Akamai가 Linode 인수로 세계에서 가장 분산된 클라우드 투 엣지 컴퓨팅 플랫폼을 확보했습니다. 자세히 보기

Blue Code Hero Background

Akamai 규정 준수 프로그램

Akamai 제품 및 서비스가 개인정보 보호 법안과 규제, 인증, 프레임워크를 준수하는지 확인해보시기 바랍니다.


MAS (싱가포르)

개요

싱가포르 통화 당국(MAS)은 싱가포르 내 설립된 은행, 자본 시장, 보험 및 지불 부문의 금융 기관을 규제합니다. MAS에는 아웃소싱 계약의 위험 관리에 관한, 현지 금융 기관을 대상으로 한 아웃소싱 지침이 포함되어 있으며, 이는 다음에 관해 다룹니다.

  • 아웃소싱에 대한 MAS와의 관계
  • 아웃소싱 계약의 위험 관리에 대한 건전한 관행
  • 클라우드 컴퓨팅

리소스

MAS 아웃소싱 지침

수정

Akamai 규정 준수

싱가포르 내 설립된 금융 서비스 제공 업체가 이용하는 Akamai 서비스는 본 지침에 따라 아웃소싱된 활동으로 간주됩니다. Akamai 서비스는 본 지침을 준수하므로, 싱가포르에 설립된 금융 서비스 고객은 Akamai 서비스를 계속 사용할 수 있을 뿐만 아니라, 아웃소싱 컴플라이언스 전략의 핵심 부분으로 이를 배포할 수 있습니다.

해당되는 Akamai 서비스

  • 고성능 TLS 및 관련 서비스를 갖춘 보안 CDN
  • 개선된 TLS를 갖춘 보안 CDN 실행 시의 Ion과 같은 웹 성능 제품
  • 개선된 TLS를 갖춘 보안 CDN 실행 시의 Kona Site Defender와 Bot Manager과 같은 클라우드 보안 제품 
  • Prolexic DDoS 방어 서비스
  • Akamai Identity Cloud

Payment Services Directive(PSD2)

개요

EU의 Payment Services Directive 개정안(PSD2) 및 영국의 오픈 뱅킹은 금융 기관에 써드파티 제공업체(TPP)가 고객의 은행 계좌 데이터에 접속할 수 있게 허용하여 결제 인프라를 개방하도록 요구합니다. 규제 당국은 이 이니셔티브를 통해 고객에게 결제 및 계좌 정보 서비스를 제공하는 TPP를 구현함으로써 금융 서비스의 혁신, 경쟁, 효율성을 장려하고자 합니다.

리소스

DIRECTIVE(EU) 2015/2366

Akamai 규정 준수

Akamai 솔루션은 고객 경험, 애플리케이션 안정성, 보안 제어를 강화하여 금융 기관이 PSD2를 준수할 수 있도록 지원합니다. Akamai Intelligent Edge Platform은 TPP와 금융 기관 사이의 소통 창구 역할을 담당합니다. Akamai 보안 서비스는 금융 기관의 API를 무단 접속으로부터 보호하고 인증된 접속 요청만 처리합니다. Akamai는 다음을 통해 PSD2 규정 준수를 지원합니다.

  • 고객 서비스 환경 개선
  • API에 대한 접속 제어와 거버넌스 제공
  • 공격으로부터 API 보호
  • 일반 및 보안 통신(SSL/TLS) 제공
  • 스크린 스크레이핑 방지
akamai-compliance-psd2-callout-image.jpg

 “써드파티 제공업체(TPP)가 은행과 고객을 중재하게 되면 자체 API 및 독자적인 애플리케이션은 퍼블릭 API 및 써드파티 애플리케이션으로 교체됩니다.”

다운로드/링크

해당하는 Akamai 서비스

Identity Cloud, 보안 콘텐츠 전송, Kona Site Defender, Ion, DSA, API Gateway.

Q&A

오픈 뱅킹은 PSD2와 같나요?

오픈 뱅킹은 영국에서 PSD2가 구현되는 방식입니다. 오픈 뱅킹은 영국 경쟁시장청(CMA)에서 2016년 8월에 내린 결정에 근거를 두고 있으며, 이 판결에 따라 영국의 9대 은행은 라이선스를 받은 스타트업이 이들 은행의 거래 데이터에 계좌 거래 수준까지 직접 접근할 수 있도록 허용해야 합니다. 추가로 Wikipedia를 참조하시기 바랍니다.

PSD2 구현이 항상 맞춤형 솔루션인 이유는 무엇인가요?

각 인증 기관 트러스트 사업자(TP)의 고유한 요구 사항, EU 국가의 특정 법률, 개별 기업 정책에 따른 내부 규정 준수 요건 등으로 인해 PSD2는 항상 맞춤형으로 구현됩니다.


IRAP(호주)

개요

IRAP(Information Security Registered Assessors Program)는 호주 정부에 고품질 정보 및 통신 기술(ICT) 보안 평가 서비스를 제공하기 위한 ASD(호주 정보국) 이니셔티브입니다. ASD 내 ACSC(호주 사이버 보안 센터)는 ISM(호주 정부 보안 매뉴얼)을 발행합니다. ISM의 용도는 조직이 온라인 위협으로부터 정보 및 시스템을 보호하는 데 적용할 수 있는 사이버 보안 프레임워크를 개략적으로 설명하는 것입니다.

ISM은 다음과 같은 80개가 넘는 영역의 보안 요구사항을 정의하는 700개가 넘는 보안 제어로 구성되어 있습니다.

  • 사이버 보안 인시던트
  • 시스템 강화
  • 취약점 관리
  • 패치 적용
  • 암호화
  • 네트워크 설계
  • 애플리케이션 개발

리소스

Akamai 규정 준수

Akamai는 ISM에 정의된 IRAP 보안 제어의 준수 여부를 독립적인 감사관을 통해 2년마다 평가받습니다. Akamai의 최근 IRAP 평가는 2021년에 실시되었습니다. 이 평가에서는 Akamai의 프로덕션 및 기업 네트워크 환경을 모두 다루었으며 2021년 9월 NJOY Security에서 이에 따른 규정 준수 평가 보고서를 작성했습니다. IRAP Official Assessor의 평가 완료를 인증하는 서한은 NDA(기밀유지 계약)에 따라 제공됩니다.

자세한 내용은 Akamai 고객 담당팀에 문의하시기 바랍니다.

해당 Akamai 서비스

  • Secure CDN with Enhanced TLS 및 함께 실행되는 서비스 
  • 개선된 TLS를 갖춘 보안 CDN 실행 시의 Ion과 같은 웹 성능 제품
  • Bot Manager Standard 및 Premier 
  • 개선된 TLS를 갖춘 보안 CDN 실행 시의 Kona Site Defender와 Bot Manager과 같은 클라우드 보안 제품
  • Edge DNS

날짜 / 기간 / 감사 수행자

2021년 8월 23일 NJOY Security에서 Akamai의 최근 평가를 시행했습니다.


중요 인프라(독일)

개요

Akamai는 2017년 6월부터 독일 정보 보안 연방 사무국(BSI)에서 구현한, 독일의 콘텐츠 전송 네트워크 서비스에 대한 중요 인프라 서비스 공급 업체의 요구 사항을 충족합니다. 기본법률인 BSI 법에 따라, Akamai는 2년마다 써드파티 감사를 수행하여 기술 및 조직적 조치가 시스템을 적절하게 보호하고, 가용성, 무결성, 진정성 및 서비스 기밀성을 보장함을 증명합니다.

리소스

Akamai 평가

감사의 일환으로 Akamai Germany는 핵심 시스템의 가용성, 무결성, 신뢰성, 기밀성을 보장하는 최첨단 보안에 대한 증거를 BIS에 제공합니다. 이러한 감사의 기반은 Akamai의 SOC 2 유형 2 보고서, ISO 27002 평가, 그리고 감사 수행자가 독일 전역 데이터 센터에서 실시하는 여러 번의 현장 감사입니다.

다운로드/링크

해당되는 Akamai 서비스

Akamai CDN

Q&A

Akamai CDN 서비스가 독일에서 중요 인프라 서비스가 된 지는 얼마나 되었습니까?

2017년 6월부터입니다.

Akamai의 보안 서비스는 어떻습니까?

BSI 법에 따르면 보안 서비스는 중요 인프라 서비스로 간주되지 않습니다.

Akamai는 다른 중요 인프라 서비스 제공 업체에 추천되는 분산 서비스 거부(DDoS) 보호 서비스 제공 업체입니다. 추가 참조: 적격 DDoS 방어 서비스 공급 업체(독일).


FedRAMP

개요

미국 정부의 규정 준수 프로그램인 FedRAMP(Federal Risk and Authorization Management Program)는 클라우드 제품과 서비스의 보안 평가, 승인 및 지속적인 모니터링에 관해 표준화된 접근 방식을 제공합니다.

FedRAMP는 미국 정부가 효과적이고 반복 가능한 클라우드 보안을 확보할 수 있도록 핵심 프로세스 집합을 만들어 관리합니다. 클라우드 서비스의 활용도와 친숙도를 높이기 위한 대규모 Marketplace도 마련되어 있습니다.

리소스

FedRAMP

Akamai 인증

2013년부터 Akamai Intelligent Edge Platform은 IaaS(Infrastructure as a Service) 공급업체로서 Moderate 기준에 대한 FedRAMP JAB(Joint Authorization Board)의 P-ATO(Provisional Authorization to Operate)를 받았습니다.

다운로드/링크

Akamai의 FedRAMP Marketplace 페이지

해당하는 Akamai 서비스

  • HTTP 및 HTTPS 전송을 위한 Akamai Intelligent Edge Platform(ESSL 및 FreeFlow Networks라고도 함) 및 이를 실행하는 서비스
  • Kona Site Defender 및 Kona WAF
  • Edge DNS(DNSSEC 포함)
  • NetStorage
  • 미디어 스트리밍 서비스
  • Akamai Control Center
  • Global Traffic Management

날짜/기간/감사관

Akamai의 써드파티 FedRAMP 평가자는 Coalfire Systems, Inc입니다.  

Akamai는 2013년 8월 23일부터 FedRAMP 권한을 부여 받았으며 연례 평가와 지속적인 모니터링을 통해 규정을 준수하고 있습니다.   

Q&A

Akamai의 FedRAMP 문서에 접속하려면 어떻게 해야 하나요?

고객은 FedRAMP Marketplace 웹사이트에서 '패키지 접속 요청 양식'을 받을 수 있습니다

Akamai의 FedRAMP 영향 수준은 어느 정도인가요? 

Akamai FedRAMP 인증의 영향 수준은 Moderate입니다. FedRAMP에 따르면영향 수준이 Moderate인 시스템은 “FedRAMP 인증을 받는 CSP의 약 80%를 차지하며, 기밀성, 무결성, 가용성의 손실이 기관의 운영, 자산 또는 소속 개인에 대한 심각한 악영향으로 이어질 수 있는 CSO에 가장 적합합니다. 심각한 악영향이란 기관 자산에 대한 현저한 운영상 피해, 금전적 손실, 인명 손실 또는 신체적 상해가 아닌 개인의 피해 등을 말합니다.”

현재 Akamai는 High 영향 수준의 FedRAMP 인증을 모색하고 있지 않습니다.


ISO/IEC 27001:2013

개요

ISO/IEC 27001은 정보 위험 관리에 관한 활동 모음인 ISMS(정보 보안 관리 시스템)를 공식적으로 명시합니다.

ISMS는 조직에서 정보 위험을 식별, 분석, 해결하는 데 있어 가장 중요한 관리 프레임워크입니다. ISMS는 가변적인 분야에서 중요한 요소인 보안 위협, 취약점, 비즈니스 영향의 변화에 맞춰 보안 대책을 세밀하게 조정합니다.

리소스

ISO/IEC 27001:2013

이 표준은 클라우드 서비스 사업자가 위탁된 개인 식별 정보(PII)를 보호하여 고객사의 사용자 개인정보를 보호하기 위한 적합한 정보 보안 제어를 제공하도록 하는 지침을 제공합니다.

이 표준은 ISO/IEC 27001 기반의 클라우드 컴퓨팅 정보 보안 관리 시스템을 구현할 때 PII 보호 제어를 선택하기 위한 참고 자료 역할을 합니다. 또한 PII 보호 제어 구현에 대한 지침을 제공합니다.

Akamai 인증

Identity Cloud는 2021년 5월 14일에 최신 ISO 27001 인증을 받았습니다.

Akamai의 자회사인 Asavie는 2021년 10월 22일에 최신 ISO 27001 인증을 받았습니다.

해당되는 Akamai 서비스 

  • Akamai Identity Cloud
  • SPS Secure Mobile
  • SPS Secure IoT
  • SPS Secure Edge

날짜 / 기간 / 감사 수행자

A-LIGN Assurance는 Akamai Identity Cloud에 대한 ISO 27001 인증을 제공합니다. 최신 인증 날짜는 2021년 6월 17일입니다. 

Certification Europe은 Asavie, 그리고 SPS Secure Mobile, SPS Secure IoT, SPS Secure Edge 서비스에 대한 ISO 27001 인증을 제공합니다. 최신 인증 날짜는 2021년 10월 22일입니다.   

Q&A

Akamai ISO 27001 보고서가 두 가지로 나누어져 있는 이유는 무엇입니까?

이 두 감사의 결과, 2019년 Akamai가 Janrain, Inc.를 인수하여 Identity Cloud 솔루션으로 이어졌고, 2020년 Asavie를 인수하여 SPS Secure Mobile, SPS Secure IoT, SPS Secure Edge 서비스로 이어졌습니다. 이 시점에서 이러한 서비스는 ISO 27001 감사 대상인 유일한 Akamai 서비스입니다.  

Akamai의 ISO 27001 인증 사본을 얻으려면 어떻게 해야 하나요?

고객 담당팀으로 문의해주시기 바랍니다.


ISO/IEC 27018:2014

Overview

이 표준은 클라우드 서비스 사업자가 위탁된 개인 식별 정보(PII)를 보호하여 고객사의 사용자 개인정보를 보호하기 위한 적합한 정보 보안 제어를 제공하도록 하는 지침을 제공합니다.

이 표준은 ISO/IEC 27001 기반의 클라우드 컴퓨팅 정보 보안 관리 시스템을 구현할 때 PII 보호 제어를 선택하기 위한 참고 자료 역할을 합니다. 또한 PII 보호 제어 구현에 대한 지침을 제공합니다.

리소스

ISO/IEC 27018

Akamai 인증

A-LIGN Assurance는 Akamai Identity Cloud에 대한 ISO 27018 인증을 제공합니다. 최신 인증 날짜는 2021년 6월 17일입니다. 

해당되는 Akamai 서비스 

Akamai Identity Cloud

Q&A

Akamai의 ISO 27001/27018 규정 준수가 적용되는 지역은 어디인가요?

Akamai Identity Cloud 서비스의 ISO 27001/27018 인증은 러시아를 제외한 전 세계 모든 지역에 적용됩니다.

Akamai의 ISO 27001 및 27018 인증 사본을 얻으려면 어떻게 해야 하나요?

고객 담당팀으로 문의해주시기 바랍니다.


PCI DSS Level 1

개요

PCI DSS(Payment Card Industry Data Security Standard) 규정 준수는 결제 카드 데이터를 저장, 처리 또는 전송하는 모든 법인 및 사업체에 적용되는 요건입니다. 주요 신용 카드 회사에서 개발한 PCI DSS는 데이터 보호는 물론 온라인 금융 거래에 대한 일관된 보안 프로세스 및 절차를 보장하기 위한 수단을 정의합니다. PCI DSS 규정을 준수하지 못하는 업체에는 엄청난 벌금이 부과되고 강력한 처벌이 따릅니다.

PCI 보안 표준 협의회에서 규정한 PCI DSS 규정 준수 명령에는 다음과 같은 항목이 있습니다. 

  • 비즈니스 관련 모든 업무를 총괄하는 보안 정책의 개발 및 유지
  • 데이터 보호를 위한 방화벽 설치
  • 공용 네트워크를 통해 전송되는 카드 소유자 데이터 암호화
  • 안티바이러스 소프트웨어 사용 및 정기적인 업데이트
  • 강력한 암호 및 기타 사이버 보안 프로토콜 확립
  • 견고한 액세스 제어 수단 집행 및 계정 데이터에 대한 액세스 모니터링

대량의 온라인 금융 거래를 진행하는 대규모 상거래 업체 및 서비스 제공업체의 경우 독립 QSA(Qualified Security Assessor)의 연간 검증을 통해 PCI DSS 규정 준수를 시행합니다. 

리소스

PCI 보안

Akamai 인증

AoC(규정 준수 증명)는 Akamai의 범위 내 서비스가 PCI DSS v.3.2.1 보안 표준을 준수한다는 증빙 자료로 활용됩니다. 

Akamai는 PCI 규정 준수를 위해 분기별로 보안 CDN에 대한 제3자 모의 해킹 테스트를 실시합니다. 이 분기별 모의 해킹 테스트의 결과와 규정 준수 문서 및/또는 인증은 NDA(기밀유지 협약)에 따라 고객들에게 제공됩니다).

다운로드 / 링크

해당되는 Akamai 서비스

  • Secure CDN 및 함께 실행되는 서비스
  • 보안 CDN 실행 시의 Ion 및 EdgeWorkers와 같은 웹 성능 제품
  • 보안 CDN 실행 시의 Kona Site Defender와 Bot Manager와 같은 클라우드 보안 제품
  • Page Integrity Manager
  • Akamai MFA
  • Bot Manager Premier는
  • mPulse 디지털 성능 관리 서비스

Q&A

Akamai는 PCI DSS 인증을 받았습니까?

예, Akamai는 PCI DSS Level 1 서비스 제공업체 인증을 받아 현존하는 최고 평가 수준을 달성했습니다. 규정 준수 평가는 독립 QSA(Qualified Security Assessor)인 Specialized Security Services, Inc.에서 실시했습니다. PCI DSS 규정 준수 증명책임분석표는 공개되어 있습니다.  

제 웹사이트에서 Akamai를 사용하고 있다면, 웹사이트가 PCI DSS 규정을 준수하는지 어떻게 확인할 수 있습니까?

고객사의 PCI DSS 인증은 고객사가 직접 책임져야 하며, 따라서 고객사가 직접 QSA(Qualified Security Assessor)를 통해 통제 체계를 검증받고 인증을 획득해야 합니다. 고객사와 QSA는 Akamai의 PCI DSS 규정 준수 서비스를 사용할 수 있도록 Akamai의 규정 준수 증명을 카드 소유자 데이터 환경의 일부로 활용할 수 있습니다. Akamai의 PCI DSS 책임분석표에서는 각 PCI DSS 요구 사항과 관련된 Akamai 및 Akamai 고객사의 책임을 설명합니다. 고객 담당팀에서 Akamai의 PCI DSS 고객 설정 안내서를 제공할 수 있으며, 여기에서도 자세한 내용을 확인하실 수 있습니다. 

Akamai는 VISA 글로벌 서비스 제공업체 등록부와 Mastercard 승인 서비스 제공업체 목록에 포함되어 있습니까?

좋은 점은 Akamai는 Visa와 MasterCard 가 제공하는 모두 포함되어 있습니다. 이로써 Akamai는 주요 결제 카드 업체의 관련 프로그램 요구 사항을 모두 준수하는 기업임을 입증했습니다.  

Akamai의 ASV(Approved Scanning Vendor, 분기별 승인 스캔 제공업체) 취약성 스캔 및 외부 모의 해킹 요약 보고서를 확인할 수 있습니까?

예. 고객 담당팀에서 표준 NDA(기밀유지 협약)에 의거하여 본 정보를 제공할 수 있습니다.


SOC 2

개요

SOC(Service Organization Controls)는 AICPA(American Institute of Certified Public Accountants)에서 수립한 보안 표준으로, 서비스 전문 기업의 보안, 가용성, 처리 무결성, 기밀유지, 개인정보 보호에 직접적으로 연관되는 통제에 대해 보고합니다.

리소스

AICPA SOC 서비스 세트

Akamai 인증

매년 Akamai는 자사 보안 제어를 1년 동안 지속적으로 감사한다는 점을 입증하는 SOC 2 Type 2 보고서를 받습니다.  

아울러 Akamai는 2021년에 Bot Manager Premier와 Account Protector 솔루션에 대해 SOC 2 Type 1 보고서를 받았습니다. Akamai는 이 제품들을 2022년 후반 SOC 2 Type 2 보고서에 포함할 계획입니다.

해당되는 Akamai 서비스

Akamai의 기본 SOC 2 Type 2 보고서는 보안 및 가용성 신뢰 서비스 기준을 다룹니다. 이 보고서에서 다루는 Akamai 서비스는 다음과 같습니다.

  • 고성능 TLS를 갖춘 보안 CDN
  • Prolexic DDoS 방어 서비스
  • Akamai Control Center 고객 포털
  • 접속 관리, 키 관리, 기타 인프라 시스템을 지원하는 추가적인 시스템

Akamai의 Intelligent Edge Platform은 다양한 용도로 사용할 수 있고 당사의 다양한 제품 및 서비스를 지원하는 여러 가지 분산된 시스템으로 구성되어 있습니다. 동 보고서에서 다루는 고성능 TLS를 갖춘 보안 CDN 및 지원 시스템은 민감한 사용자 정보를 전송 또는 처리하는 웹 속성을 전달 및 보호하는 데 사용되는 분산된 서버 및 시스템입니다. 고성능 TLS를 갖춘 보안 CDN에서 실행되는 Akamai 서비스는 기본 SOC 2 Type 2 보고서에서 테스트된 모든 보안 및 가용성 통제 장치를 활용합니다. 그러한 고성능 TLS를 갖춘 보안 CDN에서 실행될 수 있는 서비스의 예로는 다음이 포함됩니다.

  • Ion 및 Dynamic Site Delivery와 같은 웹 성능 제품(고성능 TLS를 갖춘 보안 CDN에서 실행 시)
  • Kona Site Defender, Kona DDoS Defender, Web Application Protector, Bot Manager Standard와 같은 클라우드 보안 제품(고성능 TLS를 갖춘 보안 CDN에서 실행 시)

Akamai의 2021년 SOC 2 Type 1 보고서는 보안 및 가용성 신뢰 서비스 기준을 다룹니다. 이 보고서에서 다루는 Akamai 서비스는 다음과 같습니다.

  • Bot Manager Premier는
  • Account Protector

Akamai의 SOC 2 보고서는 Akamai Identity Cloud 서비스에 대해 다섯 가지 신뢰 기준을 모두 다룹니다.

날짜 / 기간 / 감사 수행자

보안 및 가용성 신뢰 서비스 기준에 관한 Akamai의 SOC 2 Type 2 보고서는 Ernst & Young LLP에서 작성하며, 대상 기간은 매년 1월부터 9월까지입니다.  

5가지 신뢰 서비스 기준 전체에 관한 Akamai Identity Cloud SOC 2 Type 2 보고서는 A-LIGN Assurance에서 작성하며, 대상 기간은 매년 5월 1일부터 4월 30일까지입니다. 

Bot Manager Premier 및 Account Protector에 관한 SOC 2 Type 1 보고서는 2021년 9월 30일부터 유효합니다.

Q&A

Akamai SOC 2 보고 감사를 실시하는 독립 기관은 어디입니까?

Akamai의 핵심 콘텐츠 전송 네트워크 솔루션, Bot Manager Premier, Account Protector의 독립적 감사는 Ernst & Young LLP에서 실시하며, 보안 및 가용성 신뢰 서비스 기준을 감사합니다.

Akamai Identity Cloud 감사는 A-LIGN Assurance에서 실시하며, 5가지 신뢰 서비스 기준 모두를 감사합니다.

SOC 2 보고서 사본은 어디에서 찾을 수 있습니까?

Akamai 고객 담당팀에서 사본을 제공해 드릴 수 있습니다. 

어느 지역을 대상으로 합니까?

Akamai SOC 2 보고서는 Akamai 서비스 전체를 포괄하며, 특정 지역에 국한되지 않습니다.

Akamai SOC 2 보고서의 대상 기간은 어떻게 됩니까?

Ernst & Young LLP에서 작성하는 Akamai의 SOC 2 보고서의 대상 기간은 매년 1월 1일부터 9월 30일까지입니다. A-LIGN Assurance에서 작성하는 Akamai의 SOC 2 보고서의 대상 기간은 매년 5월 1일부터 4월 30일까지입니다. SOC 2 Type 1 보고서는 기간이 정해져 있지 않으나, 2021년 9월 30일부터 유효합니다.

마지막 대상 기간 이후를 대상으로 하는 소급 문서가 있습니까?

Ernst & Young LLP에서 작성하는 SOC 2 보고서와 관련하여 전년 10월 1일~12월 31일을 대상으로 하는 소급 문서는 고객 담당팀에서 제공해드릴 수 있습니다.

Akamai SOC 2 보고서는 어떤 간격으로 발행됩니까?

Akamai SOC 2 보고서는 연 1회 발행됩니다.

Akamai는 SOC 2 규정 준수 인증서를 보유하고 있습니까?

규정 준수 인증서는 존재하지 않습니다. 그대신 자격을 갖춘 제3자 평가 기관이 평가 대상 조직의 규정 준수에 관한 보고서를 작성합니다. 이 보고서에는 조직의 기술 내용 및 증빙 자료에 대한 공통 기준, 증거, 적합성을 충족하기 위한 평가 대상 조직의 시스템 정의, 범위, 제어 정의가 논의되어 있습니다.

Akamai는 SOC 1 규정 준수 인증서를 보유하고 있습니까?

Akamai는 SOC 1 감사를 받지 않습니다. SOC 1 보고서의 목적은 서비스 제공업체가 자사 고객의 재무 신고에 영향을 미칠 수 있는 내부 통제 장치를 다루는 것입니다. Akamai의 서비스는 고객의 재정 또는 회계 부문에 직접 영향을 주지 않으므로 SOC 1 감사는 Akamai와 관련이 없습니다.


ISO 27002

개요

ISO/IEC 27002:2013은 ISO(International Organization for Standardization) 및 IEC(International Electrotechnical Commission)가 공표한 정보 보안 표준으로, 정보 보안 제어 사례의 정보 기술 - 보안 기법 - 코드(information technology — security techniques — code of practice for information security controls)라는 표제가 붙어 있습니다.

ISO/IEC 27002:2013에는 기업의 정보 보안 리스크 환경을 감안하여 제어 기능 선택, 구현 및 관리를 비롯한 조직적 정보 보안 표준 및 정보 보안 관리 사례에 대한 가이드라인이 제시되어 있습니다. 

이 표준은 다음과 같은 의도를 가진 기업에서 사용되도록 설계되었습니다. 

  • ISO/IEC 27001 기반의 정보 보안 관리 시스템 구현 프로세스 내에서 제어 기능 선택
  • 공통적으로 허용된 정보 보안 제어 기능 구현
  • 고유의 정보 보안 관리 가이드라인 개발

리소스

Akamai 평가

Akamai는 회사의 정보 보안 프로그램에 대한 제어 기능이 정의되어 있는 ISO 27002의 준수 여부를 매년 평가받고 있습니다. 이 보고서의 Executive Summary는 Akamai와 NDA(기밀유지 계약)를 체결한 고객 및 파트너에게 제공됩니다. 자세한 내용은 Akamai 고객 담당팀에 문의하시기 바랍니다. 

해당되는 Akamai 서비스

Akamai의 ISO 27002 평가는 모든 Akamai 제품 및 Akamai 전체 정보 보안 프로그램에 적용됩니다.

Q&A

Akamai의 ISO 27002는 언제 평가되었나요?

CFGI는 2021년 3월 5일에 Akamai의 최근 ISO 27002 갭 평가를 시행했습니다.

평가 사본을 얻을 수 있나요?

고객 담당팀에서 최근 ISO 27002 평가의 Executive Summary를 제공해 드립니다.


NIST

개요

NIST(National Institute of Standards and Technology) 800-53 보안 제어는 일반적으로 미국 연방 정보 시스템에 적용됩니다. 정보 및 정보 시스템의 기밀성, 무결성 및 가용성에 대한 충분한 보호를 보장하기 위해 연방 정보 시스템에서는 일반적으로 공식 평가 및 권한 부여 절차를 거칩니다.

NIST 사이버 보안 프레임워크(CSF)는 전 세계 정부 및 산업에서 업종 또는 규모에 관계없이 모든 조직에서 권장하는 기준으로 지원됩니다. 이제 대행사는 사이버 보안 집행 명령(Cybersecurity Executive Order)에 따라 CSF를 도입해야 합니다.

리소스

NIST

Akamai 평가

Akamai Intelligent Edge Platform은 FedRAMP의 추가 요건뿐만 아니라, NIST 800-53 규정에 대해 수행된 써드파티 테스트를 통해 검증되었습니다. Akamai NIST 인증의 영향 수준은 보통(Moderate) 수준입니다.

관련 NIST 제어를 포함하는 FedRAMP 규정 준수에 관한 자세한 내용은 Akamai의 FedRAMP 규정 준수 페이지를 참조하시기 바랍니다.

다운로드/링크


EU–U.S. Privacy Shield

개요

유럽 ​​연합(EU)과 미국(U.S.) 간의 안전한 정보 공유를 촉진하는, EU-U.S. Privacy Shield는 상업적 목적으로 대서양을 오가는 개인 정보 교환을 규제하는 프레임워크입니다. 설립 목적 중 하나는 미국 기업이 EU 시민을 보호하기 위한 EU 개인 정보 보호 법에 따라, EU 엔티티로부터 개인 데이터를 보다 쉽게 ​​수신할 수 있도록 하는 것입니다. EU – U.S. Privacy Shield는 2015년 10월 유럽 사법 재판소에서 무효로 선언한 International Safe Harbor Privacy Principles을 대체합니다.

리소스

Privacy Shield 프레임워크

Akamai 평가

Akamai의 처리 활동은 EU–U.S. Privacy Shield 프로그램과 Swiss-U.S. Privacy Shield 프로그램에 의해 인증되었으며, 유럽 사법 재판소의 Schrems II 판결 이후 이 프로그램들은 데이터 전송 메커니즘 역할을 수행할 수 없지만 Akamai는 이 프로그램들을 여전히 충실히 이행하고 있습니다. 

다운로드/링크

Akamai의 Privacy Shield 인증

적용 가능한 Akamai 서비스

모든 Akamai 서비스는 Privacy Shield 인증 범위에 속합니다. Akamai의 내부 HR 처리 활동은 다루지 않습니다. 

고객 HR 데이터가 고객의 웹 자산의 일부이고 Akamai 서비스 제공 과정에서 Akamai가 이를 처리하는 경우, 고객 HR 데이터 처리에는 Akamai의 Privacy Shield 인증이 적용됩니다.

Q&A

Akamai의 인증 기간은 얼마나 됩니까?

인증 주기는 1년입니다. 본 용어는 Akamai의 Privacy Shield 인증에 설명되어 있습니다.