Compliance

Programmi di compliance di Akamai

Scoprite maggiori informazioni sul modo in cui i prodotti e i servizi Akamai seguono le leggi, le normative, le certificazioni e i modelli relativi alla privacy.

Privacy Trust Center

Leggi, normative, privacy

I clienti Akamai sono responsabili della conformità alle leggi e alle normative applicabili in materia di conformità. Akamai offre funzionalità per la sicurezza e accordi legali tali da supportare la conformità dei clienti. Non sono disponibili certificazioni formali nell'ambito di queste leggi e normative.

Allineamenti, modelli, autovalutazioni

Gli allineamenti e i modelli di conformità comprendono i requisiti di sicurezza o conformità pubblicati per uno scopo specifico, come un settore o una funzione specifici. Akamai offre funzionalità di sicurezza e documenti per questi tipi di programmi. I requisiti previsti dagli allineamenti e dai modelli specifici non possono essere soggetti a certificazioni o attestazioni.

Privacy Trust Center

CCPA (California Consumer Privacy Act)

 

Panoramica

Il California Consumer Privacy Act del 2018 è una legge della California intesa a migliorare i diritti alla privacy e la protezione dei clienti per i residenti in questo stato americano.

Dal 1° gennaio 2020, le aziende o le organizzazioni che svolgono le proprie attività in California devono conformarsi alla nuova e rigorosa normativa nazionale in materia di privacy, che sancisce il diritto legale e applicabile alla privacy per i residenti in California. Le nuove normative non valgono solo per le aziende della California, ma anche per tutte le imprese che svolgono le proprie attività in questo stato, a prescindere dalla sede dell'organizzazione.

Compliance di Akamai

Relativamente al CCPA, Akamai funge da fornitore di servizi per i propri clienti. I clienti sono, in definitiva, responsabili relativamente agli obblighi contemplati dal CCPA e alle loro proprietà Internet che utilizzano i servizi di Akamai.

Tutti i servizi di Akamai sono conformi al CCPA. Ciò significa che non solo gli utenti potranno continuare a utilizzare i servizi di Akamai esistenti, ma potranno anche implementare servizi quali Akamai Identity Cloud come parte fondamentale della propria strategia per la conformità al CCPA.

In base al CCPA, è necessario dimostrare che i dati personali dei clienti della California trattati da un'organizzazione siano adeguatamente e sufficientemente gestiti e protetti. In un mondo interconnesso in cui molte applicazioni e siti web raccolgono e utilizzano dati personali, questa può essere una grande sfida. L'Akamai Intelligent Edge Platform può essere sfruttata per aiutare i clienti a vincere questa sfida. Offre potenti funzionalità di gestione dei dati e di sicurezza basate su uno strumento di gestione dei dati self-service, su un team di professionisti della sicurezza qualificati, su processi flessibili e di alta qualità e su una tecnologia all'avanguardia di comprovata validità.

Risorse sul CCPA

Servizi di Akamai applicabili

Tutti i servizi di Akamai sono applicabili.

Torna all'inizio

 

Leggi sulla e-privacy

 

Panoramica

Le leggi sulla e-privacy sono uno strumento legale importante per garantire il diritto alla privacy delle comunicazioni elettroniche e del marketing digitale. L'attuale versione della direttiva 2009/136/EC è stata implementata nelle leggi locali dalla maggior parte degli Stati membri dell'UE.

La direttiva sulla e-privacy si rivolge ai fornitori di servizi di telecomunicazione e tratta i seguenti aspetti:

  • Sicurezza delle reti e dei servizi
  • Riservatezza delle comunicazioni
  • Accesso ai dati memorizzati sui dispositivi terminali
  • Trattamento del traffico e dei dati sulla posizione
  • Identificazione della linea chiamante
  • Elenchi pubblici degli abbonati
  • Comunicazioni commerciali indesiderate ("spam")
  • Utilizzo dei cookie

Le principali modifiche all'attuale direttiva 2009/136/EC rispetto alla versione del 2002 sono state rappresentate dall'introduzione del requisito di notifica delle violazioni dei dati da parte dei fornitori dei servizi di telecomunicazione, nonché del requisito di concessione del consenso all'utilizzo dei cookie.

La direttiva sulla e-privacy è attualmente in fase di revisione da parte degli enti normativi dell'UE prima del passaggio a regolamento che prevarrà sul più generico GDPR relativamente al trattamento dei dati personali nelle comunicazioni elettroniche. La differenza rispetto alla direttiva esistente consiste nel fatto che l'ambito del regolamento sulla e-privacy viene esteso anche ai fornitori di servizi di comunicazione OTT (Over-The-Top).

Compliance di Akamai

Akamai ha garantito la conformità ai vari requisiti della direttiva 2009/136/EC e delle sue implementazioni locali, come i banner dei cookie sui propri siti web, il meccanismo di revoca del consenso per i cookie utilizzati durante la fornitura dei servizi e le performance delle attività di marketing conformi ai requisiti previsti per la e-privacy.

Servizi di Akamai applicabili

Sono applicabili tutte le soluzioni per la sicurezza di Akamai, come le soluzioni di analisi di dispositivi web e mobili (mPulse, CloudTest).

Domande e risposte

Il servizio mPulse di Akamai è conforme alle leggi sulla e-privacy?

Sì, tutti i servizi di Akamai sono conformi alle leggi sulla e-privacy. Per mPulse, leggete il white paper "mPulse - Conformità alle leggi globali sulla protezione dei dati".

Torna all'inizio

 

Akamai and the GDPR Thumbnail
???Watch the Video???

Regolamento generale sulla protezione dei dati (GDPR)

 

Panoramica

Il Regolamento generale sulla protezione dei dati (GDPR), in vigore dal 25 maggio 2018, è la legge dell'Unione europea (UE) vigente in materia di protezione dei dati, che mira ad armonizzare le leggi di protezione dei dati locali di tutta Europa. Sin dagli inizi, la legge ha spinto le organizzazioni a potenziare le policy sulla privacy e ha portato alla definizione delle best practice sulla protezione dei dati in tutto il mondo.

Il GDPR richiede alle organizzazioni di gestire e proteggere tutte le operazioni che riguardino il trattamento dei dati personali degli utenti europei da accessi non autorizzati. L'inosservanza del GDPR può causare multe con un impatto materiale sulle organizzazioni.

Regolamento generale sulla protezione dei dati dell'Unione europea

Conformità di Akamai

I servizi di Akamai si conformano al GDPR. Ciò significa che non solo gli utenti potranno continuare a utilizzare Akamai, ma potranno anche implementare i servizi di Akamai come parte fondamentale della propria strategia per la conformità al GDPR. In base al GDPR, è necessario dimostrare che i dati personali degli utenti europei trattati da un'organizzazione siano adeguatamente e sufficientemente gestiti e protetti. In un mondo interconnesso in cui molte applicazioni e siti web raccolgono e utilizzano dati personali, questa può essere una grande sfida. L'Akamai Intelligent Edge Platform può essere sfruttata per aiutare i clienti a vincere questa sfida. Offre una potente strategia di gestione dei dati e di sicurezza basata su uno strumento di gestione dei dati self-service, su un team di professionisti della sicurezza, su processi flessibili e di alta qualità e su una tecnologia all'avanguardia di comprovata validità.

GDPR
Architettura di riferimento per Akamai Identity Cloud.

Akamai descrive le attività di trattamento dei dati durante la fornitura dei suoi servizi nel documento "Attività di trattamento e ruolo dei dati personali di Akamai".

Inoltre, Akamai chiede ai clienti di accettare un accordo sul trattamento dei dati per garantire la reciproca conformità all'art. 28 del GDPR in merito al trattamento dei dati personali durante la fornitura dei servizi di Akamai.

Servizi di Akamai applicabili

Tutti i servizi di Akamai sono applicabili.

Domande e risposte

IIl servizio mPulse di Akamai è conforme al GDPR?

Sì, tutti i servizi di Akamai sono conformi al GDPR. Per mPulse, leggete il white paper "mPulse - Conformità alle leggi globali sulla protezione dei dati".

Torna all'inizio

 

HIPAA/HITECH

 

Panoramica

L'Health Insurance Portability and Accountability Act (HIPAA) statunitense del 1996 ha stabilito i requisiti per il trattamento delle informazioni di identificazione personale da parte dei fornitori di servizi sanitari e delle compagnie di assicurazioni.

L'Health Information Technology for Economic and Clinical Health Act (HITECH) del 2009 definisce i diritti di accesso ai dati e ai meccanismi sanitari per garantire ai pazienti il controllo sui propri dati. Espande lo scambio di informazioni sanitarie elettroniche riservate e la portata delle protezioni di sicurezza e della privacy contemplati dall'HIPAA.

Risorse

Compliance di Akamai

Né l'HIPAA né l'HITECH sono direttamente applicabili ad Akamai, in quanto fornitore di servizi di sicurezza web e delivery di contenuti. Ciononostante, quando viene ingaggiata dai suoi clienti del settore sanitario per elaborare dati sanitari, Akamai può essere considerata un Business Associate, il che richiede, pertanto, uno specifico accordo tra Akamai e il cliente afferente al settore sanitario. Su richiesta è disponibile una copia dell'accordo standard per Business Associate di Akamai.

Per verificarne la conformità alla regola di sicurezza HIPAA, Akamai effettua una valutazione annuale. L'analisi riassuntiva di tale valutazione e/o della relativa lettera da parte degli addetti alla valutazione è a disposizione dei clienti e dei partner di Akamai ed è soggetta a un accordo di non divulgazione (NDA).

Risorse

Servizi di Akamai applicabili

Servizi di web performance e sicurezza Akamai durante l'esecuzione sulla CDN sicura di Akamai con il servizio Enhanced TLS e Akamai Identity Cloud, il tutto utilizzato dai fornitori di servizi sanitari e dalle compagnie di assicurazioni per il trattamento delle informazioni di identificazione personale.

Domande e risposte

Quando è stata effettuata più recentemente la valutazione HIPAA di Akamai?

La valutazione più recente di Akamai relativa alla conformità alla regola di sicurezza HIPAA è stata completata da CFGI. Per ulteriori informazioni, contattate il team del vostro account.

Akamai è certificata HIPAA?

No, non esiste una certificazione del genere. La conformità HIPAA è un processo continuo. Akamai forma i suoi dipendenti sui requisiti HIPAA e si accerta che rispettino le policy e le procedure HIPAA.

Akamai stipula accordi per Business Associate con i clienti?

Se Akamai trasmette informazioni sanitarie personali fornendo servizi ai clienti dell'ente da essa coperto, come quello che funge da "Business Associate", Akamai stipulerà l'accordo per Business Associate richiesto, come parte del normale processo di contrattazione. Su richiesta è disponibile una copia dell'accordo standard per Business Associate di Akamai.

Akamai viene valutata nell'ambito del modello HITRUST CSF?

Akamai non viene valutata nell'ambito del modello HITRUST CSF. Akamai è sottoposta a controlli annuali effettuati da revisori indipendenti accreditati per garantire la conformità HIPAA e HITECH dei servizi identificati come appropriati per l'utilizzo con le informazioni sanitarie protette.

Torna all'inizio

 

LGPD (Brasile)

 

Panoramica

La Lei Geral de Proteção de Dados, la legge federale brasiliana sulla protezione dei dati personali n. 13.709/2018 ("LGPD"), entrerà in vigore a partire dal 16 agosto 2020. La LGPD crea un nuovo modello legale per l'uso dei dati personali in Brasile, sia online che offline, nel settore pubblico e in quello privato. In quanto autorità di vigilanza, l'ANPD (National Data Protection Authority) è stato creato e incaricato della supervisione e dell'attuazione della LGPD.

Risorse

Compliance di Akamai

I servizi di Akamai sono conformi alla LGPD. Ciò significa che non solo gli utenti potranno continuare a utilizzare i servizi di Akamai, ma potranno anche implementare i servizi di Akamai come parte fondamentale della propria strategia per la conformità alla LGPD. In base alla LGPD, è necessario dimostrare che i dati personali degli utenti brasiliani trattati da un'organizzazione siano adeguatamente e sufficientemente gestiti e protetti. In un mondo interconnesso in cui molte applicazioni e siti web raccolgono e utilizzano dati personali, questa può essere una grande sfida.

L'Akamai Intelligent Edge Platform può essere utilizzata per aiutare i clienti a vincere questa sfida, offrendo una solida gestione dei dati e una strategia di sicurezza basata su uno strumento di gestione dei dati self-service, su un team di professionisti della sicurezza, su processi flessibili e di alta qualità e su una tecnologia all'avanguardia di comprovata validità.

Download/Link

Privacy Trust Center

Servizi di Akamai applicabili

Tutti i servizi sono applicabili.

Domande e risposte

In che modo la LGPD differisce dal GDPR?

La LGPD differisce dal GDPR per molti aspetti. Ad esempio, ai sensi della LGPD, esistono dieci basi giuridiche da soddisfare per l'attività di trattamento, rispetto alle sei basi giuridiche stabilite nel GDPR.

C'è una scadenza, prevista dall'LGDP, entro la quale si rientra per la conformità agli obblighi di notifica delle violazioni dei dati?

La LGDP non ha previsto una scadenza entro la quale il responsabile del trattamento dovrà notificare le violazioni dei dati. L'ANPD dovrà stabilire questa scadenza.

Torna all'inizio

 

MAS (Singapore)

 

Panoramica

Il MAS (Monetary Authority of Singapore) regolamenta gli istituti finanziari dei settori banking, mercati economici, assicurazioni e pagamenti integrati di Singapore. Nessuno dei suoi regolamenti è direttamente applicabile ad Akamai, in quanto fornitore di servizi di sicurezza web e delivery di contenuti. Ciononostante, quando viene ingaggiata dai suoi clienti del settore sanitario di Singapore per elaborare dati sanitari, Akamai può essere considerata un fornitore di servizi in outsourcing e, pertanto, regolamentata dal MAS. Le linee guida pubblicate per l'outsourcing del MAS, destinate agli istituti finanziari locali in merito alla gestione dei rischi derivanti dagli accordi di outsourcing, includono, tra l'altro:

  • Engagement con il MAS in merito all'outsourcing
  • Pratiche consolidate sulla gestione dei rischi derivanti dagli accordi per l'outsourcing
  • Cloud computing

Risorse

Modifiche:

Compliance di Akamai

I servizi di Akamai utilizzati dai fornitori di servizi finanziari di Singapore sono considerati attività in outsourcing ai sensi di queste linee guida. Poiché i servizi di Akamai sono conformi alle linee guida, i clienti dei servizi finanziari di Singapore possono non solo continuare a utilizzare i servizi di Akamai, ma anche a distribuirli come parte fondamentale di una strategia per la conformità dell'outsourcing.

Servizi di Akamai applicabili

  • CDN sicura con Enhanced TLS e relativi servizi
  • Prodotti per le web performance come Ion, durante l'esecuzione sulla CDN sicura con Enhanced TLS
  • Prodotti per la sicurezza nel cloud, come Kona Site Defender e Bot Manager, durante l'esecuzione sulla CDN sicura con Enhanced TLS
  • Servizi di mitigazione degli attacchi DDoS di Prolexic
  • Akamai Identity Cloud

Torna all'inizio

 

Revised Payment Services Directive PSD2
???Watch the Video???

Direttiva relativa ai servizi di pagamento (PSD2)

 

Panoramica

La Direttiva rivista relativa ai servizi di pagamento (PSD2) dell'UE e all'Open Banking, ovvero l'implementazione britannica della PSD2, richiede agli istituti finanziari di aprire le porte della propria infrastruttura di pagamento e di offrire a prestatori terzi o TPP (Third-Party Provider) l'accesso ai dati bancari dei loro clienti. Secondo gli enti normativi, l'iniziativa agevolerà l'erogazione di servizi finanziari più efficienti, innovativi e concorrenziali, grazie al coinvolgimento di provider terzi abilitati a offrire ai clienti servizi informatici per transazioni e pagamenti.

Risorse

Compliance di Akamai

Le soluzioni Akamai aiutano gli istituti finanziari a garantire la conformità con la PSD2 rendendo migliori le experience dei clienti, la stabilità degli applicativi e i controlli sulla sicurezza. L'Akamai Intelligent Edge Platform funge da canale di comunicazione tra i TPP e l'istituto finanziario. I servizi di sicurezza Akamai proteggono le API degli istituti finanziari da accessi non autorizzati, garantendo che vengano elaborate solo le richieste di accesso autenticate. Akamai aiuta con la conformità alla PSD2:

  • Migliorando la customer experience
  • Fornendo un controllo degli accessi e una governance per le API
  • Proteggendo le API dagli attacchi
  • Offrendo una comunicazione comune e sicura (SSL/TLS)
  • Evitando lo screen scraping

Download/Link

Akamai Compliance PSD2 Callout Image
Le API interne e le app proprietarie vengono sostituite da API pubbliche e da app di terze parti quando i fornitori di terze parti (TPP) operano tra una banca e i propri clienti.
Akamai Compliance PSU Authorization Flow Callout Image
Flusso di autorizzazione tra l'utente dei servizi di pagamento (PSU), il fornitore di terze parti (TPP) e il fornitore del servizio di pagamento per la gestione del conto (ASSP).

Servizi di Akamai applicabili

Identity Cloud, Secure Content Delivery, Kona Site Defender, Ion, DSA e API Gateway.

Domande e risposte

L'Open Banking è uguale alla PSD2?

L'Open Banking è l'implementazione della PSD2 nel Regno Unito. Si basa su una regola, stabilita ad agosto 2016 dal Competition and Markets Authority (CMA) del Regno Unito, che ha portato le nove principali banche britanniche a concedere alle startup con licenza un accesso diretto ai propri dati, fino al livello delle transazioni dei conti. Vedi anche Wikipedia.

Perché l'implementazione della PSD2 è sempre una soluzione personalizzata?

La PSD2 sarà sempre un'implementazione personalizzata per via delle specifiche esigenze di ogni fornitore di attendibilità (TP) dell'autorità di certificazione, la specifica legislazione per i paesi UE e i requisiti di conformità interni in base alle policy aziendali individuali.

Torna all'inizio

 

Infrastruttura critica (Germania)

 

Panoramica

A partire da giugno 2017, Akamai rispetta i requisiti per i fornitori di servizi per infrastrutture critiche per i suoi servizi di rete per la distribuzione dei contenuti in Germania implementati dal BSI (Ufficio federale tedesco per la sicurezza delle informazioni) tedesco. In base alla legislazione vigente, il BSI Act, Akamai effettua un controllo di terze parti ogni due anni per dimostrare che le sue misure tecniche e organizzative proteggono in modo appropriato il suo sistema, garantendo la disponibilità, l'integrità, l'autenticità e la riservatezza dei suoi servizi.

Risorse

Valutazione di Akamai

Nel primo trimestre del 2019, Akamai Germany ha completato un controllo, che è stato accettato dal BSI. La base per il controllo è stata rappresentata dal rapporto SOC 2 Tipo 2 di Akamai e dalla valutazione ISO 27002, nonché dai tre controlli effettuati in loco nei data center in Germania.

Download/Link

Servizi di Akamai applicabili

  • CDN Akamai

Domande e risposte

Da quanto tempo i servizi CDN di Akamai sono fondamentali per le infrastrutture in Germania?

Da giugno 2017.

E i servizi di sicurezza di Akamai?

I servizi di sicurezza non sono considerati un servizio di infrastruttura critico secondo il BSI Act. Akamai è un fornitore consigliato di servizi di protezione contro gli attacchi DDoS (Distributed Denial of Service) per altri fornitori di servizi di infrastrutture critiche. Vedere anche Fornitori di servizi di mitigazione DDoS qualificati (Germania).

Torna all'inizio

 

CSA STAR Livello 2

 

Panoramica

Il programma STAR (Security Trust Assurance and Risk) della CSA (Cloud Security Alliance) comprende principi chiave di trasparenza, rigorosi controlli e armonizzazione degli standard. Le aziende che utilizzano STAR indicano le best practice e convalidano il grado di sicurezza delle loro offerte cloud.

Il registro STAR documenta i controlli di sicurezza e privacy forniti dalle più diffuse offerte di cloud computing. Questo registro accessibile al pubblico consente ai clienti di servizi cloud di valutare i propri provider di sicurezza al fine di prendere le decisioni di approvvigionamento migliori.

Risorse

Certificazione Akamai

Identity Cloud ha ottenuto l'attestazione CSA (Cloud Security Alliance) livello 2, tipo 2 (controllo di terze parti).

Servizi di Akamai applicabili

  • Akamai Identity Cloud

Date/Periodo/Revisore

A-LIGN Assurance effettua un'attestazione CSA livello 2, tipo 2 di Akamai.

L'ultima valutazione di Akamai copre il periodo che va dal 1° maggio 2018 al 30 aprile 2019 ed è valida fino al 1° maggio 2020.

Domande e risposte

Come posso ottenere una copia dell'attestazione CSA livello 2, tipo 2?

Il team del vostro account Akamai può fornirvi una copia di questo rapporto.

Torna all'inizio

 

FedRAMP

 

Panoramica

Programma di conformità governativo statunitense, il FedRAMP (programma federale di gestione delle autorizzazioni e dei rischi) offre un approccio standardizzato alla valutazione della sicurezza, all'autorizzazione e al monitoraggio continuo di prodotti e servizi cloud.

Il FedRAMP ha creato e gestisce un insieme di processi per garantire una sicurezza nel cloud efficace e ripetibile per il governo statunitense. Ha stabilito un mercato solido per incrementare l'uso e la familiarizzazione con i servizi cloud.

Risorse

Certificazione Akamai

L'Akamai Intelligent Edge Platform ha ricevuto dalla FedRAMP Joint Authorization Board (JAB) l'autorizzazione a operare (P-ATO) provvisoriamente in qualità di fornitore di servizi IaaS (Infrastructure as a Service).

Download/Link

Servizi di Akamai applicabili

  • Intelligent Edge Platform per la delivery HTTP e HTTPS (note come reti ESSL e FreeFlow) e relativi servizi eseguiti
  • Edge DNS (con DNSSEC)
  • NetStorage
  • Servizi di streaming media
  • Akamai Control Center
  • Global Traffic Management

Date/Periodo/Revisore

L'addetto alla valutazione di terze parti di Akamai per FedRAMP è Coalfire Systems, Inc.

Autorizzata dal FedRAMP a partire dal 23 agosto 2013, Akamai viene sottoposta a valutazioni annuali e a un continuo monitoraggio per mantenere la sua conformità.

Domande e risposte

Come posso accedere alla documentazione di Akamai sul FedRAMP?

I clienti possono accedere al modulo di richiesta di accesso al pacchetto dal sito web del marketplace FedRAMP.

Qual è il livello di impatto del FedRAMP di Akamai?

Il livello di impatto dell'autorizzazione FedRAMP di Akamai è moderato. Secondo il FedRAMP, un sistema a impatto moderato comprende "quasi l'80% delle applicazioni CPS che ricevono l'autorizzazione FedRAMP ed è più appropriato per i CSO in cui la perdita di riservatezza, integrità e disponibilità comporterebbe seri impatti negativi sulle attività, le risorse o gli individui di un'agenzia. Tra i seri impatti negativi, vi sono un notevole danno operativo alle risorse dell'agenzia, perdite finanziarie o danni individuali diversi dalla perdita fisica o dalla morte".

Al momento, Akamai non ha richiesto l'autorizzazione FedRAMP per un livello di impatto elevato.

Torna all'inizio

 

IRAP (Australia)

 

Panoramica

IRAP (Information Security Registered Assessors Program) è un'iniziativa dell'ASD (Australian Signals Directorate) che fornisce servizi di valutazione della sicurezza ICT (Information and Communications Technology) di alta qualità al governo. L'Australian Cyber Security Centre (ACSC) all'interno dell'ASD produce il manuale ISM (Information Security Manual) del governo australiano. Lo scopo del manuale ISM è descrivere un modello di cyber sicurezza che le organizzazioni possono applicare per proteggere le proprie informazioni e i propri sistemi dalle minacce online.

Il manuale ISM è costituito da oltre 600 controlli di sicurezza che definiscono i requisiti per la sicurezza in più di 80 aree, quali:

  • Incidenti relativi alla cyber sicurezza
  • Potenziamento delle difese dei sistemi
  • Gestione delle vulnerabilità
  • Applicazione di patch
  • Crittografia
  • Progettazione delle reti
  • Sviluppo delle applicazioni

Risorse

Compliance di Akamai

Akamai viene valutata ogni anno da un revisore indipendente per verificare la sua compliance ai controlli di sicurezza IRAP definiti nel manuale ISM. La prima valutazione IRAP di Akamai è stata svolta all'inizio del 2019. La valutazione ha riguardato sia l'ambiente di rete di produzione che quello aziendale di Akamai e il rapporto di valutazione della compliance risultante è stato completato da NJOY Security l'8 aprile 2019. L'analisi riassuntiva della valutazione IRAP relativa alla sicurezza di Akamai e la lettera accompagnatoria del responsabile ufficiale della valutazione IRAP sono disponibili previo accordo di non divulgazione (NDA).

Per ulteriori informazioni, contattate il team del vostro account Akamai.

Servizi di Akamai applicabili

  • CDN sicura con Enhanced TLS e relativi servizi eseguiti
  • Prodotti per le web performance come Ion, durante l'esecuzione sulla CDN sicura con Enhanced TLS
  • Bot Manager Standard e Premier
  • Prodotti per la sicurezza sul cloud, come Kona Site Defender e Bot Manager, durante l'esecuzione sulla CDN sicura con Enhanced TLS
  • Edge DNS

Date/Periodo/Revisore

L'ultima valutazione di Akamai è stata completata da NJOY l'8 aprile 2019

Torna all'inizio

 

ISO/IEC 27001:2013 e ISO/IEC 27018:2014

 

Panoramica

Lo standard ISO/IEC 27001 specifica formalmente un sistema di gestione della sicurezza delle informazioni (ISMS), una suite di attività relative alla gestione dei rischi informativi. L'ISMS è un sistema di gestione generale tramite il quale l'organizzazione identifica, analizza e risolve i rischi informativi. L'ISMS garantisce che le disposizioni in materia di sicurezza vengano perfezionate in modo da tenere il passo con le modifiche alle minacce alla sicurezza, alle vulnerabilità e agli impatti aziendali, un aspetto importante in un campo così dinamico.

Risorse

Questo standard offre una serie di linee guida finalizzate a garantire che i fornitori di servizi cloud offrano appropriati controlli di sicurezza delle informazioni per proteggere la privacy dei clienti tenendo al sicuro le informazioni di identificazione personale a loro affidate.

Lo standard funge da riferimento per la selezione dei controlli per la protezione delle informazioni di identificazione personale durante l'implementazione di un sistema di gestione della sicurezza delle informazioni relative al cloud computing basato sullo standard ISO/IEC 27001. Offre anche una serie di linee guida sull'implementazione dei controlli per la protezione delle informazioni di identificazione personale.

Risorse

Certificazione Akamai

Identity Cloud ha ottenuto la sua ultima certificazione ISO 27001 e 27018 il 22 aprile 2019.

Servizi di Akamai applicabili

  • Akamai Identity Cloud

Date/Periodo/Revisore

A-LIGN Assurance effettua un'attestazione CSA livello 2, tipo 2 di Akamai.

L'ultima valutazione di Akamai copre il periodo che va dal 1° maggio 2018 al 30 aprile 2019 ed è valida fino al 1° maggio 2020.

Domande e risposte

Quali regioni sono comprese nella conformità di Akamai all'ISO 27001/27018?

La certificazione ISO 27001/27018 del servizio Akamai Identity Cloud comprende tutte le regioni del mondo, eccetto la Federazione Russa.

Come posso ottenere una copia delle certificazioni ISO 27001 e 27018 di Akamai?

Il team del vostro account può fornirvi queste certificazioni.

Torna all'inizio

 

PCI DSS Livello 1

 

Panoramica

La compliance allo standard PCI DSS (Payment Card Industry Data Security Standard) è necessaria per tutti gli operatori che archiviano, elaborano o trasmettono dati di carte di credito. Sviluppato dalle principali società emittenti di carte di credito, lo standard PCI DSS stabilisce le misure atte a garantire la protezione dei dati e la coerenza delle procedure e dei processi di sicurezza relativi alle transazioni finanziarie online. Le aziende che non mantengono la compliance PCI DSS sono soggette a multe e pene severe.

Come stabilito dal PCI Security Standards Council, l'obbligo di compliance allo standard PCI DSS include:

  • Sviluppo e mantenimento di una politica di sicurezza che copra tutti gli aspetti aziendali
  • Installazione di firewall per la protezione dei dati
  • Codifica dei dati delle carte di credito trasmessi attraverso le reti pubbliche
  • Utilizzo e regolare aggiornamento di software antivirus
  • Impostazione di password sicure e altri protocolli di cyber sicurezza
  • Implementazione di rigidi controlli di accesso e monitoraggio dell'accesso ai dati dell'account

Per i commercianti e i fornitori di servizi che elaborano grossi volumi di transazioni finanziarie online, la compliance allo standard PCI DSS viene verificata durante visite di controllo annuali eseguite da un QSA (Qualified Security Assessor) indipendente.

Risorse

Certificazione Akamai

Il documento AoC (Attestation of Compliance) di Akamai funge da prova per i nostri clienti del fatto che i nostri servizi inclusi siano conformi allo standard di sicurezza PCI DSS v. 3.2.1.

In relazione alla nostra compliance allo standard PCI DSS, Akamai esegue, con cadenza trimestrale, un test di penetrazione esterno di terze parti sulla CDN sicura. I risultati di questi test di penetrazione, insieme alla documentazione e/o alla certificazione relativa alla compliance, sono disponibili per i clienti ai sensi dell'accordo di non divulgazione (NDA).

Download/Link

Servizi di Akamai applicabili

  • CDN sicura con Enhanced TLS e relativi servizi eseguiti
  • Prodotti per le web performance come Ion, durante l'esecuzione sulla CDN sicura con Enhanced TLS
  • Bot Manager Premier
  • Prodotti per la sicurezza sul cloud, come Kona Site Defender e Bot Manager, durante l'esecuzione sulla CDN sicura con Enhanced TLS
  • Servizi di gestione delle performance digitali mPulse
  • Enterprise Application Access (EAA), componente fondamentale delle soluzioni per la sicurezza aziendale Zero Trust di Akamai (akamai.com/zerotrust)

Domande e risposte

Akamai è certificata PCI DSS?

Sì, Akamai è certificata come fornitore di servizi PCI DSS 3.2.1 Livello 1, il livello di valutazione più alto possibile. La valutazione della compliance è stata effettuata da Specialized Security Services, Inc., un QSA (Qualified Security Assessor) indipendente. L'attestazione di conformità per PCI DSS e la matrice delle responsabilità sono disponibili per il pubblico.

Se il mio sito web utilizza Akamai, come posso assicurarmi che sia compatibile con lo standard PCI DSS?

I clienti sono responsabili della propria certificazione PCI DSS e devono richiedere a un QSA (Qualified Security Assessor) di confermare i propri controlli e ottenere la certificazione. I clienti e i rispettivi QSA possono affidarsi all'AoC (Attestation of Compliance) di Akamai affinché l'ambito in cui risiedono i dati delle carte di credito utilizzi i servizi Akamai compatibili con lo standard PCI DSS. La matrice delle responsabilità per PCI DSS di Akamai illustra le responsabilità di Akamai e dei suoi clienti rispetto a ogni singolo requisito PCI DSS. Il team del vostro account può fornirvi la nostra guida alla configurazione PCI DSS per i clienti, contenente ulteriori dettagli.

Akamai è elencata nel registro globale dei provider di servizi Visa e nell'elenco dei fornitori di servizi compatibili con MasterCard?

Sì. Akamai è presente negli elenchi Visa e MasterCard. Ciò dimostra che Akamai ha rispettato tutti i requisiti applicabili del programma di queste importanti società emittenti di carte di credito.

Posso esaminare un'analisi riassuntiva delle scansioni di vulnerabilità e dei test di penetrazione esterni effettuati a cadenza trimestrale dagli ASV (Approved Scanning Vendor) di Akamai?

Sì. Il team del vostro account può fornire queste informazioni previo accordo di non divulgazione (NDA) standard.

Torna all'inizio

 

SOC 2 Tipo 2

 

Panoramica

Il SOC (centro operativo per la sicurezza) è uno standard di sicurezza stabilito dall'AICPA (American Institute of Certified Public Accountants), che effettua segnalazioni sui controlli direttamente legati alla sicurezza, alla disponibilità, all'integrità di elaborazione, alla riservatezza e alla privacy in un'organizzazione di servizi.

Risorse

Certificazione Akamai

Akamai riceve rapporti SOC 2 Tipo 2 annuali, il che dimostra che i suoi controlli di sicurezza vengono continuamente sottoposti a controllo nel corso dell'anno.

Servizi di Akamai applicabili

Per i seguenti servizi, sono coperti i principi del servizio fiduciario di disponibilità e sicurezza:

  • CDN sicura con Enhanced TLS e relativi servizi
  • Prodotti per le web performance come Ion, durante l'esecuzione sulla CDN sicura con Enhanced TLS
  • Prodotti per la sicurezza sul cloud, come Kona Site Defender e Bot Manager, durante l'esecuzione sulla CDN sicura con Enhanced TLS
  • Servizi di mitigazione degli attacchi DDoS di Prolexic

Per il seguente servizio, sono coperti tutti i principi del servizio fiduciario:

  • Identity Cloud

Date/Periodo/Revisore

Il rapporto SOC 2 di Akamai, che fornisce i principi del servizio fiduciario di disponibilità e sicurezza, viene generato da Ernst & Young LLP e copre il periodo che va da gennaio a settembre di ogni anno.

Il rapporto SOC 2 per Akamai Identity Cloud, che copre tutti e cinque i principi del servizio fiduciario, viene generato da A-LIGN e copre il periodo che va dal 1° maggio al 30 aprile di ogni anno.

Domande e risposte

Chi esegue il controllo indipendente dei rapporti SOC 2 di Akamai?

Ernst & Young LLP esegue controlli indipendenti sulle principali soluzioni di rete per la distribuzione dei contenuti di Akamai relativamente ai principi del servizio fiduciario di disponibilità e sicurezza.

A-LIGN Assurance effettua un controllo indipendente di Akamai Identity Cloud, che comprende tutti e cinque i principi del servizio fiduciario.

Come posso ottenere una copia del rapporto SOC 2?

Il team del vostro account Akamai può fornirvi una copia.

Quali sono le regioni coperte?

I rapporti SOC 2 di Akamai coprono i servizi di Akamai in generale e non si limitano a specifiche regioni.

Quale periodo è coperto dal rapporto SOC 2 di Akamai?

Il rapporto SOC 2 di Akamai effettuato da Ernst & Young LLP copre il periodo che va dal 1° gennaio al 30 settembre di ogni anno. Il rapporto SOC 2 di Akamai generato da A-LIGN Assurance copre il periodo che va dal 1° maggio al 30 aprile di ogni anno.

Viene fornita una lettera di copertura del periodo che parte dall'ultimo periodo considerato?

Il team del vostro account può fornirvi una lettera che copre il periodo dal 1° ottobre al 31 dicembre dell'anno precedente, relativamente al rapporto SOC 2 di Ernst & Young LLP. Poiché il rapporto SOC 2 generato da A-LIGN Assurance copre l'intero anno, non ci sarà bisogno di una lettera di copertura relativa a questo rapporto.

Con quale frequenza vengono emessi i rapporti SOC 2 di Akamai e quando posso prevedere il successivo rapporto?

Il rapporto SOC 2 di Akamai effettuato da Ernst & Young LLP, in genere, viene pubblicato nel quarto trimestre di ogni anno.

Akamai ha un certificato di conformità SOC 2?

Non esistono certificati di conformità, invece, addetti alla valutazione qualificati di terze parti generano un rapporto sulla compliance per l'organizzazione valutata, in cui ne vengono elencati il sistema, l'ambito, i controlli attuati per soddisfare i criteri comuni, le prove e l'idoneità di tali descrizioni e prove dell'organizzazione.

Perché esistono due diversi rapporti SOC 2 per Akamai?

Sin da quando il servizio Akamai Identity Cloud è stato parte dell'acquisizione di Janrain, Inc. da parte di Akamai nel 2019, esistono due diversi rapporti SOC 2 Tipo 2: Ernst & Young LLP prepara il rapporto che copre i nostri principali servizi di sicurezza e CDN, mentre A-LIGN Assurance prepara il nostro rapporto su Akamai Identity Cloud.

Akamai ha un rapporto SOC 1?

Akamai non viene sottoposta ad una valutazione SOC 1 (incentrata sui controlli finanziari). Poiché Akamai è una società quotata negli Stati Uniti, è vincolata alla legge Sarbanes-Oxley e ad altri regolamenti in merito alla disponibilità pubblica della propria situazione finanziaria. I clienti esistenti e potenziali possono accedere ai nostri rendiconti finanziari annuali e ai 10 principali moduli sulla nostra pagina relativa alle relazioni con gli investitori.

Torna all'inizio

 

CSA STAR Livello 1

 

Panoramica

Il programma STAR (Security Trust Assurance and Risk) della CSA (Cloud Security Alliance) comprende principi chiave di trasparenza, rigorosi controlli e armonizzazione degli standard. Le aziende che utilizzano STAR indicano le best practice e convalidano il grado di sicurezza delle loro offerte cloud.

Il registro STAR documenta i controlli di sicurezza e privacy forniti dalle più diffuse offerte di cloud computing. Questo registro accessibile al pubblico consente ai clienti di servizi cloud di valutare i propri provider di sicurezza al fine di prendere le decisioni di approvvigionamento migliori.

Risorse

Valutazione di Akamai

A luglio 2019 Akamai ha presentato un rapporto che documenta la compliance con la CCM (Cloud Controls Matrix) nell'ambito dell'autovalutazione CSA STAR, un'offerta che documenta i controlli di sicurezza forniti da varie offerte di cloud computing per aiutare gli utenti a valutare la sicurezza dei provider di servizi cloud.

Il rapporto è disponibile per il pubblico nel registro STAR. Akamai si impegna a promuovere la trasparenza nel settore dei servizi cloud e a fornire ai clienti visibilità sulle pratiche di sicurezza.

Download/Link

Servizi di Akamai applicabili

  • CDN sicura con Enhanced TLS e relativi servizi
  • Prodotti per le web performance come Ion, durante l'esecuzione sulla CDN sicura con Enhanced TLS
  • Prodotti per la sicurezza sul cloud, come Kona Site Defender e Bot Manager, durante l'esecuzione sulla CDN sicura con Enhanced TLS

Domande e risposte

Quando è stata effettuata l'autovalutazione CSA STAR di Akamai?

La più recente autovalutazione CSA STAR Livello 1 di Akamai è stata effettuata il 2 luglio 2019.

Torna all'inizio

 

ISO 27002

 

Panoramica

Lo standard di sicurezza delle informazioni ISO/IEC 27002:2013 è stato pubblicato dall'ISO (International Organization for Standardization) e dall'IEC (International Electrotechnical Commission), noto come Tecnologie Informatiche - Tecniche di sicurezza - Codice di pratica per la gestione della sicurezza delle informazioni.

Lo standard ISO/IEC 27002:2013 fornisce linee guida per gli standard sulla sicurezza delle informazioni aziendali e le relative pratiche di gestione, che includono le fasi di selezione, implementazione e gestione dei controlli tali da tenere in considerazione i rischi correlati alla sicurezza delle informazioni di un'organizzazione.

Questo standard è stato concepito per l'uso da parte delle organizzazioni che intendono:

  • Selezionare i controlli all'interno del processo di implementazione di un sistema di gestione della sicurezza delle informazioni sulla base dello standard ISO/IEC 27001
  • Implementare i controlli di sicurezza delle informazioni comunemente accettati
  • Sviluppare proprie linee guida sulla gestione della sicurezza delle informazioni

Risorse

Valutazione di Akamai

Akamai viene valutata ogni anno per la compliance allo standard ISO 27002, che definisce i controlli in merito al programma sulla sicurezza delle informazioni di un'azienda. La nostra più recente valutazione ISO 27002 è stata completata da CFGI alla fine del 2018 e il rapporto è datato 28 febbraio 2019. Un'analisi riassuntiva di questo rapporto è disponibile per clienti e partner che abbiano stipulato accordi di non divulgazione (NDA) con Akamai. Per ulteriori informazioni, contattate il team del vostro account.

Servizi di Akamai applicabili

La valutazione ISO 27002 di Akamai si applica a tutti i prodotti e servizi Akamai e al suo programma generale relativo alla sicurezza delle informazioni .

Domande e risposte

Quando è stata effettuata la valutazione ISO 27002 di Akamai?

CFGI ha completato l'ultima valutazione ISO 27002 sulle lacune di Akamai il 28 febbraio 2019.

Posso ottenere una copia della valutazione?

Il team del vostro account può fornirvi un'analisi riassuntiva della nostra più recente valutazione ISO 27002.

Torna all'inizio

 

NIST

 

Panoramica

I controlli di sicurezza 800-53 del NIST (National Institute of Standards and Technology) sono generalmente applicabili ai sistemi informativi federali degli Stati Uniti. Per garantire una protezione sufficiente della riservatezza, dell'integrità e della disponibilità delle informazioni e dei sistemi di informazioni, i sistemi informativi federali vengono sottoposti ad un processo formale di valutazione e autorizzazione.

Il modello di cyber sicurezza (CSF) del NIST è supportato dai governi e dai settori di tutto il mondo come riferimento consigliato a qualsiasi organizzazione, a prescindere dal settore o dalle sue dimensioni. Alle agenzie ora è richiesta l'implementazione del CSF ai sensi dell'ordine esecutivo sulla cyber sicurezza.

Risorse

Valutazione di Akamai

La validità dell'Akamai Intelligent Edge Platform è stata confermata da un test di terze parti effettuato a fronte dei controlli NIST 800-53 e degli ulteriori requisiti FedRAMP. L'autorizzazione NIST di Akamai è a un livello di impatto moderato.

Consultate la pagina della conformità FedRAMP di Akamai per ulteriori informazioni sulla conformità FedRAMP, che include i controlli NIST appropriati.

Download/Link

Torna all'inizio

 

Scudo UE-USA per la privacy

 

Panoramica

Semplificando il trasferimento dei dati personali tra l'Unione europea (UE) e gli Stati Uniti (USA), lo scudo UE-USA per la privacy è un modello che regola gli scambi transatlantici di dati personali per uso commerciale. Il suo scopo è assicurare che i dati personali dei cittadini dell'UE elaborati negli Stati Uniti vengano protetti con lo stesso livello come nell'Unione europea.

Risorse

Valutazione di Akamai

Le attività di elaborazione di Akamai sono certificate ai sensi dei programmi dello scudo UE-USA e Svizzera-USA per la privacy.

Download/Link

Servizi di Akamai applicabili

Tutte le attività di trattamento relative ai servizi Akamai rientrano nell'ambito della certificazione dello scudo per la privacy. Le attività di trattamento interne del reparto Risorse umane di Akamai non sono contemplate.

Nel caso in cui i dati delle risorse umane del cliente siano parte delle sue proprietà web e vengano elaborati da Akamai nel corso della fornitura dei propri servizi, il trattamento dei dati delle risorse umane del cliente è coperto dalla certificazione dello scudo per la privacy di Akamai. Tali attività di trattamento sono relative ai servizi Akamai e non vengono considerate come attività di trattamento interne del reparto Risorse umane di Akamai.

Domande e risposte

Quanto dura la certificazione di Akamai?

Il ciclo di certificazione dura un anno. Il mandato attuale è descritto nella certificazione dello scudo per la privacy di Akamai.

Torna all'inizio