Programas de cumplimiento de Akamai

Obtenga más información sobre cómo los productos y servicios de Akamai cumplen las leyes, las normativas, las certificaciones y los marcos de privacidad.

Ley de Privacidad del Consumidor de California (CCPA)

Descripción general

La Ley de Privacidad del Consumidor de California de 2018 es una ley del Estado de California cuyo objetivo es mejorar los derechos de privacidad y la protección del consumidor para los residentes de este estado de EE. UU.

A partir del 1 de enero de 2020, la mayoría de las empresas u organizaciones de gran tamaño que operan en California deben cumplir la nueva y estricta legislación de privacidad del estado, que establece un derecho legal y aplicable de privacidad para todos los residentes de California. Las nuevas normativas no son solo para empresas con sede en California; se aplican a todas las empresas con actividad comercial en el estado, independientemente de la ubicación de la constitución de la organización.

Cumplimiento de Akamai

Dentro del ámbito de la CCPA, Akamai actúa como proveedor de servicios para nuestros clientes. En última instancia, los clientes son los responsables de la observación de las obligaciones de la CCPA asociadas a sus activos de Internet que utilizan los servicios de Akamai.

Todos los servicios de Akamai cumplen con la CCPA. Esto significa que, además de seguir utilizando sus servicios actuales de Akamai, los clientes también pueden implementar servicios como Akamai Identity Cloud como parte clave de su estrategia de cumplimiento de la CCPA.

La CCPA se encarga de regular que todos los datos personales de clientes de California se procesen a través de una organización que los gestione y proteja de manera suficiente y adecuada. En un mundo interconectado en el que muchas aplicaciones y sitios web recopilan y utilizan datos personales, esto puede suponer un gran reto. Akamai Intelligent Edge Platform puede utilizarse para ayudar a los clientes a hacer frente a este desafío. Ofrece capacidades de seguridad y gestión de datos sólidas basadas en una herramienta de gestión de datos de autoservicio, un equipo de profesionales de seguridad cualificado, procesos flexibles y de alta calidad, y una reconocida tecnología de vanguardia.

Recursos de CCPA

Servicios de Akamai aplicables

Todos los servicios de Akamai son aplicables. 

Volver al principio


Leyes de privacidad electrónica

Descripción general

Las leyes de privacidad electrónica son una importante herramienta legal para garantizar el derecho a la privacidad en el marketing y las comunicaciones electrónicas. La directiva actual 2009/136/CE se ha implantado en las leyes locales de la mayoría de los estados miembros de la UE.

La Directiva de privacidad electrónica está dirigida a los proveedores de servicios de telecomunicaciones y comprende los siguientes elementos:

  • Seguridad de redes y servicios
  • Confidencialidad de las comunicaciones
  • Acceso a los datos almacenados en los dispositivos de terminal
  • Procesamiento de datos de tráfico y ubicación
  • Identificación de la línea de llamada
  • Directorios de suscriptores públicos
  • Comunicaciones comerciales no solicitadas ("spam")
  • Uso de cookies

Los principales cambios en la directiva actual 2009/136/CE en comparación con la versión de 2002 han sido la introducción de un requisito de notificación de filtración de datos para los proveedores de servicios de telecomunicaciones y el requisito de consentimiento para el uso de cookies.

La Directiva de privacidad electrónica se encuentra actualmente bajo revisión por parte de los organismos europeos con el objetivo de convertirse en una normativa que prevalezca sobre el RGPD, más general, en lo que respecta a los datos personales en la comunicación electrónica. La diferencia con la Directiva existente es que el ámbito del Reglamento sobre privacidad electrónica se amplía para abarcar también a los proveedores de servicios de comunicaciones OTT.

Cumplimiento de Akamai

Akamai ha garantizado el cumplimiento de los diversos requisitos de la directiva 2009/136/CE y sus implementaciones locales, tales como banners de cookies en sus sitios web, mecanismos de exclusión de las cookies utilizadas al prestar los servicios y el desempeño de las actividades de marketing de conformidad con los requisitos de privacidad electrónica.

Servicios de Akamai aplicables

Todas las soluciones de seguridad de Akamai, incluidas las soluciones de análisis web y móvil (mPulseCloudTest) son aplicables.

Preguntas y respuestas

¿El servicio mPulse de Akamai cumple con las leyes de privacidad electrónica?

Sí. Todos los servicios de Akamai cumplen con las leyes de privacidad electrónica. Para mPulse, lea el white paper "mPulse – Cumplimiento de las leyes globales de protección de datos "

Volver al principio


Reglamento General de Protección de Datos (RGPD)

Descripción general

El Reglamento General de Protección de Datos (RGPD), en vigor desde el 25 de mayo de 2018, es la ley actual de protección de datos de la Unión Europea (UE) y tiene el objetivo de armonizar las leyes a nivel estatal de toda Europa en este ámbito. Desde su concepción, la ley ha llevado a las organizaciones a reforzar las políticas de privacidad y ha establecido prácticas recomendadas de protección de datos en todo el mundo.

El RGPD requiere que las organizaciones gestionen y protejan toda operación que implique el procesamiento de datos personales de la UE para evitar el acceso no autorizado. El incumplimiento del RGPD puede dar lugar a multas que afecten materialmente a una organización.

Reglamento General de Protección de Datos de la UE

Cumplimiento de Akamai

Todos los servicios de Akamai cumplen con el RGPD. Esto significa que no solo los clientes pueden seguir utilizando Akamai, sino que también pueden implementar los servicios de Akamai como una parte clave de su estrategia de cumplimiento en relación con el RGPD. El RGPD se encarga de regular que todos los datos personales procedentes de la UE se procesen a través de una organización que los gestione y proteja de manera suficiente y adecuada. En un mundo interconectado en el que muchas aplicaciones y sitios web recopilan y utilizan datos personales, esto puede suponer un gran reto. Akamai Intelligent Edge Platform puede utilizarse para ayudar a los clientes a hacer frente a este desafío. Ofrece una estrategia de seguridad y gestión de datos sólida basada en una herramienta de gestión de datos de autoservicio, un equipo de profesionales de seguridad expertos, procesos flexibles y de alta calidad, y una reconocida tecnología de vanguardia.

 

Recursos de RGPD

Akamai describe las actividades de procesamiento durante su prestación de servicios en el documento "Actividades y función de procesamiento de datos personales de Akamai" .

Además, Akamai solicita a los clientes que acepten un acuerdo de procesamiento de datos para garantizar que el cliente y Akamai cumplen con el artículo 28 del RGPD en materia de procesamiento de datos personales durante la prestación de servicios de Akamai.

Servicios de Akamai aplicables

Todos los servicios de Akamai son aplicables.

Preguntas y respuestas

¿El servicio mPulse de Akamai cumple con las disposiciones del RGPD?

Sí. Todos los servicios de Akamai cumplen con las disposiciones del RGPD. Para mPulse, lea el white paper "mPulse – Cumplimiento de las leyes globales de protección de datos."

Volver al principio




HIPAA / HITECH

Descripción general

La Ley Estadounidense de Transferibilidad y Responsabilidad del Seguro Sanitario (HIPAA) de 1996 establece los requisitos para el procesamiento de información personal identificable por parte de los proveedores de servicios sanitarios y seguros.

La Ley de Tecnología de la Información de Salud Clínica y Económica (HITECH) de 2009 define los derechos de acceso a los datos sanitarios y a los mecanismos para que los pacientes mantengan el control de sus datos. Amplía el intercambio de información sanitaria electrónica protegida, así como el alcance de las protecciones de privacidad y seguridad conforme a la HIPAA.

Recursos

 

Cumplimiento de Akamai

Ni la ley HIPAA ni la ley HITECH se aplican directamente a Akamai como proveedor de servicios de distribución de contenido y seguridad web. No obstante, cuando Akamai es contratado por clientes del ámbito sanitario para procesar datos de asistencia sanitaria, se le puede considerar como asociado empresarial y puede que sea necesario un acuerdo de socio comercial entre Akamai y el cliente de asistencia sanitaria. Previa solicitud, hay disponible una copia del acuerdo estándar de asociación empresarial de Akamai.

Para garantizar el cumplimiento de la norma de seguridad de HIPAA, Akamai lleva a cabo una evaluación anual. El resumen ejecutivo de dicha evaluación o el documento relacionado por parte de los evaluadores está disponible para los clientes y partners de Akamai sujetos a un acuerdo de confidencialidad (NDA).

Recursos

Servicios de Akamai aplicables

Servicios de seguridad y rendimiento web de Akamai, si se ejecutan en Secure CDN de Akamai con Enhanced TLS y Akamai Identity Cloud; todo ello si lo utilizan proveedores de servicios sanitarios y seguros para procesar información personal identificable.

Preguntas y respuestas

¿Cuándo fue la evaluación HIPAA más reciente de Akamai?

La evaluación más reciente de Akamai en relación con el cumplimiento de la norma de seguridad HIPAA la realizó el CFGI. Póngase en contacto con su equipo de cuentas para obtener más información.

¿Cuenta Akamai con certificación HIPAA?

No. No existe una certificación como tal. El cumplimiento de la normativa HIPAAA es un proceso continuo. Akamai forma a sus empleados en función de los requisitos de la HIPAA y se asegura de que siguen las políticas y los procedimientos relacionados con esta.

¿Firma Akamai acuerdos de socio comercial con los clientes?

En la medida en que Akamai transmite información sanitaria personal durante la prestación de sus servicios a sus clientes de entidades cubiertas de forma que ejerza como "asociado empresarial", Akamai firmará el acuerdo de socio comercial pertinente como parte de su proceso de contratación habitual. Previa solicitud, hay disponible una copia del acuerdo estándar de asociación empresarial de Akamai.


¿Se evalúa a Akamai según el marco de CSF de HITRUST?                                                   

Akamai no se evalúa según el marco de trabajo CSF de HITRUST. Akamai se somete a auditorías anuales realizadas por auditores independientes acreditados para garantizar el cumplimiento continuado de las normas HIPAA y HITECH para los servicios identificados como apropiados para su uso con información sanitaria protegida.

Volver al principio

 


LGPD (Brasil)

Descripción general

La Lei Geral de Proteção de Dados, es decir, la Ley General de Protección de Datos de Brasil, legislación federal n.º 13.709/2018 ("LGPD") entrará en vigor el 16 de agosto de 2020. La LGPD crea un nuevo marco legal para el uso de datos personales en Brasil, tanto online como offline, en los sectores privado y público. Se ha creado la Autoridad Nacional de Protección de Datos (ANPD) como autoridad de supervisión, la cual se hará cargo de la supervisión y aplicación de la LGPD.

Recursos

Cumplimiento de Akamai

Todos los servicios de Akamai cumplen con la LGPD. Esto significa que no solo los clientes pueden seguir utilizando los servicios de Akamai, sino que también pueden implementar los servicios de Akamai como parte clave de su estrategia de cumplimiento de la LGPD. La LGPD se encarga de regular que todos los datos personales procedentes de Brasil se procesen a través de una organización que los gestione y proteja de manera suficiente y adecuada. En un mundo interconectado en el que muchas aplicaciones y sitios web recopilan y utilizan datos personales, esto puede suponer un gran reto.

Akamai Intelligent Edge Platform se puede emplear para ayudar a los clientes a superar este reto gracias a una estrategia de seguridad y una gestión de datos sólidas basadas en una herramienta de gestión de datos de autoservicio, un equipo de profesionales de seguridad expertos, procesos flexibles y de alta calidad, y una reconocida tecnología de vanguardia.

Recursos de LGPD

Servicios de Akamai aplicables

Todos los servicios son aplicables.

Preguntas y respuestas

¿En qué se diferencia la LGPD del RGPD?

La LGPD difiere del RGPD en algunos aspectos. Por ejemplo, bajo la LGPD, hay diez bases legales para satisfacer la actividad de procesamiento, en comparación con las seis bases legales establecidas en el RGPD.

¿Existe un plazo de tiempo para que la LGPD cumpla la obligación de notificación de filtración de datos?

La LGDP no establece un plazo para que el controlador de datos notifique las filtraciones de datos. El ANPD debe establecer tal fecha límite.

Volver al principio.


MAS (Singapur)

Descripción general

La Autoridad Monetaria de Singapur (MAS) regula las instituciones financieras de los sectores de banca, mercados de capitales, seguros y pagos constituidos en Singapur. Ninguna de sus normativas se aplica directamente a Akamai como proveedor de servicios de distribución de contenido y seguridad web. No obstante, cuando Akamai es contratado por clientes de servicios financieros de Singapur para procesar datos de financieros, se le puede considerar como proveedor de servicios de externalización, regulado por la MAS. Las directrices de externalización de la MAS para las instituciones financieras locales sobre la gestión de riesgos de los acuerdos de externalización cubren, entre otros, los siguientes aspectos:

  • compromiso con MAS en materia de externalización;
  • prácticas sólidas sobre la gestión de riesgos de los acuerdos de externalización;
  • Cloud computing

Recursos

Modificaciones:

Cumplimiento de Akamai

Los servicios de Akamai utilizados por proveedores de servicios financieros constituidos en Singapur se consideran actividades subcontratadas según estas directrices. Puesto que los servicios de Akamai cumplen las directrices, los clientes de servicios financieros constituidos en Singapur no solo pueden seguir utilizando los servicios de Akamai, sino que también pueden implementarlos como parte clave de su estrategia de cumplimiento en materia de externalización.

Servicios de Akamai aplicables

  • Secure CDN con Enhanced TLS y servicios relacionados
  • Productos de rendimiento web como Ion, cuando se ejecutan en Secure CDN con Enhanced TLS
  • Productos de seguridad en la nube, como Kona Site Defender y Bot Manager cuando se ejecutan en Secure CDN con Enhanced TLS
  • Prolexic DDoS Mitigation Services
  • Akamai Identity Cloud

Volver al principio

 

 


Directiva de servicios de pago (PSD2)

Descripción general

En la versión revisada de la directiva de servicios de pago (PSD2) por la UE y Banca abierta, implementación en el Reino Unido de PSD2, se exige que las instituciones financieras abran su infraestructura de pagos para que los proveedores externos puedan acceder a los datos de las cuentas bancarias de sus clientes. Los organismos normativos están impulsando esta iniciativa para facilitar la innovación, la competencia y la eficiencia en los servicios financieros, al permitir a los proveedores externos proporcionar servicios de pago y de información de cuentas a los consumidores.

Recursos

Cumplimiento de Akamai

Las soluciones de Akamai ayudan a las instituciones financieras a cumplir con la directiva PSD2, al mejorar las experiencias de los clientes, la estabilidad de las aplicaciones y los controles de seguridad. Akamai Intelligent Edge Platform actúa como conducto para la comunicación entre los proveedores externos y la institución financiera. Los servicios de seguridad de Akamai protegen las API de la institución del acceso no autorizado y garantizan que solo se procesen las solicitudes de acceso autenticadas. Akamai ayuda con el cumplimiento de PSD2 mediante las siguientes prestaciones:

  • Mejora de la experiencia del cliente
  • Control de acceso y gestión de API
  • Protección de las API contra ataques
  • Comunicación común y segura (SSL/TLS)
  • Prevención de captura de datos de pantallas

Descargas / Vínculos

Servicios de Akamai aplicables

Identity Cloud, Secure Content Delivery, Kona Site Defender, Ion, DSA y API Gateway.

Preguntas y respuestas

¿Es Banca abierta lo mismo que PSD2?

Banca abierta es la implementación de PSD2 en el Reino Unido. Se basa en una decisión, emitida en agosto de 2016 por la Autoridad de la Competencia y Mercados (CMA) del Reino Unido, que exigía a los nueve principales bancos británicos que permitieran a las startups con licencia el acceso directo a sus datos hasta el nivel de transacciones de cuentas. Consulte también la Wikipedia.

¿Por qué la implementación de PSD2 es siempre una solución personalizada?

PSD2 será siempre una implementación personalizada debido a las necesidades exclusivas de cada proveedor de confianza (TP) de la autoridad emisora de certificados, a la legislación específica de los países de la UE y a los requisitos de cumplimiento interno de acuerdo con las políticas de cada empresa.

Volver al principio

 


Infraestructura crítica (Alemania)

Descripción general

Desde junio de 2017, Akamai cumple los requisitos estipulados para los proveedores de servicios de infraestructuras críticas en relación con sus servicios de red de distribución de contenido en Alemania, los cuales han sido implementados por la Oficina Federal de Seguridad de la Información (BSI) alemana. De acuerdo con la legislación subyacente, la Ley BSI destinada a reforzar la seguridad de la tecnología de la información, Akamai lleva a cabo una auditoría de terceros cada dos años para demostrar que sus medidas técnicas y organizativas protegen adecuadamente su sistema y garantizan la disponibilidad, integridad, autenticidad y confidencialidad de sus servicios.

Recursos

Evaluación de Akamai

En el primer trimestre de 2019, la oficina de Alemania de Akamai llevó a cabo una auditoría, que fue aceptada por la BSI. La auditoría se basó en el informe de SOC 2 tipo 2 de 2018 de Akamai y la evaluación ISO 27002, así como en tres auditorías in situ en centros de datos de Alemania.

Descargas / Vínculos

Servicios de Akamai aplicables

CDN de Akamai

Preguntas y respuestas

¿Durante cuánto tiempo han sido servicios de infraestructura críticos en Alemania los servicios CDN de Akamai?

Desde junio de 2017.

¿Qué ocurre con los servicios de seguridad de Akamai?

Según la ley BSI, los servicios de seguridad no se consideran servicios de infraestructura críticos.

 Akamai es un proveedor recomendado de servicios de protección frente a ataques distribuidos de denegación de servicio (DDoS) para otros proveedores de servicios de infraestructura críticos. Consulte también Proveedores de servicios de mitigación de ataques DDoS cualificados (alemán).

Volver al principio


Programa Federal de Gestión de Autorizaciones y Riesgo (FedRAMP)

Descripción general

Un programa de cumplimiento de normativas del gobierno de EE. UU., el Programa Federal de Gestión de Autorizaciones y Riesgo (FedRAMP), ofrece un enfoque armonizado para la evaluación de la seguridad, la autorización y la supervisión continua de productos y servicios en la nube.

FedRAMP ha creado un conjunto esencial de procesos para garantizar una seguridad en la nube eficaz y reproducible para el gobierno de EE. UU y se encarga de gestionarlo. Logró establecer un mercado sólido para aumentar la utilización y la familiaridad con los servicios en la nube.

Recursos

Certificación de Akamai

Akamai Intelligent Edge Platform dispone de una autorización provisional para operar (P-ATO) de la junta de autorización conjunta (JAB) de FedRAMP para un nivel moderado, como proveedor de infraestructura como servicio (IaaS).

Descargas / Vínculos

Servicios de Akamai aplicables

  • Intelligent Edge Platform para distribución HTTP y HTTPS (conocidos como ESSL y FreeFlow Networks) y los servicios que se ejecutan en ellas
  • Kona Site Defender con Kona WAF
  • Edge DNS (con DNSSEC)
  • NetStorage
  • Servicios de streaming multimedia
  • Akamai Control Center
  • Global Traffic Management

Fechas / Duración / Auditor

El evaluador externo de Akamai para FedRAMP es Coalfire Systems, Inc.

Akamai cuenta con la autorización de FedRAMP desde el 23 de agosto de 2013. Se somete a evaluaciones anuales y a una supervisión continua para seguir demostrando su conformidad con este programa.

Preguntas y respuestas

¿Cómo puedo acceder a la documentación de FedRAMP de Akamai?

Los clientes pueden obtener el "Package Access Request Form" (Formulario de solicitud de acceso al paquete) en el sitio web de mercado de FedRAMP.

¿Cuál es el nivel de impacto de FedRAMP de Akamai?

La autorización de FedRAMP de Akamai se encuentra en el nivel de impacto moderado. Según FedRAMP, un sistema de impacto moderado comprende "casi el 80 % de las aplicaciones CSP que reciben autorización de FedRAMP y es más apropiado para los directores de operaciones donde la pérdida de confidencialidad, integridad y disponibilidad produciría efectos adversos graves en las operaciones, los activos o las personas de una agencia. Los efectos adversos graves podrían incluir daños operativos significativos en los activos de la agencia, pérdidas financieras o daños individuales que no incluyan la pérdida de vida o daños físicos".

En este momento, Akamai no ha solicitado la autorización de FedRAMP para el nivel de impacto alto.

Volver al principio


IRAP (Australia)

Descripción general

El programa de asesores registrados de seguridad de la información (IRAP) es una iniciativa de la agencia Australian Signals Directorate (ASD) cuyo objetivo es ofrecer servicios de evaluación de seguridad de tecnologías de la información y la comunicación (TIC) al gobierno australiano. El centro Australian Cyber Security Centre (ACSC), que forma parte de la agencia Australian Signals Directorate (ASD), se encarga de la publicación del manual de seguridad de la información del gobierno de Australia (ISM). El propósito del ISM es esbozar un marco de ciberseguridad que las organizaciones puedan aplicar para proteger su información y sus sistemas ante amenazas online.

El ISM está compuesto por más de 600 controles de seguridad que definen los requisitos de seguridad en más de 80 áreas, tales como:

  • Incidentes de ciberseguridad
  • Refuerzo de sistemas
  • Gestión de vulnerabilidades
  • Aplicación de parches
  • Criptografía
  • Diseño de redes
  • Desarrollo de aplicaciones

Recursos

Cumplimiento de Akamai

Akamai se somete a evaluaciones anuales realizadas por un auditor independiente para garantizar el cumplimiento de los controles de seguridad de IRAP tal y como aparecen establecidos en el ISM. La primera evaluación del IRAP en Akamai se realizó a principios de 2019. Esta evaluación abarcó tanto la producción de Akamai como sus entornos de red corporativos, y NJOY Security realizó el consiguiente informe de evaluación de cumplimiento normativo el 8 de abril de 2019. El resumen ejecutivo de la evaluación de la norma de seguridad de IRAP de Akamai y la carta del evaluador oficial de IRAP al respecto están disponibles sujetos a acuerdos de confidencialidad (NDA) con Akamai.

Póngase en contacto con el equipo de cuentas de Akamai hoy mismo para obtener más información.

Servicios de Akamai aplicables

  • Secure CDN con Enhanced TLS y servicios que se ejecutan en ella
  • Productos de rendimiento web como Ion, cuando se ejecutan en Secure CDN con Enhanced TLS
  • Bot Manager Standard y Premier
  • Productos de seguridad en la nube, como Kona Site Defender y Bot Manager cuando se ejecutan en Secure CDN con Enhanced TLS
  • Edge DNS

Fechas / Duración / Auditor

La última evaluación de Akamai la llevó a cabo NJOY el 8 de abril de 2019

Volver al principio

 


ISO/IEC 27001:2013 e ISO/IEC 27018:2014

Descripción general

ISO/IEC 27001 dispone formalmente los términos de un sistema de gestión de seguridad de la información (ISMS), el cual debe ser un conjunto de actividades relacionadas con la gestión de riesgos de la información. EL ISMS es un marco

de gestión global a través del cual la organización identifica, analiza y aborda sus riesgos de información. El ISMS garantiza que los acuerdos de seguridad se ajustan a la perfección para mantenerse al día de los cambios en las amenazas de seguridad, las vulnerabilidades y los impactos empresariales, un aspecto importante en un campo tan dinámico.

Recursos

Este estándar proporciona orientación destinada a garantizar que los proveedores de servicios en la nube ofrezcan controles de seguridad de la información adecuados con el fin de proteger la privacidad de los clientes de sus clientes mediante la protección de la información personal identificable (PII) que se les ha confiado.

El estándar sirve como referencia para seleccionar controles de protección de PII al implementar un sistema de gestión de seguridad de la información de cloud computing basado en la norma ISO/IEC 27001. También proporciona orientación sobre la implementación de controles de protección de PII.

Recursos

Certificación de Akamai

Identity Cloud obtuvo la última certificación ISO 27001 y 27018 el 22 de abril de 2019.

Servicios de Akamai aplicables

  • Akamai Identity Cloud

Fechas / Duración / Auditor

A-LIGN Assurance lleva a cabo la certificación Cloud Security Alliance (CSA) de nivel 2, tipo 2, de Akamai.

La última evaluación de Akamai cubre el periodo del 1 de mayo de 2018 al 30 de abril de 2019 y es válida hasta el 1 de mayo de 2020.

Preguntas y respuestas

¿Qué regiones están cubiertas por el cumplimiento de la norma ISO 27001/27018 de Akamai?

La certificación ISO 27001/27018 del servicio Akamai Identity Cloud cubre todas las regiones del mundo, excepto la Federación Rusa.

¿Cómo puedo obtener una copia de las certificaciones ISO 27001 y 27018 de Akamai?

Su equipo de cuentas puede proporcionarle estas certificaciones.

Volver al principio


Nivel 1 de PCI DSS

Descripción general

El cumplimiento de las normas de seguridad de datos del sector de las tarjetas de pago (PCI DDS) es un requisito para cualquier negocio que almacene, procese o transmita datos de tarjetas de pago. Desarrolladas por las principales empresas de tarjetas de crédito, las PCI DDS recogen las medidas necesarias para garantizar la protección de datos y los procesos de seguridad y procedimientos pertinentes a las transacciones económicas online. Las empresas que no consiguen cumplir las PCI DDS están sujetas a recibir multas y sanciones.

Tal y como propone el consejo de normas de seguridad PCI, las órdenes de cumplimiento normativo de PCI DDS incluyen:

  • Desarrollo y mantenimiento de una política de seguridad que abarque todos los aspectos de la empresa.
  • Instalación de firewall para la protección de datos.
  • Cifrado de los datos del titular de la tarjeta que se transmiten a través de redes públicas.
  • Uso del software antivirus y actualización periódica.
  • Establecimiento de contraseñas seguras y otros protocolos de ciberseguridad.
  • Aplicación de estrictos controles de acceso y supervisión del acceso a los datos de cuentas.

Para grandes establecimientos y proveedores de servicios que procesan grandes volúmenes de transacciones económicas online, el cumplimiento normativo de PCI DDS está regulado por las validaciones anuales realizadas por un asesor de seguridad cualificado (QSA) independiente.

Recursos

Certificación de Akamai

La declaración de cumplimiento (AoC) de Akamai constituye una prueba para nuestros clientes del cumplimiento de la norma de seguridad PCI DSS v. 3.2.1 de los servicios que se engloban en el ámbito de aplicación.

Con el fin de garantizar el cumplimiento de PCI DDS, Akamai realiza pruebas de penetración externas de Secure CDN cada trimestre. Los resultados de estas pruebas de penetración trimestrales, así como los certificados y la documentación sobre cumplimiento, están a disposición de los clientes bajo un acuerdo de confidencialidad (NDA).

Descargas / Vínculos

Servicios de Akamai aplicables

  • Secure CDN con Enhanced TLS y servicios que se ejecutan en ella
  • Productos de rendimiento web como Ion, cuando se ejecutan en Secure CDN con Enhanced TLS
  • Bot Manager Premier
  • Productos de seguridad en la nube, como Kona Site Defender y Bot Manager cuando se ejecutan en Secure CDN con Enhanced TLS
  • Servicios de gestión del rendimiento digital mPulse
  • Page Integrity Manager

Preguntas y respuestas

¿Cuenta Akamai con certificación de PCI DSS?

Sí. Akamai está certificada como proveedor de servicios de nivel 1 de PCI DSS 3.2.1, el nivel más alto de evaluación disponible. La evaluación de cumplimiento la llevó a cabo Specialized Security Services, Inc., un evaluador de seguridad cualificado (QSA) independiente. La declaración de cumplimiento de PCI DSS y la matriz de responsabilidadestán disponibles públicamente.

Si mi sitio web utiliza Akamai, ¿cómo puedo estar seguro de que cumple la norma PCI DSS?

Los clientes son responsables de su propia certificación PCI DSS y deben contratar a un evaluador de seguridad cualificado (QSA) para validar sus controles y obtener la certificación. Los clientes y sus QSA pueden confiar en la certificación de cumplimiento de Akamai en relación con la parte de su entorno de datos de titulares de tarjetas para utilizar los servicios compatibles con PCI DSS de Akamai. En la Matriz de responsabilidad PCI DSS de Akamai se explican las responsabilidades de Akamai y de nuestros clientes con respecto a cada uno de los requisitos de PCI DSS. Su equipo de cuentas puede proporcionarle nuestra Guía de configuración de clientes de PCI DSS, que también proporciona más detalles.

¿Figura Akamai en el Registro global de proveedores de servicios de Visa y en la Lista de proveedores de servicios que cumplen de MasterCard?

Sí. Akamai aparece en las listas proporcionadas por Visa y MasterCard. Esto muestra que Akamai ha cumplido todos los requisitos del programa aplicables de estas principales empresas de tarjetas de pago.

¿Puedo revisar un resumen ejecutivo de las pruebas de penetración externas y de los análisis de vulnerabilidades trimestrales de los proveedores de análisis aprobados (ASV) de Akamai?

Sí. Su equipo de cuentas puede proporcionar esta información sujeta a un acuerdo de confidencialidad estándar.

Volver al principio


SOC 2 tipo 2

Descripción general

SOC (Service Organization Controls) es un estándar de seguridad establecido por el American Institute of Certified Public Accountants (AICPA) que informa sobre los controles relacionados directamente con la seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad de una organización de servicios.

Recursos

Certificación de Akamai

Akamai recibe informes anuales de SOC 2 tipo 2, los cuales demuestran que nuestros controles se auditan continuamente a lo largo del año.

Servicios de Akamai aplicables

El informe principal de SOC 2 tipo 2 de Akamai cubre los principios de confianza de seguridad y disponibilidad. Los servicios Akamai que se contemplan en este informe son los siguientes:

  • Secure CDN con TLS mejorado
  • Servicios de mitigación de Prolexic DDoS
  • Portal para clientes del Akamai Control Center
  • Sistemas adicionales compatibles con la gestión del acceso, la gestión de claves y otros sistemas de infraestructura.

Akamai Intelligent Edge Platform se compone de varios sistemas distribuidos que sirven para diversos fines y respaldan nuestros múltiples productos y servicios. Secure CDN con TLS mejorado y los sistemas compatibles analizados en el informe son los servidores y sistemas distribuidos que se utilizan para entregar y proteger las propiedades web que transmiten o procesan información confidencial del usuario final. Los servicios de Akamai que se ejecutan en Secure CDN con TLS mejorado aprovechan todos los controles de seguridad y disponibilidad probados en el informe principal de SOC 2 tipo 2. Entre los ejemplos de dichos servicios que se pueden ejecutar en Secure CDN con TLS mejorado se incluyen:

  • Productos de rendimiento web como Ion y Dynamic Site Delivery cuando se ejecutan en Secure CDN con Enhanced TLS
  • Productos de seguridad en la nube, como Kona Site Defender y Bot Manager Standard, cuando se ejecutan en Secure CDN con TLS mejorado

El informe de SOC 2 de Akamai para el servicio Akamai Identity Cloud aborda los cinco principios del servicio de confianza.

Fechas/Duración/Auditor

El informe de SOC 2 de Akamai, que cubre los principios del servicio de confianza de seguridad y disponibilidad, lo emite Ernst & Young LLP y cubre el periodo de tiempo desde el 1 de enero hasta el 30 de septiembre de cada año.

El informe de SOC 2 para Akamai Identity Cloud, que cubre los cinco principios del servicio de confianza, lo emite A-LIGN y cubre el periodo del 1 de mayo al 30 de abril de cada año.

Preguntas y respuestas

¿Quién realiza la auditoría independiente de Akamai para sus informes de SOC 2?

Ernst & Young LLP realiza auditorías independientes de las soluciones de red de distribución de contenido principales y de protección contra DDoS de Akamai, que cubren los principios del servicio de confianza de seguridad y disponibilidad.

A-LIGN Assurance realiza la auditoría independiente de Akamai de Akamai Identity Cloud, que cubre los cinco principios de servicio de confianza.

¿Cómo puedo obtener una copia del informe de SOC 2?

Su equipo de cuentas de Akamai puede proporcionarle una copia.

¿Qué regiones se tratan?

Los informes de SOC 2 de Akamai cubren los servicios de Akamai en su conjunto y no se limitan a determinadas regiones.

¿Qué periodo está cubierto por el informe de SOC 2 de Akamai?

El informe de SOC 2 de Akamai emitido por Ernst & Young LLP cubre el periodo comprendido entre el 1 de enero y el 30 de septiembre de cada año. El informe de SOC 2 de Akamai emitido por A-LIGN Assurance cubre el periodo comprendido entre el 1 de mayo y el 30 de abril de cada año.

¿Dispone de una carta provisional que incluya el periodo desde el último periodo cubierto?

Su equipo de cuentas puede proporcionarle una carta provisional que cubra el periodo del 1 de octubre al 31 de diciembre del año anterior, con respecto al informe de SOC 2 emitido por Ernst & Young LLP. Dado que el informe de SOC 2 emitido por A-LIGN Assurance cubre todo el año, no es necesario que se envíe esta carta en relación con este informe.

¿Con qué frecuencia se emiten los informes de SOC 2 de Akamai y cuándo puedo esperar recibir uno nuevo?

El informe de SOC 2 de Akamai emitido por Ernst & Young LLP se publica normalmente en el cuarto trimestre natural de cada año.

¿Cuenta Akamai con un certificado de conformidad de SOC 2?

No hay ningún certificado de conformidad. En su lugar, hay evaluadores externos cualificados que elaboran un informe sobre el cumplimiento de las organizaciones evaluadas. Este informe incluye la descripción y el alcance del sistema de la organización; además de descripciones de control para el respeto de criterios comunes, pruebas y validez de las pruebas y las descripciones de la organización.

¿Por qué hay dos informes de SOC 2 diferentes para Akamai?                                                   

Desde que el servicio Akamai Identity Cloud formó parte de la adquisición de Janrain, Inc.en 2019, hay dos informes de SOC 2 tipo 2 diferentes: Ernst & Young LLP prepara el informe que cubre nuestros principales servicios de seguridad y CDN, y A-LIGN Assurance prepara nuestro informe sobre Akamai Identity Cloud.

¿Dispone Akamai de un informe de SOC 1?

Akamai no se somete a una auditoría de SOC 1. El objetivo de un informe de SOC 1 es abordar los controles internos de un proveedor de servicios que puedan afectar los informes financieros de sus clientes. Los clientes de Akamai no externalizan los procesos comerciales de la empresa que son fundamentales para sus informes financieros, por lo que la auditoría de SOC 1 no es relevante para los servicios que Akamai ofrece.


Volver al principio


ISO 27002

Descripción general

ISO/IEC 27002:2013 es un estándar de seguridad de la información publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), denominada "Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información".

ISO/IEC 27002:2013 proporciona directrices para los estándares de seguridad de la información de las organizaciones, y prácticas de gestión de seguridad de la información (incluidas la selección, la implementación y la gestión de controles) teniendo en cuenta los entornos de riesgo de seguridad de la información de la organización.

Está diseñada para organizaciones que desean:

  • Seleccionar controles dentro del proceso de implementación de un sistema de gestión de seguridad de la información basado en ISO/IEC 27001.
  • Implementar controles de seguridad de la información comúnmente aceptados.
  • Desarrollar sus propias directrices de gestión de seguridad de la información.

Recursos

Evaluación de Akamai

Akamai se somete a evaluaciones anuales para probar el cumplimiento de la norma ISO 27002, que define los controles de los programas de seguridad de la información de una empresa. Nuestra evaluación ISO 27002 más reciente la llevó a cabo CFGI a finales de 2018 y el informe tiene fecha del 28 de febrero de 2019. Este resumen ejecutivo está disponible para clientes y partners sujetos a acuerdos de confidencialidad (MDA) con Akamai. Póngase en contacto con su equipo de cuentas para obtener más información.

Servicios de Akamai aplicables

La evaluación ISO 27002 de Akamai se aplica a todas las ofertas de Akamai y a nuestro programa general de seguridad de la información.

Preguntas y respuestas

¿Cuándo se realizó la evaluación ISO 27002 de Akamai?

CFGI llevó a cabo la última evaluación de brechas ISO 27002 de Akamai el 28 de febrero de 2019.

¿Puedo obtener una copia de la evaluación?

Su equipo de cuentas puede proporcionarle un resumen ejecutivo de nuestra última evaluación ISO 27002.

Volver al principio


NIST

Descripción general

Los controles de seguridad 800-53 del National Institute of Standards and Technology (NIST) se aplican generalmente a los sistemas de información federal de EE. UU. Para garantizar una protección suficiente de la confidencialidad, integridad y disponibilidad de los sistemas de información y de la información, los sistemas de información federales suelen llevar a cabo un proceso formal de evaluación y autorización.

El marco de ciberseguridad (CSF) del NIST cuenta con el apoyo de gobiernos y sectores de todo el mundo como referencia recomendada para su uso por parte de cualquier organización, independientemente de su sector o tamaño. Actualmente, las agencias deben implementar el CSF en la orden ejecutiva de ciberseguridad.

Recursos

Evaluación de Akamai

Akamai Intelligent Edge Platform se ha validado mediante pruebas de terceros realizadas de acuerdo con los controles 800-53 del NIST, así como con requisitos adicionales del Programa Federal de Gestión de Autorizaciones y Riesgo (FedRAMP). La autorización NIST de Akamai está en el nivel de impacto moderado.

Consulte la página de cumplimiento de FedRAMP de Akamai para obtener más información sobre el cumplimiento de FedRAMP, el cual incluye los controles del NIST pertinentes.

Descargas / Vínculos

Volver al principio


Escudo de privacidad UE-EE. UU.

Descripción general

Con objeto de facilitar la transferencia de datos personales entre la Unión Europea (UE) y los Estados Unidos (EE. UU.), el Escudo de privacidad UE-EE. UU. es un marco que regula los intercambios transatlánticos de datos personales con fines comerciales. Su objetivo es garantizar que los datos personales de los ciudadanos de la UE procesados en EE. UU. cuenten con el mismo nivel de protección que en la UE.

A su juicio, en el caso C-311/18, "Schrems II", el TJUE declaró que el programa del Escudo de privacidad no era válido. El tribunal determinó que el programa no puede proteger los datos personales de la UE transferidos a EE. UU. de la misma manera que dichos datos se protegen en la UE.

Por lo tanto, a partir de 16 de julio de 2020, el Escudo de privacidad UE-EE. UU. ya no puede funcionar como un mecanismo de transferencia de datos en el sentido del artículo 46 del RGPD. A pesar de la invalidez del programa, y cumpliendo su compromiso con el programa del Escudo de Privacidad, Akamai seguirá cumpliendo con su obligación según el programa del Escudo de Privacidad.

El marco de escudo de privacidad entre Suiza y EE. UU., está fuera del alcance del criterio de Schrems II. Sin embargo, el comisario federal de Suiza en materia de protección de datos y transparencia ha anunciado que ya no considera que el programa del escudo de privacidad entre Estados Unidos y Suiza sea eficaz tras la decisión en el caso Schrems II.

Akamai ahora solo depende de las Cláusulas contractuales estándar de la UE como mecanismo de transferencia de datos. Según lo confirmado por el TJUE en el juicio del caso Schrems II, las Cláusulas contractuales estándar de la UE pueden servir todavía como mecanismo de transferencia de datos, siempre y cuando se apliquen medidas de seguridad adicionales para proteger los datos transferidos contra el acceso de terceros.

La Declaración de transferencia de datos internacional de Akamai explica por qué es bajo el riesgo de acceso de terceros cuando se utilizan los servicios de Akamai y detalla las medidas de seguridad técnicas adoptadas para proteger los datos de forma adecuada.

Recursos

Evaluación de Akamai

Las actividades de procesamiento de Akamai están certificadas según el programa Escudo de privacidad UE-EE. UU. y el programa Escudo de privacidad Suiza-EE. UU.

Descargas / Vínculos

Servicios de Akamai aplicables

Todas las actividades de procesamiento relacionadas con los servicios de Akamai están dentro del ámbito de la certificación de Escudo de privacidad. Las actividades internas de procesamiento de RR. HH. de Akamai no están cubiertas.

En caso de que los datos de RR. HH. del cliente formen parte de las propiedades web del cliente y sean procesados por Akamai durante la prestación de los servicios de Akamai, el procesamiento de los datos de RR. HH. del cliente queda cubierto por la certificación de Escudo de privacidad de Akamai. Estas actividades de procesamiento están relacionadas con los servicios de Akamai y no se consideran actividades de procesamiento internas del departamento de RR. HH. de Akamai.

Preguntas y respuestas

¿Cuánto dura la certificación de Akamai?

El ciclo de certificación es de un año. La duración actual se describe en la certificación de Escudo de privacidad de Akamai.

Volver al principio