Location 
  • Portal Akamai Control Center 
  • Die globale Infrastruktur von Akamai
  • Die folgenden Cloud-Computing-Services:
    • Rechenleistung (einschließlich Dedicated-CPU-Tarife, Shared-CPU-Tarife, Premium-CPU-Tarife, High-Memory-Tarife, GPU-Tarife, Linode Kubernetes Service [LKE]) 
    • Speicher (einschließlich Objektspeicher, Blockspeicher, Images, Backups) 
    • Datenbanken (einschließlich verwalteter Datenbanken) 
    • Netzwerke (einschließlich Cloud Firewall, DDoS-Schutz (Distributed Denial of Service), VLANs, NodeBalancer und VPC) 
    • Kostenlose gebündelte Services (einschließlich kostenloser Sicherheits-, Netzwerk-, Wartungs- und Überwachungslösungen) 
    • Entwicklertools (einschließlich APIs [Application Programming Interfaces], Cloud Manager)

Fragen und Antworten

Wie erhalte ich eine Kopie der Anwendbarkeitserklärung von Akamai?

Zusätzlich zu dem oben angegebenen Zertifikat kann Ihr Akamai Account Team Ihnen eine Kopie der zugehörigen Anwendbarkeitserklärung zukommen lassen, die für alle unsere ISO-Zertifizierungen gilt. Im Bereich „Download-Center“ des Kundenportals Akamai Control Center ist sie ebenfalls verfügbar.

Zurück zum Anfang

ISO 27701:2019

Überblick

ISO/IEC 27701:2019 ist ein von der Internationalen Organisation für Normung (ISO) und der International Electrotechnical Commission (IEC) veröffentlichter Informationssicherheitsstandard. Dieser erweitert das Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 zum erweiterten Schutz der Privatsphäre im Zusammenhang mit der Verarbeitung personenbezogener Daten durch ein Managementsystem für Datenschutzinformationen (Privacy Information Management System, PIMS). Zur Einhaltung von ISO/IEC 27701 sind dokumentierte Nachweise dafür vorzulegen, wie die Verarbeitung personenbezogener Daten als Verarbeiter und/oder als Verantwortlicher gehandhabt wird.

Ressourcen

Downloads/Links

Betroffene Akamai-Dienste

  • Ion (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • Dynamic Site Accelerator (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • API Acceleration (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • App & API Protector (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • Ion (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS) 
  • Global Traffic Management Protect & Perform 
  • App & API Protector Hybrid  
  • Edge DNS 
  • Shield NS53 
  • AnswerX 2.0 
  • Secure Internet Access Enterprise (ehemals Enterprise Threat Protector) 
  • Secure Internet Access IoT Private Access
  • Secure Internet Access Mobile Plattform
  • Secure Internet Access Mobile Private Access
  • Secure Internet Access Mobile Standard
  • Secure Internet Access SMB Cloud Standard 
  • Enterprise Application Access
  • Akamai MFA 
  • Bot Manager 
  • Account Protector 
  • Content Protector 
  • Brand Protector 
  • API Security (ehemals Noname) 
  • Akamai Identity Cloud 
  • Akamai Guardicore Segmentation (ehemals Guardicore Centra) 
  • Prolexic IP Protect 
  • Prolexic Routed Primary Location 
  • Prolexic Routed Additional Location 
  • Portal Akamai Control Center 
  • Die globale Infrastruktur von Akamai
  • Die folgenden Cloud-Computing-Services:
    • Rechenleistung (einschließlich Dedicated-CPU-Tarife, Shared-CPU-Tarife, Premium-CPU-Tarife, High-Memory-Tarife, GPU-Tarife, Linode Kubernetes Service [LKE]) 
    • Speicher (einschließlich Objektspeicher, Blockspeicher, Images, Backups) 
    • Datenbanken (einschließlich verwalteter Datenbanken) 
    • Netzwerke (einschließlich Cloud Firewall, DDoS-Schutz (Distributed Denial of Service), VLANs, NodeBalancer und VPC) 
    • Kostenlose gebündelte Services (einschließlich kostenloser Sicherheits-, Netzwerk-, Wartungs- und Überwachungslösungen) 
    • Entwicklertools (einschließlich APIs [Application Programming Interfaces], Cloud Manager)

Fragen und Antworten

Wie erhalte ich eine Kopie der Anwendbarkeitserklärung von Akamai?

Zusätzlich zu dem oben angegebenen Zertifikat kann Ihr Akamai Account Team Ihnen eine Kopie der zugehörigen Anwendbarkeitserklärung zukommen lassen, die für alle unsere ISO-Zertifizierungen gilt. Im Bereich „Download-Center“ des Kundenportals Akamai Control Center ist sie ebenfalls verfügbar.

Zurück zum Anfang

ProcessUnity Global Risk Exchange (früher CyberGRX)

Überblick

Der ProcessUnity Global Risk Exchange (früher CyberGRX) bietet eine umfassende Sicherheitsbewertung für Unternehmen, die von Dritten validiert und Unternehmen zur Verfügung gestellt wird, um das Sicherheitsrisiko ihrer Anbieter zu bewerten.  

Ressourcen

Globaler Risikoaustausch

Akamai-Zertifizierung

Füllen Sie dieses Formular aus, um auf den ProcessUnity-Bewertungsbericht von Akamai zuzugreifen. 

Downloads/Links

Seite von Akamai für den globalen Risikoaustausch

Zurück zum Anfang

FedRAMP

Übersicht

Ein Compliance-Programm der US-Regierung, das Federal Risk and Authorization Management Program (FedRAMP), bietet einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Services.

Im Rahmen von FedRAMP wurde ein zentraler Satz von Prozessen entwickelt und eingerichtet, um effektive und wiederholbare Cloud-Sicherheit für die US-Regierung zu gewährleisten. Dadurch wurde ein ausgereifter Markt geschaffen, um die Nutzung und Beliebtheit von Cloud-Diensten zu steigern.

Ressourcen

FedRAMP

Akamai-Zertifizierung

Seit 2013 verfügt Akamai über eine provisorische Autorisierung des FedRAMP Joint Authorization Board (JAB) für die Auswirkungsebene „moderat“ für einen Infrastructure-as-a-Service-Anbieter (IaaS).

Downloads/Links

FedRAMP Marketplace-Seite von Akamai

Betroffene Akamai-Dienste

  • Das Content Delivery Network von Akamai für HTTP- und HTTPS-Bereitstellung (ESSL- und FreeFlow-Netzwerke) und darauf ausgeführte Services
  • Web Application Edge Protection wie App & API Protector und Kona Site Defender
  • Edge DNS (mit DNSSEC)
  • NetStorage
  • Medienstreaming-Services
  • Akamai Control Center
  • Global Traffic Management

Fragen und Antworten

Wie kann ich auf die FedRAMP-Dokumentation von Akamai zugreifen?

Kunden können das „Package Access Request Form“ von der FedRAMP-Marketplace-Website abrufen. 

Welche Auswirkungsstufe hat FedRAMP bei Akamai? 

Die FedRAMP-Autorisierung von Akamai erfolgte mit der Auswirkungsebene „moderat“. FedRAMP zufolge umfasst ein System mit moderaten Auswirkungen „fast 80 % der CSP-Anwendungen, die FedRAMP-Autorisierung erhalten, und ist am besten für CSOs geeignet, bei denen der Verlust von Vertraulichkeit, Integrität und Verfügbarkeit schwerwiegende nachteilige Auswirkungen auf die Abläufe, Vermögenswerte oder Einzelpersonen einer Behörde haben würde. Schwerwiegende nachteilige Auswirkungen können erhebliche betriebliche Schäden an den Vermögenswerten der Behörde, finanzielle Verluste oder individuelle Schäden sein, bei denen es sich nicht um Verlust von Leben oder Sachwerten handelt.“

Bisher hat Akamai noch keine FedRAMP-Autorisierung für Auswirkungen auf hoher Ebene beantragt.

Zurück zum Anfang

HIPAA/HITECH

Überblick

Im U.S. Health Insurance Portability and Accountability Act von 1996 (HIPAA) sind die Anforderungen für die Verarbeitung individuell identifizierbarer Gesundheitsinformationen durch Gesundheitsdienstleister und Versicherungsunternehmen festgelegt. 

Im Health Information Technology for Economic and Clinical Health Act von 2009 (HITECH) sind die Zugangsrechte zu Gesundheitsdaten und Mechanismen definiert, mit denen Patienten die Kontrolle über ihre Daten behalten können. Dieses Gesetz erweitert HIPAA, um den Austausch von elektronischen geschützten Gesundheitsinformationen (ePHI) sowie den Umfang von Datenschutz- und Sicherheitsschutzmaßnahmen gemäß HIPAA abzudecken. 

Ressourcen

Akamai-Compliance

Wenn Akamai von seinen Kunden im Gesundheitswesen für die Verarbeitung von Gesundheitsdaten engagiert wird, kann dies als ein Geschäftspartner-Verhältnis angesehen werden. Möglicherweise ist dann eine Geschäftspartner-Vereinbarung zwischen Akamai und dem Kunden im Gesundheitswesen erforderlich. Eine Kopie der standardmäßigen Geschäftspartner-Vereinbarung von Akamai ist auf Anfrage erhältlich.

Akamai unterzieht sich regelmäßigen Bewertungen durch Dritte gemäß der HIPAA-Sicherheitsregel. Diese schreibt vor, dass Geschäftspartner „eine genaue und gründliche Bewertung der potenziellen Risiken und Schwachstellen in Bezug auf die Vertraulichkeit, Integrität und Verfügbarkeit“ von ePHI im Besitz des Geschäftspartners durchführen. Die Zusammenfassung unserer neuesten Bewertung bzw. des zugehörigen Schreibens durch die Gutachter steht Akamai-Kunden und -Partnern unter dem Vorbehalt einer Vertraulichkeitsvereinbarung (NDA) zur Verfügung. 

Downloads/Links

Konformitätserklärung von Akamai zum HIPAA und HITECH Act

Betroffene Akamai-Dienste

  • Sicheres CDN mit erweiterter TLS (sicheres CDN) und den darauf ausgeführten Services
  • Content-Delivery-Produkte wie Ion, API Acceleration und Adaptive Media Delivery, wenn sie auf dem sicheren CDN ausgeführt werden
  • App- und API-Sicherheitsprodukte wie App & API Protector, Account Protector, Kona Site Defender und Bot Manager (Standard und Premier), wenn sie auf dem sicheren CDN ausgeführt werden
  • API Security (ehemals Noname Security)
  • Akamai Guardicore Segmentation
  • Enterprise Application Access
  • Akamai Identity Cloud
  • Akamai Control Center
  • Computing 
    • Dedicated-CPU-Tarife
    • Shared-CPU-Tarife
    • High-Memory-Tarife
    • GPU-Tarife
    • Linode Kubernetes Engine
  • Speicher
    • Object Storage
    • Block Storage
    • Images
    • Backups
  • Netzwerk
    • NodeBalancers
  • Kostenlose gebündelte Cloud-Computing-Services 
    • Kostenlose Sicherheits-, Netzwerk-, Wartungs- und Überwachungslösungen
  • Cloud Manager Portal

Zurück zum Anfang

Cyber Essentials

Überblick

Cyber Essentials ist ein umfassendes und vertrauenswürdiges Zertifizierungssystem, das von der britischen Regierung unterstützt wird und zum Schutz von Unternehmen jeder Größe vor einer Vielzahl häufiger Cyberangriffe entwickelt wurde. Der Standard basiert auf einer Reihe von Best Practices, durch deren Anwendung Unternehmen ihre Cybersicherheit verbessern können.

Mit Cyber Essentials können Unternehmen proaktive Maßnahmen ergreifen, um sich vor solchen Angriffen zu schützen. Durch die Einhaltung verschiedener Richtlinien können Unternehmen die Wahrscheinlichkeit, Opfer von Cyberkriminalität zu werden, erheblich reduzieren. Dazu gehören unter anderem Maßnahmen wie Firewalls, Malware-Schutz und sichere Netzwerkkonfiguration.

Die Cyber-Essentials-Zertifizierung von Akamai umfasst Folgendes:

  1. Standorte von Akamai auf dem Gebiet des Vereinigten Königreichs
  2. Mitarbeiter von Akamai und Geräte, die diese auf dem Gebiet des Vereinigten Königreichs nutzen
  3. Unternehmensservices, die von besagten Mitarbeitern genutzt werden, um Services für das Vereinigte Königreich zu erbringen
  4. Geräte und Workstations auf dem Gebiet des Vereinigten Königreichs, die für die im Vereinigten Königreich erbrachten Leistungen von Akamai genutzt werden

Ressourcen

Akamai-Compliance

Cyber-Essentials-Zertifikat von Akamai

Zurück zum Anfang

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Zugelassener Anbieter kritischer Infrastruktur (KRITIS), Deutschland

Übersicht

Akamai erfüllt seit Juni 2017 die Anforderungen an Serviceprovider für kritische Infrastrukturen für die unternehmenseigenen Content Delivery Network Services in Deutschland, die vom BSI (Bundesamt für Sicherheit in der Informationstechnik) implementiert werden. Gemäß der zugrunde liegenden Gesetzgebung, dem BSI-Gesetz, lässt Akamai alle zwei Jahre ein Audit durch Dritte durchführen, um nachzuweisen, dass das System von Akamai durch angemessene technische und organisatorische Maßnahmen geschützt und bei seinen Services Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gewährleistet sind.

Im Rahmen des Audits stellt Akamai Deutschland dem BSI Nachweise über seine hochmoderne Sicherheit zur Verfügung, die die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit seiner kritischen Systeme gewährleistet. Die Grundlage für diese Audits sind der Bericht von Akamai zu SOC 2 Typ 2, die ISO-27001-Bewertung und mehrere Audits vor Ort durch den Auditor in Rechenzentren in ganz Deutschland.

Neben der Klassifizierung von Akamai als Serviceprovider für kritische Infrastrukturen für seine Content-Delivery-Services hat das BSI mehrere Dienste von Akamai für Anwendungs- und Infrastruktursicherheit auch anderen Serviceprovidern für kritische Infrastrukturen empfohlen.

Ressourcen

Betroffene Akamai-Dienste

Akamai CDN, das alle Content-Delivery-Services von Akamai wie Ion und Dynamic Site Accelerator umfasst.

Zurück zum Anfang

C5 (Deutschland)

Überblick

Das deutsche C5-Programm (Kriterienkatalog Cloud Computing) legt Mindestanforderungen für sicheres Cloud Computing fest und richtet sich in erster Linie an professionelle Cloudanbieter sowie deren Auditoren und Kunden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte 2016 die erste Fassung und 2019 eine komplett überarbeitete Fassung. 

Auf dem Markt und in der EU hat sich C5 als Grundlage für ein kundenspezifisches Risikomanagementsystem im Bereich Cloud-Computing-Services etabliert.

Ressourcen

Betroffene Akamai-Dienste

  • Computing:
    • Dedicated-CPU-Computing
    • Shared-CPU-Computing
    • High-Memory-Computing
    • GPU-Computing
  • Storage:
    • Object Storage
    • Block Storage
    • Backups
  • Netzwerk:
    • Cloud-Firewalls
    • DDoS-Schutz
    • NodeBalancers
  • Entwicklertools:
    • API
  • Cloud Manager

Zurück zum Anfang

TISAX

Überblick

Das TISAX-Programm (Trusted Information Security Assessment Exchange) bietet der europäischen Automobilindustrie und ihren Dienstleistern einen Standard zur Vereinheitlichung der Bewertungen von Informationssicherheitssystemen. Akamai hat diese Bewertung abgeschlossen und steht Kunden über das TISAX-Portal zur Verfügung. 

TISAX, geregelt durch die ENX Association im Auftrag des Deutschen VDA (Verband der Automobilindustrie) bietet ein einheitliches branchenspezifischen Sicherheits-Framework zur Bewertung der Informationssicherheit für die breite Landschaft von Zulieferern, OEMs und Partnern, die zur Lieferkette im Automobilsektor gehören.

Im Rahmen des Prozesses wird die Akamai Technologies GmbH (Garching, Deutschland) auf Bewertungsstufe 2 (Assessment Level, AL2) geprüft, d. h. sie wird anhand der geltenden Ziele bewertet und hat folgende Labels erhalten: Informationen mit hohem Schutz, Datenschutz gemäß Artikel 28 der EU-DSGVO („Auftragsverarbeiter“) und hoher Verfügbarkeit gemäß der Definition von TISAX. 

TISAX-Bewertungen werden von akkreditierten Prüfungsanbietern durchgeführt, deren Qualifikation in regelmäßigen Abständen nachgewiesen wird. TISAX-Ergebnisse können ausschließlich über das ENX-Portal abgerufen werden.

Wenn Sie ein bei ENX registrierter Branchenvertreter sind, finden Sie die Einzelheiten zur TISAX-Bewertung auf dem ENX-Portal.

So greifen Sie auf die Bewertungsergebnisse von Akamai zu:

  • Melden Sie sich bei Ihrem bestehenden TISAX-Konto an und suchen Sie nach Akamai Technologies, Inc.
  • Alternativ können Sie die Suche anhand der folgenden Informationen eingrenzen:

ID der Akamai-Bewertung: ANFKLC-1

ID des Geltungsbereichs der Bewertungsstufe 2 (AL2): SYT6PR

Ressourcen

Zurück zum Anfang

IRAP (Australien)

Überblick

Das australische Infosec Registered Assessors Program (IRAP) bietet Kunden der australischen Regierung eine Validierung, dass angemessene Sicherheitskontrollen gemäß dem Information Security Manual (ISM) der australischen Regierung vorhanden sind. Das ISM skizziert ein Cybersicherheits-Framework, das Unternehmen anwenden können, um ihre Daten und Systeme vor Onlinebedrohungen zu schützen.

Das ISM umfasst mehr als 870 Sicherheitskontrollen, die Sicherheitsanforderungen in mehr als 80 Bereichen definieren, z. B.:

  • Cybersicherheitsvorfälle
  • Systemhärtung
  • Sicherheitsmanagement
  • Patching
  • Kryptografie
  • Netzwerkdesign
  • Anwendungsentwicklung

Ressourcen

Akamai-Compliance

Akamai wird alle zwei Jahre von einem unabhängigen Prüfer auf die Einhaltung der im ISM definierten IRAP-Sicherheitskontrollen bewertet. Die Bewertung umfasst sowohl die Produktions- als auch die Unternehmensnetzwerkumgebungen von Akamai. Akamai wurde auf der IRAP-Stufe „Geschützt“ geprüft. Ein Schreiben, in dem die Fertigstellung der Bewertung durch den offizielle IRAP-Prüfer bestätigt wird, liegt vorbehaltlich der Geheimhaltungsvereinbarung (NDA) vor.

Weitere Informationen erhalten Sie bei Ihrem Betreuungsteam von Akamai.

Betroffene Akamai-Dienste

  • Sicheres CDN mit erweitertem TLS und den darauf ausgeführten Services
  • Edge-Bereitstellungsprodukte wie Ion und Dynamic Site Accelerator, wenn sie auf dem sicheren CDN mit erweiterter TLS ausgeführt werden
  • Bot Manager
  • App- und API-Sicherheitsprodukte wie App & API Protector, Kona Site Defender, Web Application Protector, und Bot Manager, wenn sie auf dem sicheren CDN mit erweiterter TLS ausgeführt werden
  • Edge DNS
  • Global Traffic Manager

Zurück zum Anfang

CSP Safety Assessment durch das Korea Financial Security Institute (Korea)

Überblick

Das Korea Financial Security Institute (K-FSI) führt die CSP Safety Assessment durch, um die Einhaltung der Regulation on Supervision of Electronic Financial Transactions zu gewährleisten. Diese Bewertung ist eine zwingende Voraussetzung, damit Finanzinstitute in Korea Cloudlösungen verwenden können. Die Bewertung bewertet die Sicherheit und Zuverlässigkeit von Clouddiensten und ermöglicht es Finanzinstituten, die regulatorischen Standards zu erfüllen.

Akamai hat die CSP Safety Assessment 2024 abgeschlossen und die unten aufgeführten Dienste für koreanische Finanzdienstleister verfügbar gemacht. 

Ressourcen

Betroffene Akamai-Dienste

  • Sicheres CDN mit erweiterter TLS 
  • Edge-Bereitstellungsprodukte wie Ion und Dynamic Site Accelerator, wenn sie auf dem sicheren CDN mit erweiterter TLS ausgeführt werden
  • App- und API-Sicherheitsprodukte wie App & API Protector und Bot Manager, wenn sie auf dem sicheren CDN mit erweiterter TLS ausgeführt werden
  • Edge DNS

Zurück zum Anfang

Esquema Nacional de Seguridad (ENS) (Spanien)

Überblick

Der Esquema Nacional de Seguridad (ENS), oder das Nationale Sicherheitsframework Spaniens, ist ein verpflichtendes Rahmenwerk, das durch das königliche Dekret 311/2022 reguliert wird. Damit werden Sicherheitsstandards für die digitale Infrastruktur von Unternehmen im spanischen öffentlichen Sektor und für Unternehmen, die öffentliche Informationen verwalten, festgelegt.

Das Framework legt zentrale Richtlinien und obligatorische Anforderungen fest, die sowohl Regierungsbehörden als auch ihre Dienstleister erfüllen müssen. Es definiert eine Reihe von Sicherheitskontrollen in Bezug auf Verfügbarkeit, Authentizität, Integrität, Vertraulichkeit und Rückverfolgbarkeit. Die Sensibilität der Informationen – niedrig, mittel oder hoch – bestimmt die Sicherheitsmaßnahmen, die zum Schutz der Informationen angewendet werden müssen.

Akamai hat die ENS-Anforderungen erfüllt, die betreffende Dienste auf der Stufe „hoch“ erfüllen müssen.

Ressourcen

Betroffene Akamai-Dienste

  • Ion (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • Dynamic Site Accelerator (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • Kona Site Defender (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • App & API Protector (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)

Downloads/Links

Zurück zum Anfang