Compliance

Programmes de conformité d'Akamai

Découvrez comment les produits et services d'Akamai respectent les lois, réglementations, certifications et cadres en matière de confidentialité.

Centre de confiance pour la protection de la vie privée

Lois, réglementations, confidentialité

Les clients d'Akamai sont tenus de se conformer aux lois et réglementations en vigueur en matière de conformité. Akamai propose des fonctionnalités de sécurité et des accords légaux pour assurer la conformité des clients. Aucune certification formelle n'est disponible dans le cadre de ces lois et réglementations.

Alignements, cadres, auto-évaluations

Les alignements et les structures de conformité incluent les exigences de sécurité ou de conformité publiées à des fins spécifiques, destinées par exemple à un secteur ou une fonction particulière. Akamai fournit des fonctionnalités telles que des fonctions de sécurité et des documents pour ces types de programmes. Les exigences relatives à des alignements et cadres spécifiques peuvent ne pas faire l'objet d'une certification ou d'une attestation.

Centre de confiance pour la protection de la vie privée

California Consumer Privacy Act (CCPA)

 

Présentation

Le California Consumer Privacy Act de 2018 est une loi californienne visant à améliorer les droits de confidentialité et la protection des internautes pour les résidents de l'État américain.

Depuis le 1er janvier 2020, les entreprises ou organisations qui sont actives en Californie doivent se conformer à la nouvelle loi sur la protection de la vie privée qui établit un droit à la vie privée légal et applicable pour chaque résident californien. Les nouvelles réglementations ne concernent pas uniquement les entreprises basées en Californie, elles s'appliquent à toutes les entreprises qui exercent une activité dans l'État, indépendamment de l'emplacement de leur immatriculation.

Conformité d'Akamai

En ce qui concerne le CCPA, Akamai agit en tant que fournisseur de services pour nos clients. En dernier lieu, les clients sont responsables des obligations du CCPA associées à leurs propriétés Internet qui utilisent les services Akamai.

Tous les services Akamai sont conformes au CCPA. Cela signifie que non seulement les clients peuvent continuer à utiliser leurs services Akamai existants, mais ils peuvent également déployer des services tels qu'Akamai Identity Cloud dans le cadre de leur stratégie de conformité CCPA.

Le CCPA exige que les données personnelles d'internautes provenant de Californie traitées par une entreprise soient correctement et suffisamment gérées et protégées. Dans un monde interconnecté, où de nombreux sites et applications Web recueillent et utilisent des données personnelles, cela peut se révéler complexe. L'Akamai Intelligent Edge Platform peut être exploitée pour aider les clients à relever ce défi. Elle offre une stratégie de gestion des données et des fonctionnalités de sécurité solides, basées sur un outil de gestion des données en libre-service, une équipe de professionnels de la sécurité qualifiés, des processus flexibles et de haute qualité, ainsi qu'une technologie de pointe reconnue.

Ressources CCPA

Services Akamai applicables

Tous les services Akamai sont applicables.

Haut de page

 

Lois sur la protection de la vie privée et la confidentialité des communications électroniques

 

Présentation

Les lois sur la protection de la vie privée et la confidentialité des communications électroniques sont un instrument juridique important qui garantit le droit à la confidentialité dans les communications électroniques et le marketing digital. La version actuelle de la Directive 2009/136/CE a été mise en œuvre dans les lois locales par la plupart des États membres de l'UE.

La Directive vie privée et communications électroniques cible les fournisseurs de services de télécommunications et comprend les éléments suivants :

  • Sécurité des réseaux et des services
  • Confidentialité des communications
  • Accès aux données stockées sur les terminaux
  • Traitement des données de trafic et de localisation
  • Identification de la ligne appelante
  • Annuaires d'abonnés publics
  • Communications commerciales non sollicitées (« spam »)
  • Utilisation des cookies

Les principales modifications apportées à la Directive 2009/136/CE actuelle par rapport à la version de 2002 ont été l'introduction d'une exigence de notification de violation de données pour les fournisseurs de services de télécommunications et l'exigence du consentement pour l'utilisation des cookies.

La Directive vie privée et communications électroniques est en cours d'examen par les organes de l'UE afin de devenir une réglementation qui prévaudra sur le RGPD plus général, en ce qui concerne les données personnelles dans les communications électroniques. Cette directive diffère de celle existante dans la mesure où le champ d'application de la réglementation sur la protection de la vie privée et la confidentialité des communications électroniques s'étend aux fournisseurs de services de communication OTT.

Conformité d'Akamai

Akamai a assuré sa conformité aux diverses exigences de la Directive 2009/136/CE et à ses implémentations locales, telles que les bannières de cookies sur ses sites Web, le mécanisme de désinscription des cookies utilisés lors de la prestation des services, et les performances des activités marketing conformément aux exigences de la Directive vie privée et communications électroniques.

Services Akamai applicables

Toutes les solutions de sécurité d'Akamai, y compris les solutions d'analyse Web et mobiles (mPulse, CloudTest), sont applicables.

Questions-réponses

Le service mPulse d'Akamai est-il conforme aux lois sur la protection de la vie privée et la confidentialité des communications électroniques ?

Oui, tous les services d'Akamai sont conformes à la Directive vie privée et communications électroniques. Pour mPulse, lisez le livre blanc « mPulse - Conformité aux lois sur la protection des données ».

Haut de page 

Akamai and the GDPR Thumbnail
???Watch the Video???

Règlement général sur la protection des données (RGPD)

 

Présentation

Le Règlement général sur la protection des données (RGPD), en vigueur depuis le 25 mai 2018, est la loi actuelle en matière de protection des données de l'Union européenne (UE) qui vise à harmoniser les lois locales sur la protection des données en Europe. Depuis sa création, cette loi a incité les entreprises du monde entier à renforcer leurs politiques de confidentialité et à établir de meilleures pratiques en matière de protection des données.

Le RGPD demande aux entreprises de gérer et de sécuriser toute opération impliquant le traitement de données personnelles dans l'Union européenne afin de prévenir les accès non autorisés. Le non-respect du RGPD peut entraîner des amendes, qui impactent matériellement une organisation.

Le Règlement général sur la protection des données de l'UE

Conformité d'Akamai

Les services d'Akamai sont conformes au RGPD. Cela signifie non seulement que les clients peuvent continuer à utiliser Akamai, mais qu'ils peuvent également déployer des services Akamai dans le cadre de leur stratégie de conformité au RGPD. Le RGPD exige que les données personnelles provenant de l'UE traitées par une entreprise soient correctement et suffisamment gérées et protégées. Dans un monde interconnecté, où de nombreux sites et applications Web recueillent et utilisent des données personnelles, cela peut se révéler complexe. L'Akamai Intelligent Edge Platform peut être exploitée pour aider les clients à relever ce défi. Elle offre une stratégie de gestion et de sécurité des données solide, basée sur un outil de gestion des données en libre-service, une équipe d'experts professionnels de la sécurité, des processus flexibles et de haute qualité, ainsi qu'une technologie de pointe reconnue.

GDPR
Architecture de référence d'Akamai Identity Cloud.

Akamai décrit les activités de traitement lors de la prestation de ses services dans le document « Rôle et activités de traitement des données à caractère personnel d'Akamai ».

En outre, Akamai demande à ses clients de convenir d'un accord de traitement des données afin de garantir la conformité du client et d'Akamai avec l'Art. 28 du RGPD concernant le traitement des données personnelles lors de la prestation de services d'Akamai.

Services Akamai applicables

Tous les services Akamai s'appliquent.

Questions-réponses

Le service mPulse d'Akamai est-il conforme au RGPD ?

Oui, tous les services Akamai sont conformes au RGPD. Pour mPulse, lisez le livre blanc « mPulse - Conformité aux lois européennes sur la protection des données ».

Haut de page

 

HIPAA / HITECH

 

Présentation

La loi américaine HIPAA (Health Insurance Portability and Accountability Act) de 1996 définit les exigences relatives au traitement des informations personnelles identifiables par les prestataires de soins de santé et les compagnies d'assurance.

La loi HITECH (Health Information Technology for Economic and Clinical Health Act) de 2009 définit les droits d'accès aux données de santé personnelles et les mécanismes dont les patients disposent pour garder le contrôle de leurs données. Elle élargit l'échange d'informations de santé électroniques protégées ainsi que le champ d'application des mesures de protection de la confidentialité et de la sécurité de la loi HIPAA.

Ressources

Conformité Akamai

Les lois HIPAA et HITECH ne s'appliquent pas directement à Akamai en tant que fournisseur de services de diffusion de contenu et de sécurité Web. Néanmoins, lorsqu'Akamai est engagé par ses clients du secteur de la santé pour traiter les données de santé, il peut être considéré comme un partenaire commercial, auquel cas un Accord de partenariat commercial (Business Associate Agreement) peut être requis entre Akamai et le client du secteur de la santé. Une copie de l'Accord de partenariat commercial standard d'Akamai est disponible sur demande.

Afin de garantir la conformité avec le Règlement de sécurité HIPAA, Akamai procède à une évaluation annuelle. Le Résumé de cette évaluation et/ou la lettre associée par les évaluateurs est disponible pour les clients et partenaires d'Akamai soumis à un accord de non-divulgation (NDA).

Ressources

Services Akamai applicables

Les services de sécurité et de performances Web d'Akamai, quand ils sont exécutés sur le réseau de diffusion de contenu (CDN) sécurisé d'Akamai avec un service TLS renforcé et Akamai Identity Cloud, lorsque tous ces services sont utilisés pour traiter des informations personnelles identifiables par des fournisseurs de services de santé et d'assurance.

Questions-réponses

Quand a eu lieu l'évaluation HIPAA la plus récente d'Akamai ?

L'évaluation la plus récente de la conformité d'Akamai avec le Règlement de sécurité HIPAA a été réalisée par CFGI. Pour plus d'informations, contactez votre équipe chargée de compte.

Akamai est-il certifié HIPAA ?

Non, une telle certification n'existe pas. La conformité avec la loi HIPAA est un processus permanent. Akamai forme ses employés aux exigences de l'HIPAA et s'assure qu'ils en respectent les politiques et procédures.

Akamai signe-t-il des Accords de partenariat commercial avec les clients ?

Dans la mesure où Akamai transmet des informations personnelles sur la santé tout en fournissant des services aux client de l'entité visée, de sorte qu'il fonctionne comme un « partenaire commercial », Akamai doit conclure l'Accord de partenariat commercial requis dans le cadre de son processus de contrat normal. Une copie de l'Accord de partenariat commercial standard d'Akamai est disponible sur demande.

Akamai est-il évalué dans le cadre du HITRUST CSF (Health Information Trust Alliance Common Security Framework) ?

Akamai n'est pas évalué dans le cadre du HITRUST CSF. Akamai fait l'objet d'audits annuels menés par des auditeurs indépendants accrédités, afin de garantir sa conformité permanente aux normes HIPAA et HITECH pour les services identifiés comme appropriés avec des informations de santé protégées.

Haut de page

 

LGPD (Brésil)

 

Présentation

La loi brésilienne Lei Geral de Proteção de Dados, la loi fédérale n° 13.709/2018 sur la protection des données (« LGPD »), entrera en vigueur le 16 août 2020. Le LGPD crée un nouveau cadre juridique pour l'utilisation des données personnelles au Brésil, aussi bien en ligne que hors ligne, dans les secteurs privé et public. L'Autorité nationale de protection des données (ANPD) a été créée en tant qu'autorité de contrôle, et chargée de superviser et d'appliquer le LGPD.

Ressources

Conformité d'Akamai

Les services d'Akamai sont conformes au LGPD. Cela signifie non seulement que les clients peuvent continuer à utiliser les services Akamai, mais qu'ils peuvent également déployer ces derniers dans le cadre de leur stratégie de conformité au LGPD. Le LGPD exige que les données personnelles provenant du Brésil traitées par une entreprise soient correctement et suffisamment gérées et protégées. Dans un monde interconnecté, où de nombreux sites et applications Web recueillent et utilisent des données personnelles, cela peut se révéler complexe.

L'Akamai Intelligent Edge Platform peut être exploitée pour aider les clients à relever ce défi en proposant une stratégie de gestion et de sécurité des données solide, basée sur un outil de gestion des données en libre-service, une équipe d'experts professionnels de la sécurité, des processus flexibles et de haute qualité, ainsi qu'une technologie de pointe reconnue.

Téléchargements / Liens

Centre de confiance pour la protection de la vie privée

Services Akamai applicables

Tous les services sont applicables.

Questions-réponses

En quoi le LGPD diffère-t-il du RGPD ?

Le LGPD diffère du RGPD dans certains domaines. Par exemple, dans le cadre du LGPD, il existe dix bases juridiques à satisfaire pour l'activité de traitement, contre six bases juridiques énoncées dans le RGPD.

Existe-t-il un délai en vertu du LGPD pour se conformer à l'obligation de notification de violation de données ?

Le LGDP n'établit pas de délai au cours duquel un responsable du traitement doit signaler les violations de données. Cette échéance doit être définie par l'ANPD.

Haut de page

 

MAS (Singapour)

 

Présentation

L'Autorité monétaire de Singapour (MAS) réglemente les institutions financières des secteurs bancaire, des marchés de capitaux, de l'assurance et des paiements constituées à Singapour. Aucune de ses réglementations ne s'applique directement à Akamai en tant que fournisseur de services de diffusion de contenu et de sécurité Web. Néanmoins, lorsqu'Akamai est engagée par ses clients de services financiers de Singapour pour traiter des données financières, l'entreprise peut être considérée comme un fournisseur de services d'externalisation soumis aux réglementations de la MAS. Les Lignes directrices sur l'externalisation MAS, destinées aux institutions financières locales et portant sur la gestion des risques liés aux accords d'externalisation, couvrent entre autres :

  • Engagement auprès de la MAS en matière d'externalisation
  • Pratiques saines en matière de gestion des risques des accords d'externalisation
  • Cloud computing

Ressources

Modifications :

Conformité Akamai

Les services Akamai utilisés par les fournisseurs de services financiers constitués à Singapour sont considérés comme des activités externalisées dans le cadre de ces lignes directrices. Les services Akamai étant conformes aux lignes directrices, les clients de services financiers constitués à Singapour peuvent non seulement continuer à utiliser les services Akamai, mais également les déployer comme des parts essentielles de leur stratégie de conformité en matière d'externalisation.

Services Akamai applicables

  • CDN sécurisé avec Enhanced TLS et services associés
  • Produits de performances Web comme Ion, lorsqu'ils s'exécutent sur le CDN sécurisé avec Enhanced TLS
  • Produits de sécurité dans le cloud, tels que Kona Site Defender et Bot Manager lorsqu'ils s'exécutent sur le CDN sécurisé avec Enhanced TLS
  • Services de protection contre les attaques DDoS Prolexic
  • Akamai Identity Cloud

Haut de page

 

Revised Payment Services Directive PSD2
???Watch the Video???

Directive sur les services de paiement (« DSP2 »)

 

Présentation

La directive révisée sur les services de paiement (DSP2) de l'UE et l'Open Banking, ainsi que la mise en œuvre de la DSP2 au Royaume-Uni, exigent des institutions financières qu'elles ouvrent leur infrastructure de paiement et accordent aux prestataires tiers un accès aux données de compte bancaire de leurs clients. Les organismes de réglementation ont mis en place cette initiative afin de faciliter l'innovation, la concurrence et l'efficacité des services financiers en permettant à des prestataires tiers de fournir aux utilisateurs des services de paiement et des informations sur leurs comptes.

Ressources

Conformité Akamai

Les solutions Akamai aident les institutions financières à se conformer à la DSP2 en améliorant l'expérience client, la stabilité des applications et les contrôles de sécurité. L'Akamai Intelligent Edge Platform sert de conduit pour la communication entre les prestataires tiers et l'institution financière. Les services de sécurité d'Akamai protègent les API de l'institution de tout accès non autorisé et garantissent que seules les demandes d'accès authentifiées sont traitées. Akamai contribue à la conformité DSP2 en :

  • Améliorant l'expérience client
  • Fournissant un service de contrôle d'accès et de gouvernance des API
  • Protégeant les API contre les attaques
  • Fournissant une communication commune et sécurisée (certificats SSL/TLS)
  • Empêchant la capture de données d'écran (« screen scraping »)

Téléchargements / Liens

Akamai Compliance PSD2 Callout Image
Les API internes et les applications propriétaires sont remplacées par des API publiques et des applications tierces lorsque des prestataires tiers servent d'intermédiaires entre une banque et ses clients.
Akamai Compliance PSU Authorization Flow Callout Image
Flux d'autorisation entre l'utilisateur des services de paiement (PSU), le prestataire tiers (TPP) et le fournisseur de services de paiement des services de compte (ASPSP).

Services Akamai applicables

Identity Cloud, diffusion de contenu sécurisé, Kona Site Defender, Ion, DSA et API Gateway.

Questions-réponses

L'Open Banking est-il la même chose que la DSP2 ?

L'Open Banking est la mise en œuvre de la DSP2 au Royaume-Uni. Elle est fondée sur une décision, rendue en août 2016 par l'Autorité britannique de la concurrence et des marchés (CMA), stipulant que les neuf plus grandes banques britanniques doivent autoriser aux startups sous licence un accès direct à leurs données jusqu'au niveau des transactions de compte. Voir également Wikipédia.

Pourquoi la mise en œuvre de la DSP2 est-elle toujours une solution personnalisée ?

La mise en œuvre de la DSP2 sera toujours personnalisée en raison des besoins uniques de chaque fournisseur de confiance délivrant les certifications, de la législation spécifique des pays de l'UE et des exigences de conformité internes relatives aux politiques de chaque entreprise.

Haut de page

 

Infrastructure critique (Allemagne)

 

Présentation

Depuis juin 2017, Akamai répond aux exigences des fournisseurs de services d'infrastructure critique pour ses services de réseau de diffusion de contenu en Allemagne, mis en œuvre par le BSI allemand (Bureau fédéral pour la sécurité de l'information). Conformément à la législation sous-jacente, la Loi BSI, Akamai réalise un audit tiers tous les deux ans afin de prouver que ses mesures techniques et organisationnelles protègent de manière appropriée son système et garantissent la disponibilité, l'intégrité, l'authenticité et la confidentialité de ses services.

Ressources

Évaluation Akamai

Au premier trimestre 2019, Akamai Allemagne a effectué l'audit, qui a été accepté par le BSI. L'audit est basé sur le rapport SOC 2 Type 2 2018 d'Akamai et l'évaluation ISO 27002, ainsi que sur trois audits sur site dans des centres de données en Allemagne.

Téléchargements / Liens

Services Akamai applicables

  • CDN Akamai

Questions-réponses

Depuis combien de temps les services de réseau de diffusion de contenu (CDN) d'Akamai sont-ils des services d'infrastructure critique en Allemagne ?

Depuis juin 2017.

Qu'en est-il des services de sécurité d'Akamai ?

Les services de sécurité ne sont pas considérés comme un service d'infrastructure critique selon la loi BSI. Akamai est un fournisseur recommandé de services de protection contre les attaques par déni de service distribué (DDoS) pour d'autres fournisseurs de services d'infrastructure critique. Voir également les Fournisseurs de services de lutte contre les attaques DDoS qualifiés (allemand).

Haut de page

 

CSA STAR niveau 2

 

Présentation

Le programme CSA STAR (Cloud Security Alliance Security Trust Assurance and Risk) réunit les principes clés en matière de transparence, de rigueur des audits et d'harmonisation des normes. En utilisant le programme STAR, les entreprises attestent de leur usage des meilleures pratiques et consolident la stratégie de sécurité de leurs offres cloud.

Le registre STAR consigne tous les contrôles de sécurité et de confidentialité fournis avec les offres principales de cloud computing. Ce registre accessible au public permet aux clients sur le cloud d'évaluer leurs fournisseurs de solutions de sécurité afin de faire les meilleurs choix en matière d'approvisionnement.

Ressources

Certification Akamai

Identity Cloud a obtenu l'attestation Cloud Security Alliance (CSA) de niveau 2, type 2 (audit tiers).

Services Akamai applicables

  • Akamai Identity Cloud

Dates / Durée / Auditeur

A-LIGN Assurance exécute l'attestation CSA de niveau 2, type 2 d'Akamai.

La dernière évaluation d'Akamai couvre la période du 1er mai 2018 au 30 avril 2019 et est valable jusqu'au 1er mai 2020.

Questions-réponses

Comment puis-je obtenir une copie de l'attestation CSA de niveau 2, type 2 d'Akamai ?

L'équipe chargée de votre compte Akamai peut vous fournir une copie de ce rapport.

Haut de page

 

FedRAMP

 

Présentation

Le Federal Risk and Authorization Management Program (FedRAMP) est un programme de conformité du gouvernement des États-Unis, qui fournit une approche standardisée de l'évaluation, de l'autorisation et de la surveillance continue de la sécurité des produits et services cloud.

FedRAMP a créé et gère un ensemble de processus essentiels pour garantir une sécurité dans le cloud efficace et reproductible pour le gouvernement américain. Le programme a établi un Marketplace mature pour accroître l'utilisation et la connaissance des services cloud.

Ressources

Certification Akamai

L'Akamai Intelligent Edge Platform dispose d'une autorisation opérationnelle provisoire (P-ATO) décernée par le Joint Authorization Board (JAB) dans le cadre du programme FedRAMP, pour une base de référence modérée, en tant que fournisseur d'infrastructure en tant que service (IaaS).

Téléchargements / Liens

Services Akamai applicables

  • Intelligent Edge Platform pour la diffusion HTTP et HTTPS (connue sous le nom de réseaux ESSL et FreeFlow) et les services qui s'exécutent sur ces réseaux
  • Fast DNS (avec DNSSEC)
  • NetStorage
  • Services de streaming multimédia
  • Akamai Control Center
  • Global Traffic Management

Dates / Durée / Auditeur

L'évaluateur tiers d'Akamai pour FedRAMP est Coalfire Systems, Inc.

Akamai bénéficie de l'autorisation de FedRAMP depuis le 23 août 2013 et fait l'objet d'évaluations annuelles et d'une surveillance continue pour garantir sa conformité permanente.

Questions-réponses

Comment accéder à la documentation FedRAMP d'Akamai ?

Les clients peuvent obtenir le « Formulaire de demande d'accès au package » sur le site Web du Marketplace FedRAMP.

Quel est le Niveau d'impact d'Akamai selon FedRAMP ?

L'autorisation FedRAMP d'Akamai présente un Niveau d'impact modéré. Selon FedRAMP, un système à impact modéré comprend « près de 80 % des applications de fournisseurs de services de communication (CSP) recevant l'autorisation FedRAMP et est le plus approprié pour les responsables de la sécurité (CSO) là où la perte de confidentialité, d'intégrité et de disponibilité entraînerait des effets néfastes graves sur les opérations, les actifs ou les individus d'une agence. Les effets néfastes graves peuvent inclure des dommages opérationnels importants aux actifs de l'agence, des pertes financières ou des dommages individuels qui ne sont pas un décès ou une atteinte physique. »

À l'heure actuelle, Akamai n'a pas demandé d'autorisation FedRAMP pour le Niveau d'impact élevé.

Haut de page

 

IRAP (Australie)

 

Présentation

Le programme IRAP (Information Security Registered Assessors Program, Programme d'évaluateurs agréés de sécurité de l'information) est une initiative du service de renseignement australien (Australian Signals Directorate, ASD) visant à fournir aux autorités gouvernementales des services de haute qualité pour l'évaluation de la sécurité des technologies de l'information et de la communication (ICT). Le Centre de la cybersécurité australien (Australian Cyber Security Center, ACSC), rattaché à l'ASD, a publié le Guide de sécurité de l'information (Information Security Manual, ISM) du gouvernement australien. L'objectif de l'ISM est de décrire une structure de cybersécurité que les entreprises peuvent mettre en place afin de protéger leurs informations et leurs systèmes des menaces en ligne.

L'ISM est constitué de plus de 600 contrôles de sécurité permettant de définir des exigences de sécurité dans plus de 80 domaines, tels que :

  • Les incidents liés à la cybersécurité
  • Les durcissements de systèmes
  • La gestion des failles de sécurité
  • L'application de correctifs
  • Le chiffrement
  • La conception de réseaux
  • Le développement d'applications

Ressources

Conformité Akamai

Chaque année, Akamai se soumet à une évaluation de conformité aux contrôles de sécurité IRAP définis dans l'ISM par un auditeur indépendant. La première évaluation IRAP d'Akamai a été réalisée début 2019. Ce processus a permis d'évaluer à la fois les environnements de réseaux de production et d'entreprise d'Akamai. Le rapport d'évaluation de la conformité obtenu suite à cette évaluation a été réalisé par NJOY Security le 8 avril 2019. Le résumé de l'évaluation de la conformité d'Akamai aux normes de sécurité IRAP et la lettre de l'évaluateur IRAP officiel à ce sujet sont accessibles sous réserve de la signature d'un accord de non-divulgation (NDA).

Pour en savoir plus, veuillez contacter l'équipe chargée de votre compte Akamai.

Services Akamai applicables

  • CDN sécurisé avec Enhanced TLS et les services qui s'y exécutent
  • Produits de performances Web comme Ion, lorsqu'ils s'exécutent sur le CDN sécurisé avec Enhanced TLS
  • Bot Manager Standard et Premier
  • Produits de sécurité dans le cloud, tels que Kona Site Defender et Bot Manager, lorsqu'ils s'exécutent sur le CDN sécurisé avec Enhanced TLS
  • Fast DNS

Dates / Durée / Auditeur

La dernière évaluation d'Akamai a été réalisée par NJOY le 8 avril 2019

Haut de page

 

ISO/CEI 27001:2013 et ISO/CEI 27018:2014

 

Présentation

La norme ISO/CEI 27001 définit de manière formelle un système de gestion de la sécurité de l'information (Information Security Management System, ISMS), une suite d'activités relatives à la gestion des risques liés à l'information. L'ISMS est un cadre de gestion global par lequel l'organisation identifie, analyse et traite les risques liés à l'information. L'ISMS garantit que les dispositions de sécurité sont réglées pour s'adapter aux changements apportés aux menaces de sécurité, aux vulnérabilités et à l'impact sur l'entreprise, un aspect important dans un domaine aussi dynamique.

Ressources

Cette norme fournit des directives visant à garantir que les fournisseurs de services cloud offrent des contrôles de sécurité de l'information adaptés à la protection de la confidentialité des clients de leurs propres clients, en sécurisant les informations à caractère personnel qui leur sont confiées.

La norme sert de référence pour la sélection des contrôles de protection des informations à caractère personnel lors de la mise en œuvre d'un système de cloud computing pour la gestion de la sécurité de l'information basé sur la norme ISO/CEI 27001. Elle fournit également des conseils sur la mise en œuvre de contrôles de protection des informations à caractère personnel.

Ressources

Certification Akamai

Identity Cloud a obtenu ses dernières certifications ISO 27001 et 27018 le 22 avril 2019.

Services Akamai applicables

  • Akamai Identity Cloud

Dates / Durée / Auditeur

A-LIGN Assurance exécute l'attestation CSA de niveau 2, type 2 d'Akamai.

La dernière évaluation d'Akamai couvre la période du 1er mai 2018 au 30 avril 2019 et est valable jusqu'au 1er mai 2020.

Questions-réponses

Quelles régions sont couvertes par la conformité ISO 27001/27018 d'Akamai ?

La certification ISO 27001/27018 du service Akamai Identity Cloud couvre toutes les régions du monde, à l'exception de la Fédération de Russie.

Comment obtenir une copie des certifications ISO 27001 et 27018 d'Akamai ?

L'équipe chargée de votre compte peut vous fournir ces certifications.

Haut de page

 

Norme PCI DSS Niveau 1

 

Présentation

Toute entreprise devant stocker, traiter ou transmettre des données de cartes de paiement doit respecter la norme Payment Card Industry Data Security Standard (PCI DSS). Développée par les plus grandes sociétés de cartes de crédit, la norme PCI DSS définit les mesures nécessaires pour protéger les données ainsi que les procédés et procédures liés aux transactions financières en ligne. Les entreprises qui ne sont pas en mesure de respecter la norme PCI DSS sont soumises à des amendes et pénalités conséquentes.

Comme le Conseil des normes de sécurité PCI l'a établi, la norme PCI DSS impose :

  • le développement et la tenue à jour d'une règle de sécurité englobant tous les aspects de l'entreprise ;
  • l'installation de pare-feu pour protéger les données ;
  • le chiffrement des données de titulaire de cartes transmises sur des réseaux publics ;
  • l'utilisation et la mise à jour régulière d'un logiciel antivirus ;
  • le choix de mots de passe forts et d'autres protocoles de cybersécurité ;
  • la mise en place de contrôles d'accès stricts et le suivi des accès aux données des comptes.

Pour les grands commerçants et fournisseurs de services traitant un nombre important de transactions financières en ligne, le respect de la norme PCI DSS doit être validé chaque année par un expert en sécurité qualifié (Qualified Security Assessor, QSA).

Ressources

Certification Akamai

L'attestation de conformité (Attestation of Compliance, AoC) d'Akamai sert de preuve pour nos clients que nos services concernés sont conformes à la norme de sécurité PCI DSS v. 3.2.1.

Dans le cadre de la norme PCI DSS, Akamai fait effectuer par un tiers externe un test de pénétration trimestriel du réseau de diffusion de contenu (CDN) sécurisé. Les résultats de ces tests de pénétration trimestriels ainsi que la documentation de conformité et/ou de certification sont disponibles pour les clients et soumis à un accord de non-divulgation (NDA).

Téléchargements / Liens

Services Akamai applicables

  • CDN sécurisé avec Enhanced TLS et les services qui s'y exécutent
  • Produits de performances Web comme Ion, lorsqu'ils s'exécutent sur le CDN sécurisé avec Enhanced TLS
  • Bot Manager Premier
  • Produits de sécurité dans le cloud, tels que Kona Site Defender et Bot Manager, lorsqu'ils s'exécutent sur le CDN sécurisé avec Enhanced TLS
  • Services de gestion des performances digitales mPulse
  • Enterprise Application Access (EAA), le composant principal des solutions de sécurité d'entreprise Zero Trust d'Akamai (akamai.com/fr/fr/solutions/security/zero-trust-security-model.jsp)

Questions-réponses

Akamai est-il certifié PCI DSS ?

Oui, Akamai est certifié en tant que fournisseur de services PCI DSS 3.2.1 de niveau 1, le plus haut niveau d'évaluation disponible. L'évaluation de la conformité a été réalisée par Specialized Security Services, Inc., un expert en sécurité qualifié (Qualified Security Assessor, QSA) indépendant. L'Attestation de conformité et la Matrice des responsabilités PCI DSS sont accessibles au public.

Si mon site Web utilise Akamai, comment puis-je m'assurer qu'il est conforme à la norme PCI DSS ?

Les clients sont responsables de leur propre certification PCI DSS et doivent faire appel à un expert en sécurité qualifié (QSA) pour valider leurs contrôles et obtenir une certification. Les clients et leurs QSA peuvent compter sur l'Attestation de conformité d'Akamai pour la partie de leur environnement traitant les données des titulaires de carte, afin d'utiliser les services conformes PCI DSS d'Akamai. La Matrice des responsabilités PCI DSS d'Akamai énonce les responsabilités d'Akamai et de ses clients en ce qui concerne chacune des exigences PCI DSS. L'équipe chargée de votre compte peut vous fournir notre Guide de configuration client PCI DSS, pour plus de détails.

Akamai est-il répertorié dans le Registre mondial des fournisseurs de services Visa et dans la Liste des fournisseurs de services conformes MasterCard ?

Oui. Akamai est répertorié dans les listes fournies par Visa et MasterCard. Cela indique qu'Akamai a satisfait à toutes les exigences de programme applicables de ces grandes sociétés de cartes de paiement.

Puis-je consulter un résumé des analyses de vulnérabilité et des tests de pénétration externes trimestriels d'Akamai réalisés par un Prestataire d'analyse approuvé (Approved Scanning Vendor, ASV) ?

Oui. L'équipe chargée de votre compte peut vous fournir ces informations sous réserve d'un accord standard de non-divulgation.

Haut de page

 

SOC 2 Type 2

 

Présentation

La SOC (Service Organization Controls) est une norme de sécurité établie par l'American Institute of Certified Public Accountants (AICPA) qui crée des rapports sur les contrôles directement liés à la sécurité, à la disponibilité, à l'intégrité du traitement, à la confidentialité et à la protection de la vie privée au sein d'une organisation de services.

Ressources

Certification Akamai

Akamai reçoit des rapports SOC 2 Type 2 annuels démontrant que nos contrôles de sécurité sont surveillés en permanence au cours de l'année.

Services Akamai applicables

Les principes du service de confiance vis-à-vis de la sécurité et de la disponibilité sont couverts pour les produits suivants :

  • CDN sécurisé avec Enhanced TLS et services associés
  • Produits de performances Web comme Ion, lorsqu'ils s'exécutent sur le CDN sécurisé avec Enhanced TLS
  • Produits de sécurité dans le cloud, tels que Kona Site Defender et Bot Manager, lorsqu'ils s'exécutent sur le CDN sécurisé avec Enhanced TLS
  • Services de protection contre les attaques DDoS Prolexic

Tous les principes du service de confiance sont couverts pour les produits suivants :

  • Identity Cloud

Dates / Durée / Auditeur

Le rapport SOC 2 d'Akamai, qui porte sur les principes du service de confiance vis-à-vis de la sécurité et de la disponibilité, est généré par Ernst & Young LLP et couvre la période de janvier à septembre de chaque année.

Le rapport SOC 2 d'Akamai Identity Cloud, qui couvre les cinq principes du service de confiance, est généré par A-LIGN et couvre la période du 1er mai au 30 avril de chaque année.

Questions-réponses

Qui effectue l'audit indépendant d'Akamai pour ses rapports SOC 2 ?

Ernst & Young LLP réalise des audits indépendants des principales solutions de réseau de diffusion de contenu d'Akamai, qui couvrent les principes de sécurité et de disponibilité du service de confiance.

A-LIGN Assurance évalue Akamai en effectuant l'audit indépendant de l'Akamai Identity Cloud, qui couvre les cinq principes du service de confiance.

Comment obtenir une copie du rapport SOC 2 ?

L'équipe chargée de votre compte Akamai peut vous fournir une copie.

Quelles sont les régions couvertes ?

Les rapports SOC 2 d'Akamai couvrent l'ensemble des services d'Akamai et ne se limitent pas à certaines régions.

Quelle est la période couverte par le rapport SOC 2 d'Akamai ?

Le rapport SOC 2 d'Akamai réalisé par Ernst & Young LLP couvre la période du 1er janvier au 30 septembre de chaque année. Le rapport SOC 2 d'Akamai réalisé par A-LIGN Assurance couvre la période du 1er mai au 30 avril de chaque année.

Avez-vous une lettre de transition pour la période suivant la dernière période couverte ?

Pour le rapport SOC 2 réalisé par Ernst & Young LLP, l'équipe chargée de votre compte peut vous fournir une lettre de transition couvrant la période du 1er octobre au 31 décembre de l'année précédente. Puisque le rapport SOC 2 de A-LIGN Assurance couvre l'ensemble de l'année, il n'est pas nécessaire d'avoir une lettre de transition pour ce rapport.

À quelle fréquence les rapports SOC 2 d'Akamai sont-ils publiés et à quel moment puis-je m'attendre à en recevoir un nouveau ?

Le rapport SOC 2 d'Akamai réalisé par Ernst & Young LLP est généralement publié au dernier trimestre de chaque année calendaire.

Akamai dispose-t-il d'un certificat de conformité SOC 2 ?

Il n'existe pas de certificat de conformité. Au lieu de cela, les évaluateurs tiers qualifiés produisent un rapport sur la conformité de l'organisme évalué, qui inclut une description de son système, sa portée, des descriptions des contrôles pour l'établissement de critères communs, des éléments de preuve et l'adéquation des descriptions et des éléments de preuve de l'organisme.

Pourquoi existe-t-il deux rapports SOC 2 différents pour Akamai ?

Le service Akamai Identity Cloud faisant partie de l'acquisition de Janrain, Inc. par Akamai en 2019, il existe deux rapports SOC 2 Type 2 différents : Ernst & Young LLP prépare le rapport couvrant nos principaux CDN et services de sécurité, tandis que A-LIGN Assurance rédige notre rapport pour Akamai Identity Cloud.

Akamai a-t-il un rapport SOC 1 ?

Akamai ne fait pas l'objet d'un audit SOC 1 (axé sur les contrôles financiers). Akamai étant une entreprise cotée en bourse aux États-Unis, nous sommes tenus par la loi Sarbanes-Oxley et d'autres réglementations de rendre notre situation financière accessible au public. Les clients et les prospects peuvent accéder à nos états financiers annuels et à nos formulaires 10-K sur la page Relations avec les investisseurs de notre site Web.

Haut de page

 

CSA STAR niveau 1

 

Présentation

Le programme CSA STAR (Cloud Security Alliance Security Trust Assurance and Risk) réunit les principes clés en matière de transparence, de rigueur des audits et d'harmonisation des normes. En utilisant le programme STAR, les entreprises attestent de leur usage des meilleures pratiques et consolident la stratégie de sécurité de leurs offres cloud.

Le registre STAR consigne tous les contrôles de sécurité et de confidentialité fournis avec les offres principales de cloud computing. Ce registre accessible au public permet aux clients sur le cloud d'évaluer leurs fournisseurs de solutions de sécurité afin de faire les meilleurs choix en matière d'approvisionnement.

Ressources

Évaluation Akamai

En juillet 2019, Akamai a publié un rapport prenant acte de sa conformité à la liste de contrôles de sécurité cloud, Cloud Controls Matrix (CCM), dans le cadre de son auto-évaluation CSA STAR. Cette démarche permet de répertorier les contrôles de sécurité fournis par diverses offres de cloud computing, aidant ainsi les utilisateurs à évaluer la sécurité de leurs fournisseurs de solutions cloud.

Le rapport est disponible publiquement dans le registre STAR. Akamai s'engage à encourager la transparence dans le secteur des services cloud et à fournir à ses clients une visibilité sur les pratiques de sécurité.

Téléchargements / Liens

Services Akamai applicables

  • CDN sécurisé avec Enhanced TLS et services associés
  • Produits de performances Web comme Ion, lorsqu'ils s'exécutent sur le CDN sécurisé avec Enhanced TLS
  • Produits de sécurité dans le cloud, tels que Kona Site Defender et Bot Manager, lorsqu'ils s'exécutent sur le CDN sécurisé avec Enhanced TLS

Questions-réponses

Quand l'auto-évaluation CSA STAR d'Akamai a-t-elle été effectuée ?

La dernière auto-évaluation CSA STAR niveau 1 d'Akamai date du 2 juillet 2019.

Haut de page

 

ISO 27002

 

Présentation

ISO/CEI 27002:2013 est une norme de sécurité de l'information publiée par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI), connue sous les appellations technologies de l'information -- techniques de sécurité -- code de bonne pratique pour le contrôle de la sécurité de l'information.

ISO/CEI 27002:2013 fournit des lignes directrices pour les normes de sécurité de l'information organisationnelle et des pratiques de gestion de la sécurité de l'information, y compris la sélection, la mise en œuvre et la gestion des contrôles en prenant en considération le ou les environnements de risques pour la sécurité de l'information de l'organisme.

Elle est conçue pour être utilisée par les organismes qui souhaitent :

  • Sélectionner les contrôles dans le cadre du processus de mise en œuvre d'un système de gestion de la sécurité de l'information basé sur la norme ISO/CEI 27001
  • Mettre en œuvre des contrôles de sécurité de l'information couramment acceptés
  • Élaborer leurs propres lignes directrices de gestion de la sécurité de l'information

Ressources

Évaluation Akamai

Akamai est évalué chaque année pour vérifier sa conformité avec la norme ISO 27002, qui définit les contrôles effectués autour du programme de sécurité de l'information d'une entreprise. Notre dernière évaluation ISO 27002 a été réalisée par CFGI fin 2018 et le rapport date du 28 février 2019. Un résumé de ce document est accessible aux clients et partenaires et soumis à des accords de non-divulgation (NDA) avec Akamai. Pour plus d'informations, contactez votre équipe chargée de compte.

Services Akamai applicables

L'évaluation ISO 27002 d'Akamai s'applique à toutes les offres d'Akamai et à l'ensemble de notre programme de sécurité de l'information.

Questions-réponses

Quand l'évaluation ISO 27002 d'Akamai a-t-elle été réalisée ?

CFGI a terminé la dernière évaluation des écarts ISO 27002 d'Akamai le 28 février 2019.

Puis-je obtenir une copie de l'évaluation ?

L'équipe chargée de votre compte peut vous fournir un résumé de notre dernière évaluation ISO 27002.

Haut de page

 

National Institute of Standards and Technology (NIST)

 

Présentation

Les contrôles de sécurité 800-53 du NIST (National Institute of Standards and Technology) sont généralement applicables aux systèmes d'information fédéraux américains. Afin de garantir une protection suffisante de la confidentialité, de l'intégrité et de la disponibilité des informations et des systèmes d'information, les systèmes d'information fédéraux passent généralement par un processus d'évaluation et d'autorisation formel.

Le cadre de cybersécurité (Cybersecurity Framework, CSF) du NIST est soutenu par les gouvernements et les industries du monde entier comme une référence recommandée pour toute organisation, quel que soit son secteur ou sa taille. Les agences sont désormais tenues de mettre en œuvre le CSF, dans le cadre du décret-loi sur la cybersécurité.

Ressources

Évaluation Akamai

L'Akamai Intelligent Edge Platform a été validée par des tests tiers effectués par rapport aux contrôles 800-53 du NIST ainsi qu'à des exigences FedRAMP supplémentaires. L'autorisation du NIST décernée à Akamai présente un Niveau d'impact modéré.

Consultez la page de conformité FedRAMP d'Akamai pour plus d'informations sur la conformité FedRAMP, qui inclut les contrôles pertinents du NIST.

Téléchargements / Liens

Haut de page

 

Accord Privacy Shield entre les États-Unis et l'UE

 

Présentation

La politique Privacy Shield entre les États-Unis et l'Union européenne (UE) est un cadre qui régule les échanges transatlantiques de données personnelles à des fins commerciales, facilitant le transfert des données personnelles entre l'UE et les États-Unis. Son objectif est de garantir que les données personnelles des citoyens de l'UE traitées aux États-Unis sont protégées de la même façon que les données traitées au sein de l'UE.

Ressources

Évaluation Akamai

Les activités de traitement d'Akamai sont certifiées conformes au programme du Privacy Shield entre les États-Unis et l'UE ainsi qu'au programme du Privacy Shield entre les États-Unis et la Suisse.

Téléchargements / Liens

Services Akamai applicables

Toutes les activités de traitement relatives aux services d'Akamai entrent dans le cadre de la certification Privacy Shield. Les activités de traitement RH internes d'Akamai ne sont pas couvertes.

Si les données RH des clients font partie des propriétés Web du client et sont traitées par Akamai dans le cadre de la prestation des services Akamai, le traitement des données RH du client est couvert par la certification Privacy Shield d'Akamai. Ces activités de traitement concernent les services d'Akamai et ne sont pas considérées comme des activités de traitement RH internes d'Akamai.

Questions-réponses

Quel est la durée de la certification d'Akamai ?

Le cycle de certification est d'un an. La durée actuelle est décrite dans la certification Privacy Shield d'Akamai.

Haut de page