Compliance

Programas de cumplimiento de Akamai

Obtenga más información sobre cómo los productos y servicios de Akamai cumplen las leyes, las normativas, las certificaciones y los marcos de privacidad.

Centro de confianza de privacidad

Alineaciones, marcos y autoevaluaciones

Las alineaciones y marcos de cumplimiento incluyen requisitos de seguridad o cumplimiento publicados para un propósito específico, como un sector o función específicos. Akamai proporciona funciones como características de seguridad y documentos para estos tipos de programas. Los requisitos en relación con las alineaciones y los marcos específicos pueden no estar sujetos a certificación o declaración.

Centro de confianza de privacidad

Ley de Privacidad del Consumidor de California (CCPA)

 

Descripción general

La Ley de Privacidad del Consumidor de California de 2018 es una ley del Estado de California cuyo objetivo es mejorar los derechos de privacidad y la protección del consumidor para los residentes de este estado de EE. UU.

A partir del 1 de enero de 2020, la mayoría de las empresas u organizaciones de gran tamaño que operan en California deben cumplir la nueva y estricta legislación de privacidad del estado, que establece un derecho legal y aplicable de privacidad para todos los residentes de California. Las nuevas normativas no son solo para empresas con sede en California; se aplican a todas las empresas con actividad comercial en el estado, independientemente de la ubicación de la constitución de la organización.

Cumplimiento de Akamai

Dentro del ámbito de la CCPA, Akamai actúa como proveedor de servicios para nuestros clientes. En última instancia, los clientes son los responsables de la observación de las obligaciones de la CCPA asociadas a sus activos de Internet que utilizan los servicios de Akamai.

Todos los servicios de Akamai cumplen con la CCPA. Esto significa que no solo los clientes pueden seguir utilizando sus servicios actuales de Akamai, sino que también pueden implementar servicios como Akamai Identity Cloud como parte clave de su estrategia de cumplimiento de la CCPA.

La CCPA se encarga de regular que todos los datos personales de clientes de California se procesen a través de una organización que los gestione y proteja de manera suficiente y adecuada. En un mundo interconectado en el que muchas aplicaciones y sitios web recopilan y utilizan datos personales, esto puede suponer un gran reto. Akamai Intelligent Edge Platform puede utilizarse para ayudar a los clientes a hacer frente a este desafío. Ofrece capacidades de seguridad y gestión de datos sólidas basadas en una herramienta de gestión de datos de autoservicio, un equipo de profesionales de seguridad cualificado, procesos flexibles y de alta calidad, y una reconocida tecnología de vanguardia.

Recursos de CCPA

Servicios de Akamai aplicables

Todos los servicios de Akamai son aplicables.

Volver al principio

 

Leyes de privacidad electrónica

 

Descripción general

Las leyes de privacidad electrónica son una importante herramienta legal para garantizar el derecho a la privacidad en el marketing y las comunicaciones electrónicas. La directiva actual 2009/136/CE se ha implantado en las leyes locales de la mayoría de los estados miembros de la UE.

La Directiva de privacidad electrónica está dirigida a los proveedores de servicios de telecomunicaciones y comprende los siguientes elementos:

  • Seguridad de redes y servicios
  • Confidencialidad de las comunicaciones
  • Acceso a los datos almacenados en los dispositivos de terminal
  • Procesamiento de datos de tráfico y ubicación
  • Identificación de la línea de llamada
  • Directorios de suscriptores públicos
  • Comunicaciones comerciales no solicitadas ("spam")
  • Uso de cookies

Los principales cambios en la directiva actual 2009/136/CE en comparación con la versión de 2002 han sido la introducción de un requisito de notificación de filtración de datos para los proveedores de servicios de telecomunicaciones y el requisito de consentimiento para el uso de cookies.

La Directiva de privacidad electrónica se encuentra actualmente bajo revisión por parte de los organismos europeos con el objetivo de convertirse en una normativa que prevalezca sobre el RGPD, más general, en lo que respecta a los datos personales en la comunicación electrónica. La diferencia con la Directiva existente es que el ámbito del Reglamento sobre privacidad electrónica se amplía para abarcar también a los proveedores de servicios de comunicaciones OTT.

Cumplimiento de Akamai

Akamai ha garantizado el cumplimiento de los diversos requisitos de la directiva 2009/136/CE y sus implementaciones locales, tales como banners de cookies en sus sitios web, mecanismos de exclusión de las cookies utilizadas al prestar los servicios y el desempeño de las actividades de marketing de conformidad con los requisitos de privacidad electrónica.

Servicios de Akamai aplicables

Todas las soluciones de seguridad de Akamai, incluidas las soluciones de análisis web y móvil (mPulse, CloudTest), son aplicables.

Preguntas y respuestas

¿El servicio mPulse de Akamai cumple con las leyes de privacidad electrónica?

Sí. Todos los servicios de Akamai cumplen con las leyes de privacidad electrónica. Para mPulse, lea el white paper “mPulse - Cumplimiento de las leyes de protección de datos”.

Volver al principio 

Akamai and the GDPR Thumbnail
???Watch the Video???

Reglamento General de Protección de Datos (RGPD)

 

Descripción general

El Reglamento General de Protección de Datos (RGPD), en vigor desde el 25 de mayo de 2018, es la ley actual de protección de datos de la Unión Europea (UE) y tiene el objetivo de armonizar las leyes a nivel estatal de toda Europa en este ámbito. Desde su concepción, la ley ha llevado a las organizaciones a reforzar las políticas de privacidad y ha establecido prácticas recomendadas de protección de datos en todo el mundo.

El RGPD requiere que las organizaciones gestionen y protejan toda operación que implique el procesamiento de datos personales de la UE para evitar el acceso no autorizado. El incumplimiento del RGPD puede dar lugar a multas que afecten materialmente a una organización.

Reglamento General de Protección de Datos de la UE

Cumplimiento de Akamai

Los servicios de Akamai cumplen con el RGPD. Esto significa que no solo los clientes pueden seguir utilizando Akamai, sino que también pueden implementar los servicios de Akamai como una parte clave de su estrategia de cumplimiento en relación con el RGPD. El RGPD se encarga de regular que todos los datos personales procedentes de la UE se procesen a través de una organización que los gestione y proteja de manera suficiente y adecuada. En un mundo interconectado en el que muchas aplicaciones y sitios web recopilan y utilizan datos personales, esto puede suponer un gran reto. Akamai Intelligent Edge Platform puede utilizarse para ayudar a los clientes a hacer frente a este desafío. Ofrece una estrategia de seguridad y gestión de datos sólida basada en una herramienta de gestión de datos de autoservicio, un equipo de profesionales de seguridad expertos, procesos flexibles y de alta calidad, y una reconocida tecnología de vanguardia.

GDPR
Arquitectura de referencia de Akamai Identity Cloud.

Akamai describe las actividades de procesamiento durante su prestación de servicios en el documento "Actividades y función de procesamiento de datos personales de Akamai".

Además, Akamai solicita a los clientes que acepten un acuerdo de procesamiento de datos para garantizar que el cliente y Akamai cumplen con el artículo 28 del RGPD en materia de procesamiento de datos personales durante la prestación de servicios de Akamai.

Servicios de Akamai aplicables

Todos los servicios de Akamai son aplicables.

Preguntas y respuestas

¿El servicio mPulse de Akamai cumple con las disposiciones del RGPD?

Sí. Todos los servicios de Akamai cumplen con las disposiciones del RGPD. Para mPulse, lea el white paper "mPulse - Cumplimiento de las leyes de protección de datos de la UE".

Volver al principio

 

HIPAA / HITECH

 

Descripción general

La Ley Estadounidense de Transferibilidad y Responsabilidad del Seguro Sanitario (HIPAA) de 1996 establece los requisitos para el procesamiento de información personal identificable por parte de los proveedores de servicios sanitarios y seguros.

La Ley de Tecnología de la Información de Salud Clínica y Económica (HITECH) de 2009 define los derechos de acceso a los datos sanitarios y a los mecanismos para que los pacientes mantengan el control de sus datos. Amplía el intercambio de información sanitaria electrónica protegida, así como el alcance de las protecciones de privacidad y seguridad conforme a la HIPAA.

Recursos

Cumplimiento de Akamai

Ni la ley HIPAA ni la ley HITECH se aplican directamente a Akamai como proveedor de servicios de distribución de contenido y seguridad web. No obstante, cuando Akamai es contratado por clientes del ámbito sanitario para procesar datos de asistencia sanitaria, se le puede considerar como asociado empresarial y puede que sea necesario un acuerdo de socio comercial entre Akamai y el cliente de asistencia sanitaria. Previa solicitud, hay disponible una copia del acuerdo estándar de asociación empresarial de Akamai.

Para garantizar el cumplimiento de la norma de seguridad HIPAA, Akamai realiza una evaluación anual. El resumen ejecutivo de dicha evaluación o el documento relacionado por parte de los evaluadores está disponible para los clientes y partners de Akamai sujetos a un acuerdo de confidencialidad (NDA).

Recursos

Servicios de Akamai aplicables

Servicios de seguridad y rendimiento web de Akamai, si se ejecutan en Secure CDN de Akamai con Enhanced TLS y Akamai Identity Cloud; todo ello si lo utilizan proveedores de servicios sanitarios y seguros para procesar información personal identificable.

Preguntas y respuestas

¿Cuándo fue la evaluación HIPAA más reciente de Akamai?

La evaluación más reciente de Akamai en relación con el cumplimiento de la norma de seguridad HIPAA la realizó el CFGI. Póngase en contacto con su equipo de cuentas para obtener más información.

¿Cuenta Akamai con certificación HIPAA?

No. No existe una certificación como tal. El cumplimiento de la normativa HIPAAA es un proceso continuo. Akamai forma a sus empleados en función de los requisitos de la HIPAA y se asegura de que siguen las políticas y los procedimientos relacionados con esta.

¿Firma Akamai acuerdos de socio comercial con los clientes?

En la medida en que Akamai transmite información sanitaria personal durante la prestación de sus servicios a sus clientes de entidades cubiertas de forma que ejerza como "asociado empresarial", Akamai firmará el acuerdo de socio comercial pertinente como parte de su proceso de contratación habitual. Previa solicitud, hay disponible una copia del acuerdo estándar de asociación empresarial de Akamai.

¿Se evalúa Akamai según el marco de trabajo CSF de HITRUST?

Akamai no se evalúa según el marco de trabajo CSF de HITRUST. Akamai se somete a auditorías anuales realizadas por auditores independientes acreditados para garantizar el cumplimiento continuado de las normas HIPAA y HITECH para los servicios identificados como apropiados para su uso con información sanitaria protegida.

Volver al principio

 

LGPD (Brasil)

 

Descripción general

La Lei Geral de Proteção de Dados, es decir, la Ley General de Protección de Datos de Brasil, legislación federal n.º 13,709/2018 (“LGPD”) entrará en vigor el 16 de agosto de 2020. La LGPD crea un nuevo marco legal para el uso de datos personales en Brasil, tanto online como offline, en los sectores privado y público. Se ha creado la Autoridad Nacional de Protección de Datos (ANPD) como autoridad de supervisión, la cual se hará cargo de la supervisión y aplicación de la LGPD.

Recursos

Cumplimiento de Akamai

Los servicios de Akamai cumplen con la LGPD. Esto significa que no solo los clientes pueden seguir utilizando los servicios de Akamai, sino que también pueden implementar los servicios de Akamai como parte clave de su estrategia de cumplimiento de la LGPD. La LGPD se encarga de regular que todos los datos personales procedentes de Brasil se procesen a través de una organización que los gestione y proteja de manera suficiente y adecuada. En un mundo interconectado en el que muchas aplicaciones y sitios web recopilan y utilizan datos personales, esto puede suponer un gran reto.

Akamai Intelligent Edge Platform se puede emplear para ayudar a los clientes a superar este reto gracias a una estrategia de seguridad y una gestión de datos sólidas basadas en una herramienta de gestión de datos de autoservicio, un equipo de profesionales de seguridad expertos, procesos flexibles y de alta calidad, y una reconocida tecnología de vanguardia.

Descargas / Vínculos

Centro de confianza de privacidad

Servicios de Akamai aplicables

Todos los servicios son aplicables.

Preguntas y respuestas

¿En qué se diferencia la LGPD del RGPD?

La LGPD difiere del RGPD en algunos aspectos. Por ejemplo, bajo la LGPD, hay diez bases legales para satisfacer la actividad de procesamiento, en comparación con las seis bases legales establecidas en el RGPD.

¿Existe un plazo de tiempo para que la LGPD cumpla la obligación de notificación de filtración de datos?

La LGDP no establece un plazo para que el controlador de datos notifique las filtraciones de datos. El ANPD debe establecer tal fecha límite.

Volver al principio

 

MAS (Singapur)

 

Descripción general

La Autoridad Monetaria de Singapur (MAS) regula las instituciones financieras de los sectores de banca, mercados de capitales, seguros y pagos constituidos en Singapur. Ninguna de sus normativas se aplica directamente a Akamai como proveedor de servicios de distribución de contenido y seguridad web. No obstante, cuando Akamai es contratado por clientes de servicios financieros de Singapur para procesar datos de financieros, se le puede considerar como proveedor de servicios de externalización, regulado por la MAS. Las directrices de externalización de la MAS para las instituciones financieras locales sobre la gestión de riesgos de los acuerdos de externalización cubren, entre otros, los siguientes aspectos:

  • Compromiso con MAS en materia de externalización
  • Prácticas sólidas sobre la gestión de riesgos de los acuerdos de externalización
  • Cloud computing

Recursos

Modificaciones:

Cumplimiento de Akamai

Los servicios de Akamai utilizados por proveedores de servicios financieros constituidos en Singapur se consideran actividades subcontratadas según estas directrices. Puesto que los servicios de Akamai cumplen las directrices, los clientes de servicios financieros constituidos en Singapur no solo pueden seguir utilizando los servicios de Akamai, sino que también pueden implementarlos como parte clave de su estrategia de cumplimiento en materia de externalización.

Servicios de Akamai aplicables

  • Secure CDN con Enhanced TLS y servicios relacionados
  • Productos de rendimiento web como Ion, cuando se ejecutan en Secure CDN con Enhanced TLS
  • Productos de seguridad en la nube, como Kona Site Defender y Bot Manager cuando se ejecutan en Secure CDN con Enhanced TLS
  • Prolexic DDoS Mitigation Services
  • Akamai Identity Cloud

Volver al principio

 

Revised Payment Services Directive PSD2
???Watch the Video???

Directiva de servicios de pago (PSD2)

 

Descripción general

En la versión revisada de la directiva de servicios de pago (PSD2) por la UE y Banca abierta, implementación en el Reino Unido de PSD2, se exige que las instituciones financieras abran su infraestructura de pagos para que los proveedores externos puedan acceder a los datos de las cuentas bancarias de sus clientes. Los organismos normativos están impulsando esta iniciativa para facilitar la innovación, la competencia y la eficiencia en los servicios financieros, al permitir a los proveedores externos proporcionar servicios de pago y de información de cuentas a los consumidores.

Recursos

Cumplimiento de Akamai

Las soluciones de Akamai ayudan a las instituciones financieras a cumplir con la directiva PSD2, al mejorar las experiencias de los clientes, la estabilidad de las aplicaciones y los controles de seguridad. Akamai Intelligent Edge Platform actúa como conducto para la comunicación entre los proveedores externos y la institución financiera. Los servicios de seguridad de Akamai protegen las API de la institución del acceso no autorizado y garantizan que solo se procesen las solicitudes de acceso autenticadas. Akamai ayuda con el cumplimiento de PSD2 mediante las siguientes prestaciones:

  • Mejora de la experiencia del cliente
  • Control de acceso y gestión de API
  • Protección de las API contra ataques
  • Comunicación común y segura (SSL/TLS)
  • Prevención de captura de datos de pantallas

Descargas / Vínculos

Akamai Compliance PSD2 Callout Image
Las API internas y las aplicaciones propias se sustituyen por API públicas y aplicaciones de terceros cuando los proveedores externos actúan entre un banco y sus clientes.
Akamai Compliance PSU Authorization Flow Callout Image
Flujo de autorización entre el usuario de servicios de pago (PSU), el proveedor externo (TPP) y el proveedor de servicios de pago para servicios de cuenta (ASPSP).

Servicios de Akamai aplicables

Identity Cloud, Secure Content Delivery, Kona Site Defender, Ion, DSA y API Gateway.

Preguntas y respuestas

¿Es Banca abierta lo mismo que PSD2?

Banca abierta es la implementación de PSD2 en el Reino Unido. Se basa en una decisión, emitida en agosto de 2016 por la Autoridad de la Competencia y Mercados (CMA) del Reino Unido, que exigía a los nueve principales bancos británicos que permitieran a las startups con licencia el acceso directo a sus datos hasta el nivel de transacciones de cuentas. Consulte también la Wikipedia.

¿Por qué la implementación de PSD2 es siempre una solución personalizada?

PSD2 será siempre una implementación personalizada debido a las necesidades exclusivas de cada proveedor de confianza (TP) de la autoridad emisora de certificados, a la legislación específica de los países de la UE y a los requisitos de cumplimiento interno de acuerdo con las políticas de cada empresa.

Volver al principio

 

Infraestructura crítica (Alemania)

 

Descripción general

Desde junio de 2017, Akamai cumple los requisitos estipulados para los proveedores de servicios de infraestructuras críticas en relación con sus servicios de red de distribución de contenido en Alemania, los cuales han sido implementados por la Oficina Federal de Seguridad de la Información (BSI) alemana. De acuerdo con la legislación subyacente, la Ley BSI destinada a reforzar la seguridad de la tecnología de la información, Akamai lleva a cabo una auditoría de terceros cada dos años para demostrar que sus medidas técnicas y organizativas protegen adecuadamente su sistema y garantizan la disponibilidad, integridad, autenticidad y confidencialidad de sus servicios.

Recursos

Evaluación de Akamai

En el primer trimestre de 2019, la oficina de Alemania de Akamai llevó a cabo una auditoría, que fue aceptada por la BSI. La auditoría se basó en el informe de SOC 2 tipo 2 de 2018 de Akamai y la evaluación ISO 27002, así como en tres auditorías in situ en centros de datos de Alemania.

Descargas / Vínculos

Servicios de Akamai aplicables

  • CDN de Akamai

Preguntas y respuestas

¿Durante cuánto tiempo han sido servicios de infraestructura críticos en Alemania los servicios CDN de Akamai?

Desde junio de 2017.

¿Qué ocurre con los servicios de seguridad de Akamai?

Según la ley BSI, los servicios de seguridad no se consideran servicios de infraestructura críticos. Akamai es un proveedor recomendado de servicios de protección frente a ataques distribuidos de denegación de servicio (DDoS) para otros proveedores de servicios de infraestructura críticos. Consulte también Proveedores de servicios de mitigación de ataques DDoS cualificados (alemán).

Volver al principio

 

Nivel 2 de CSA STAR

 

Descripción general

El programa de riesgo y garantía de la confianza de seguridad de Cloud Security Alliance (STAR) abarca principios fundamentales de transparencia, rigurosa auditoría y armonización de normativas. El uso de un certificado STAR indica que la empresa sigue las prácticas recomendadas, además de validar la estrategia de seguridad de sus ofertas en la nube.

El registro de STAR documenta los controles de privacidad y seguridad proporcionados por ofertas populares de cloud computing. Este registro es de acceso público y permite a los clientes de la nube evaluar a sus proveedores de seguridad con el objetivo de tomar las mejores decisiones de adquisición.

Recursos

Certificación de Akamai

Identity Cloud obtuvo la certificación Cloud Security Alliance (CSA) de nivel 2, tipo 2 (auditoría de terceros).

Servicios de Akamai aplicables

  • Akamai Identity Cloud

Fechas / Duración / Auditor

A-LIGN Assurance lleva a cabo la certificación Cloud Security Alliance (CSA) de nivel 2, tipo 2, de Akamai.

La última evaluación de Akamai cubre el periodo del 1 de mayo de 2018 al 30 de abril de 2019 y es válida hasta el 1 de mayo de 2020.

Preguntas y respuestas

¿Cómo puedo obtener una copia de la certificación CSA de nivel 2, tipo 2, de Akamai?

Su equipo de cuentas de Akamai puede proporcionarle una copia de este informe.

Volver al principio

 

Programa Federal de Gestión de Autorizaciones y Riesgo (FedRAMP)

 

Descripción general

Un programa de cumplimiento de normativas del gobierno de EE. UU., el Programa Federal de Gestión de Autorizaciones y Riesgo (FedRAMP), ofrece un enfoque armonizado para la evaluación de la seguridad, la autorización y la supervisión continua de productos y servicios en la nube.

FedRAMP ha creado un conjunto esencial de procesos para garantizar una seguridad en la nube eficaz y reproducible para el gobierno de EE. UU y se encarga de gestionarlo. Logró establecer un mercado sólido para aumentar la utilización y la familiaridad con los servicios en la nube.

Recursos

Certificación de Akamai

Akamai Intelligent Edge Platform dispone de una autorización provisional para operar (P-ATO) de la junta de autorización conjunta (JAB) de FedRAMP para un nivel moderado, como proveedor de infraestructura como servicio (IaaS).

Descargas / Vínculos

Servicios de Akamai aplicables

  • Intelligent Edge Platform para distribución HTTP y HTTPS (conocidos como ESSL y FreeFlow Networks) y los servicios que se ejecutan en ellas
  • Fast DNS (con DNSSEC)
  • NetStorage
  • Servicios de streaming multimedia
  • Akamai Control Center
  • Global Traffic Management

Fechas / Duración / Auditor

El evaluador externo de Akamai para FedRAMP es Coalfire Systems, Inc.

Akamai cuenta con la autorización de FedRAMP desde el 23 de agosto de 2013. Se somete a evaluaciones anuales y a una supervisión continua para seguir demostrando su conformidad con este programa.

Preguntas y respuestas

¿Cómo puedo acceder a la documentación de FedRAMP de Akamai?

Los clientes pueden obtener el "Package Access Request Form" (Formulario de solicitud de acceso al paquete) en el sitio web de mercado de FedRAMP.

¿Cuál es el nivel de impacto de FedRAMP de Akamai?

La autorización de FedRAMP de Akamai se encuentra en el nivel de impacto moderado. Según FedRAMP, un sistema de impacto moderado comprende "casi el 80 % de las aplicaciones CSP que reciben autorización de FedRAMP y es más apropiado para los directores de operaciones donde la pérdida de confidencialidad, integridad y disponibilidad produciría efectos adversos graves en las operaciones, los activos o las personas de una agencia. Los efectos adversos graves podrían incluir daños operativos significativos en los activos de la agencia, pérdidas financieras o daños individuales que no incluyan la pérdida de vida o daños físicos".

En este momento, Akamai no ha solicitado la autorización de FedRAMP para el nivel de impacto alto.

Volver al principio

 

IRAP (Australia)

 

Descripción general

El programa de asesores registrados de seguridad de la información (IRAP) es una iniciativa de la agencia Australian Signals Directorate (ASD) cuyo objetivo es ofrecer servicios de evaluación de seguridad de tecnologías de la información y la comunicación (TIC) al gobierno australiano. El centro Australian Cyber Security Centre (ACSC), que forma parte de la agencia Australian Signals Directorate (ASD), se encarga de la publicación del manual de seguridad de la información del gobierno de Australia (ISM). El propósito del ISM es esbozar un marco de ciberseguridad que las organizaciones puedan aplicar para proteger su información y sus sistemas ante amenazas online.

El ISM está compuesto por más de 600 controles de seguridad que definen los requisitos de seguridad en más de 80 áreas, tales como:

  • Incidentes de ciberseguridad
  • Refuerzo de sistemas
  • Gestión de vulnerabilidades
  • Aplicación de parches
  • Criptografía
  • Diseño de redes
  • Desarrollo de aplicaciones

Recursos

Cumplimiento de Akamai

Akamai se somete a evaluaciones anuales realizadas por un auditor independiente para garantizar el cumplimiento de los controles de seguridad de IRAP tal y como aparecen establecidos en el ISM. La primera evaluación del IRAP en Akamai se realizó a principios de 2019. Esta evaluación abarcó tanto la producción de Akamai como sus entornos de red corporativos, y NJOY Security realizó el consiguiente informe de evaluación de cumplimiento normativo el 8 de abril de 2019. El resumen ejecutivo de la evaluación de la norma de seguridad de IRAP de Akamai y la carta del evaluador oficial de IRAP al respecto están disponibles sujetos a acuerdos de confidencialidad (NDA) con Akamai.

Póngase en contacto con el equipo de cuentas de Akamai hoy mismo para obtener más información.

Servicios de Akamai aplicables

  • Secure CDN con Enhanced TLS y servicios que se ejecutan en ella
  • Productos de rendimiento web como Ion, cuando se ejecutan en Secure CDN con Enhanced TLS
  • Bot Manager Standard y Premier
  • Productos de seguridad en la nube, como Kona Site Defender y Bot Manager cuando se ejecutan en Secure CDN con Enhanced TLS
  • Fast DNS

Fechas / Duración / Auditor

La última evaluación de Akamai la llevó a cabo NJOY el 8 de abril de 2019

Volver al principio

 

ISO/IEC 27001:2013 e ISO/IEC 27018:2014

 

Descripción general

ISO/IEC 27001 dispone formalmente los términos de un sistema de gestión de seguridad de la información (ISMS), el cual debe ser un conjunto de actividades relacionadas con la gestión de riesgos de la información. El ISMS es un marco de gestión global a través del cual la organización identifica, analiza y aborda sus riesgos de información. El ISMS garantiza que los acuerdos de seguridad se ajustan a la perfección para mantenerse al día de los cambios en las amenazas de seguridad, las vulnerabilidades y los impactos empresariales, un aspecto importante en un campo tan dinámico.

Recursos

Este estándar proporciona orientación destinada a garantizar que los proveedores de servicios en la nube ofrezcan controles de seguridad de la información adecuados con el fin de proteger la privacidad de los clientes de sus clientes mediante la protección de la información personal identificable (PII) que se les ha confiado.

El estándar sirve como referencia para seleccionar controles de protección de PII al implementar un sistema de gestión de seguridad de la información de cloud computing basado en la norma ISO/IEC 27001. También proporciona orientación sobre la implementación de controles de protección de PII.

Recursos

Certificación de Akamai

Identity Cloud obtuvo la última certificación ISO 27001 y 27018 el 22 de abril de 2019.

Servicios de Akamai aplicables

  • Akamai Identity Cloud

Fechas / Duración / Auditor

A-LIGN Assurance lleva a cabo la certificación Cloud Security Alliance (CSA) de nivel 2, tipo 2, de Akamai.

La última evaluación de Akamai cubre el periodo del 1 de mayo de 2018 al 30 de abril de 2019 y es válida hasta el 1 de mayo de 2020.

Preguntas y respuestas

¿Qué regiones están cubiertas por el cumplimiento de la norma ISO 27001/27018 de Akamai?

La certificación ISO 27001/27018 del servicio Akamai Identity Cloud cubre todas las regiones del mundo, excepto la Federación Rusa.

¿Cómo puedo obtener una copia de las certificaciones ISO 27001 y 27018 de Akamai?

Su equipo de cuentas puede proporcionarle estas certificaciones.

Volver al principio

 

Nivel 1 de PCI DSS

 

Descripción general

El cumplimiento de las normas de seguridad de datos del sector de las tarjetas de pago (PCI DDS) es un requisito para cualquier negocio que almacene, procese o transmita datos de tarjetas de pago. Desarrolladas por las principales empresas de tarjetas de crédito, las PCI DDS recogen las medidas necesarias para garantizar la protección de datos y los procesos de seguridad y procedimientos pertinentes a las transacciones económicas online. Las empresas que no consiguen cumplir las PCI DDS están sujetas a recibir multas y sanciones.

Tal y como propone el consejo de normas de seguridad PCI, las órdenes de cumplimiento normativo de PCI DDS incluyen:

  • Desarrollo y mantenimiento de una política de seguridad que abarque todos los aspectos de la empresa.
  • Instalación de firewall para la protección de datos.
  • Cifrado de los datos del titular de la tarjeta que se transmiten a través de redes públicas.
  • Uso del software antivirus y actualización periódica.
  • Establecimiento de contraseñas seguras y otros protocolos de ciberseguridad.
  • Aplicación de estrictos controles de acceso y supervisión del acceso a los datos de cuentas.

Para grandes establecimientos y proveedores de servicios que procesan grandes volúmenes de transacciones económicas online, el cumplimiento normativo de PCI DDS está regulado por las validaciones anuales realizadas por un asesor de seguridad cualificado (QSA) independiente.

Recursos

Certificación de Akamai

La declaración de cumplimiento (AoC) de Akamai constituye una prueba para nuestros clientes del cumplimiento de la norma de seguridad PCI DSS v. 3.2.1 de los servicios que se engloban en el ámbito de aplicación.

Con el fin de garantizar el cumplimiento de PCI DDS, Akamai realiza pruebas de penetración externas de Secure CDN cada trimestre. Los resultados de estas pruebas de penetración trimestrales, así como los certificados y la documentación sobre cumplimiento, están a disposición de los clientes bajo un acuerdo de confidencialidad (NDA).

Descargas / Vínculos

Servicios de Akamai aplicables

  • Secure CDN con Enhanced TLS y servicios que se ejecutan en ella
  • Productos de rendimiento web como Ion, cuando se ejecutan en Secure CDN con Enhanced TLS
  • Bot Manager Premier
  • Productos de seguridad en la nube, como Kona Site Defender y Bot Manager cuando se ejecutan en Secure CDN con Enhanced TLS
  • Servicios de gestión del rendimiento digital mPulse
  • Enterprise Application Access (EAA), el componente principal de las soluciones de seguridad empresarial Zero Trust de Akamai (akamai.com/zerotrust)

Preguntas y respuestas

¿Cuenta Akamai con certificación de PCI DSS?

Sí. Akamai está certificada como proveedor de servicios de nivel 1 de PCI DSS 3.2.1, el nivel más alto de evaluación disponible. La evaluación de cumplimiento la llevó a cabo Specialized Security Services, Inc., un evaluador de seguridad cualificado (QSA) independiente. La Declaración de cumplimiento PCI DSS y la Matriz de responsabilidad PCI DSS están a disposición del público general.

Si mi sitio web utiliza Akamai, ¿cómo puedo estar seguro de que cumple la norma PCI DSS?

Los clientes son responsables de su propia certificación PCI DSS y deben contratar a un evaluador de seguridad cualificado (QSA) para validar sus controles y obtener la certificación. Los clientes y sus QSA pueden confiar en la certificación de cumplimiento de Akamai en relación con la parte de su entorno de datos de titulares de tarjetas para utilizar los servicios compatibles con PCI DSS de Akamai. En la Matriz de responsabilidad PCI DSS de Akamai se explican las responsabilidades de Akamai y de nuestros clientes con respecto a cada uno de los requisitos de PCI DSS. Su equipo de cuentas puede proporcionarle nuestra Guía de configuración de clientes de PCI DSS, que también proporciona más detalles.

¿Figura Akamai en el Registro global de proveedores de servicios de Visa y en la Lista de proveedores de servicios que cumplen de MasterCard?

Sí. Akamai aparece en las listas proporcionadas por Visa y MasterCard. Esto muestra que Akamai ha cumplido todos los requisitos del programa aplicables de estas principales empresas de tarjetas de pago.

¿Puedo revisar un resumen ejecutivo de las pruebas de penetración externas y de los análisis de vulnerabilidades trimestrales de los proveedores de análisis aprobados (ASV) de Akamai?

Sí. Su equipo de cuentas puede proporcionar esta información sujeta a un acuerdo de confidencialidad estándar.

Volver al principio

 

SOC 2 tipo 2

 

Descripción general

SOC (Service Organization Controls) es un estándar de seguridad establecido por el American Institute of Certified Public Accountants (AICPA) que informa sobre los controles relacionados directamente con la seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad de una organización de servicios.

Recursos

Certificación de Akamai

Akamai recibe informes anuales de SOC 2 tipo 2, los cuales demuestran que nuestros controles de seguridad se auditan continuamente a lo largo del año.

Servicios de Akamai aplicables

Los principios de confianza de seguridad y disponibilidad se contemplan en los siguientes servicios:

  • Secure CDN con Enhanced TLS y servicios relacionados
  • Productos de rendimiento web como Ion, cuando se ejecutan en Secure CDN con Enhanced TLS
  • Productos de seguridad en la nube, como Kona Site Defender y Bot Manager cuando se ejecutan en Secure CDN con Enhanced TLS
  • Prolexic DDoS Mitigation Services

Todos los principios de servicios de confianza se contemplan en el siguiente servicio:

  • Identity Cloud

Fechas / Duración / Auditor

El informe de SOC 2 de Akamai, que cubre los principios del servicio de confianza de seguridad y disponibilidad, lo emite Ernst & Young LLP y cubre el periodo de tiempo de enero a septiembre de cada año.

El informe de SOC 2 para Akamai Identity Cloud, que cubre los cinco principios del servicio de confianza, lo emite A-LIGN y cubre el periodo del 1 de mayo al 30 de abril de cada año.

Preguntas y respuestas

¿Quién realiza la auditoría independiente de Akamai para sus informes de SOC 2?

Ernst & Young LLP realiza auditorías independientes de las soluciones de red de distribución de contenido principales de Akamai, que cubren los principios del servicio de confianza de seguridad y disponibilidad.

A-LIGN Assurance realiza la auditoría independiente de Akamai de Akamai Identity Cloud, que cubre los cinco principios de servicio de confianza.

¿Cómo puedo obtener una copia del informe de SOC 2?

Su equipo de cuentas de Akamai puede proporcionarle una copia.

¿Qué regiones se tratan?

Los informes de SOC 2 de Akamai cubren los servicios de Akamai en su conjunto y no se limitan a determinadas regiones.

¿Qué periodo está cubierto por el informe de SOC 2 de Akamai?

El informe de SOC 2 de Akamai emitido por Ernst & Young LLP cubre el periodo comprendido entre el 1 de enero y el 30 de septiembre de cada año. El informe de SOC 2 de Akamai emitido por A-LIGN Assurance cubre el periodo comprendido entre el 1 de mayo y el 30 de abril de cada año.

¿Dispone de una carta provisional que incluya el periodo desde el último periodo cubierto?

Su equipo de cuentas puede proporcionarle una carta provisional que cubra el periodo del 1 de octubre al 31 de diciembre del año anterior, con respecto al informe de SOC 2 emitido por Ernst & Young LLP. Dado que el informe de SOC 2 emitido por A-LIGN Assurance cubre todo el año, no es necesario que se envíe esta carta en relación con este informe.

¿Con qué frecuencia se emiten los informes de SOC 2 de Akamai y cuándo puedo esperar recibir uno nuevo?

El informe de SOC 2 de Akamai emitido por Ernst & Young LLP se publica normalmente en el cuarto trimestre natural de cada año.

¿Cuenta Akamai con un certificado de conformidad de SOC 2?

No hay ningún certificado de conformidad. En su lugar, hay evaluadores externos cualificados que elaboran un informe sobre el cumplimiento de las organizaciones evaluadas. Este informe incluye la descripción y el alcance del sistema de la organización; además de descripciones de control para el respeto de criterios comunes, pruebas y validez de las pruebas y las descripciones de la organización.

¿Por qué hay dos informes de SOC 2 diferentes para Akamai?

Desde que el servicio Akamai Identity Cloud formó parte de la adquisición de Janrain, Inc. de Akamai en 2019, hay dos informes de SOC 2 tipo 2 diferentes: Ernst & Young LLP prepara el informe que cubre nuestros principales servicios de seguridad y CDN, y A-LIGN Assurance prepara nuestro informe sobre Akamai Identity Cloud.

¿Dispone Akamai de un informe de SOC 1?

Akamai no se somete a una auditoría de SOC 1 (centrada en los controles financieros). Dado que Akamai es una empresa que cotiza en bolsa en EE. UU., en virtud de la ley Sarbanes-Oxley y otras normativas, estamos obligados a poner a disposición pública nuestro bienestar financiero. Los clientes actuales y potenciales pueden acceder a nuestros formularios 10-K y extractos financieros anuales en nuestro sitio web de relaciones con inversores.

Volver al principio

 

Nivel 1 de CSA STAR

 

Descripción general

El programa de riesgo y garantía de la confianza de seguridad de Cloud Security Alliance (STAR) abarca principios fundamentales de transparencia, rigurosa auditoría y armonización de normativas. El uso de un certificado STAR indica que la empresa sigue las prácticas recomendadas, además de validar la estrategia de seguridad de sus ofertas en la nube.

El registro de STAR documenta los controles de privacidad y seguridad proporcionados por ofertas populares de cloud computing. Este registro es de acceso público y permite a los clientes de la nube evaluar a sus proveedores de seguridad con el objetivo de tomar las mejores decisiones de adquisición.

Recursos

Evaluación de Akamai

En julio de 2019, Akamai presentó un informe que documenta el cumplimiento de la matriz de controles en la nube (CCM) como parte de la autoevaluación CSA STAR. Esta evaluación documenta los controles de seguridad proporcionados por diversas ofertas de cloud computing, ayudando a los usuarios a evaluar la seguridad de los proveedores de nube.

El informe está a disposición del público general en el registro de STAR. Akamai tiene el firme compromiso de fomentar la transparencia en el sector de los servicios en la nube y de ofrecer visibilidad a los clientes en relación con las prácticas de seguridad.

Descargas / Vínculos

Servicios de Akamai aplicables

  • Secure CDN con Enhanced TLS y servicios relacionados
  • Productos de rendimiento web como Ion, cuando se ejecutan en Secure CDN con Enhanced TLS
  • Productos de seguridad en la nube, como Kona Site Defender y Bot Manager cuando se ejecutan en Secure CDN con Enhanced TLS

Preguntas y respuestas

¿Cuándo se realizó la autoevaluación CSA STAR de Akamai?

La última autoevaluación CSA STAR de nivel 1 de Akamai está fechada el 2 de julio de 2019.

Volver al principio

 

ISO 27002

 

Descripción general

ISO/IEC 27002:2013 es un estándar de seguridad de la información publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), denominada "Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información".

ISO/IEC 27002:2013 proporciona directrices para los estándares de seguridad de la información de las organizaciones, y prácticas de gestión de seguridad de la información (incluidas la selección, la implementación y la gestión de controles) teniendo en cuenta los entornos de riesgo de seguridad de la información de la organización.

Está diseñada para organizaciones que desean:

  • Seleccionar controles dentro del proceso de implementación de un sistema de gestión de seguridad de la información basado en ISO/IEC 27001.
  • Implementar controles de seguridad de la información comúnmente aceptados.
  • Desarrollar sus propias directrices de gestión de seguridad de la información.

Recursos

Evaluación de Akamai

Akamai se somete a evaluaciones anuales para probar el cumplimiento de la norma ISO 27002, que define los controles de los programas de seguridad de la información de una empresa. Nuestra evaluación ISO 27002 más reciente la llevó a cabo CFGI a finales de 2018 y el informe tiene fecha del 28 de febrero de 2019. Este resumen ejecutivo está disponible para clientes y partners sujetos a acuerdos de confidencialidad (MDA) con Akamai. Póngase en contacto con su equipo de cuentas para obtener más información.

Servicios de Akamai aplicables

La evaluación ISO 27002 de Akamai se aplica a todas las ofertas de Akamai y a nuestro programa general de seguridad de la información.

Preguntas y respuestas

¿Cuándo se realizó la evaluación ISO 27002 de Akamai?

CFGI llevó a cabo la última evaluación de brechas ISO 27002 de Akamai el 28 de febrero de 2019.

¿Puedo obtener una copia de la evaluación?

Su equipo de cuentas puede proporcionarle un resumen ejecutivo de nuestra última evaluación ISO 27002.

Volver al principio

 

NIST

 

Descripción general

Los controles de seguridad 800-53 del National Institute of Standards and Technology (NIST) se aplican generalmente a los sistemas de información federal de EE. UU. Para garantizar una protección suficiente de la confidencialidad, integridad y disponibilidad de los sistemas de información y de la información, los sistemas de información federales suelen llevar a cabo un proceso formal de evaluación y autorización.

El marco de ciberseguridad (CSF) del NIST cuenta con el apoyo de gobiernos y sectores de todo el mundo como referencia recomendada para su uso por parte de cualquier organización, independientemente de su sector o tamaño. Actualmente, las agencias deben implementar el CSF en la orden ejecutiva de ciberseguridad.

Recursos

Evaluación de Akamai

Akamai Intelligent Edge Platform se ha validado mediante pruebas de terceros realizadas de acuerdo con los controles 800-53 del NIST, así como con requisitos adicionales del Programa Federal de Gestión de Autorizaciones y Riesgo (FedRAMP). La autorización NIST de Akamai está en el nivel de impacto moderado.

Consulte la página de cumplimiento de FedRAMP de Akamai para obtener más información sobre el cumplimiento del programa FedRAMP, el cual incluye los controles del NIST pertinentes.

Descargas / Vínculos

Volver al principio

 

Escudo de privacidad UE-EE. UU.

 

Descripción general

Con objeto de facilitar la transferencia de datos personales entre la Unión Europea (UE) y los Estados Unidos (EE. UU.), el Escudo de privacidad UE-EE. UU. es un marco que regula los intercambios transatlánticos de datos personales con fines comerciales. Su objetivo es garantizar que los datos personales de los ciudadanos de la UE procesados en EE. UU. cuenten con el mismo nivel de protección que en la UE.

Recursos

Evaluación de Akamai

Las actividades de procesamiento de Akamai están certificadas según el programa Escudo de privacidad UE-EE. UU. y el programa Escudo de privacidad Suiza-EE. UU.

Descargas / Vínculos

Servicios de Akamai aplicables

Todas las actividades de procesamiento relacionadas con los servicios de Akamai están dentro del ámbito de la certificación de Escudo de privacidad. Las actividades internas de procesamiento de RR. HH. de Akamai no están cubiertas.

En caso de que los datos de RR. HH. del cliente formen parte de las propiedades web del cliente y sean procesados por Akamai durante la prestación de los servicios de Akamai, el procesamiento de los datos de RR. HH. del cliente queda cubierto por la certificación de Escudo de privacidad de Akamai. Estas actividades de procesamiento están relacionadas con los servicios de Akamai y no se consideran actividades de procesamiento internas del departamento de RR. HH. de Akamai.

Preguntas y respuestas

¿Cuánto dura la certificación de Akamai?

El ciclo de certificación es de un año. La duración actual se describe en la certificación de Escudo de privacidad de Akamai.

Volver al principio