Compliance

Akamai 규정 준수 프로그램

Akamai 제품 및 서비스가 개인정보 보호 법안과 규제, 인증, 프레임워크를 준수하는지 확인해보시기 바랍니다.

프라이버시 트러스트 센터

조정, 프레임워크, 자율 평가

규정 준수 조정 및 프레임워크는 특정 업계 또는 기능 등 특수 목적용 명시된 보안 또는 규정 준수 요구 사항을 포함합니다. Akamai는 이러한 유형의 프로그램을 위한 보안 기능 및 문서 등의 기능성을 제공합니다. 특정 규정 준수 조정 및 프레임워크의 적용을 받는 요구 사항은 인증 또는 증명의 대상이 되지 않을 수 있습니다.

프라이버시 트러스트 센터

CCPA(California Consumer Privacy Act)

 

개요

2018년 캘리포니아 소비자 개인정보 보호법(CCPA)은 미국 캘리포니아주 거주자의 개인정보 보호 권한 및 고객 보호를 강화하기 위해 제정된 캘리포니아주 법률입니다.

2020년 1월 1일부터 캘리포니아주에서 사업을 하는 회사 또는 조직은 엄격한 신규 주 개인정보 보호법을 준수해야 합니다. 이 법은 모든 캘리포니아 거주자에 대한 합법적이며 강제적인 개인정보 보호 권리를 부여합니다. CCPA는 캘리포니아주에 기반을 둔 기업뿐만 아니라 캘리포니아주에서 사업하는 모든 기업에 적용되며, 기업의 설립지와는 무관합니다.

Akamai 규정 준수

CCPA에 따라 Akamai는 고객에게 서비스를 제공하는 역할을 수행합니다. 고객은 Akamai 서비스를 사용하는 인터넷 자산과 관련된 CCPA상 의무의 궁극적인 책임 당사자입니다.

모든 Akamai 서비스는 CCPA를 준수합니다. 따라서 고객은 기존 Akamai 서비스를 계속 사용하고 Akamai Identity Cloud와 같은 서비스를 CCPA 규정 준수 전략의 핵심으로 배포할 수도 있습니다.

CCPA는 기업에서 처리하는 캘리포니아 소비자 개인 데이터의 적절하고 충분한 관리와 보호를 의무화합니다. 수많은 웹 애플리케이션과 웹사이트가 개인정보를 수집하고 사용하는 하이퍼커넥티드 세상에서 이는 간단한 문제가 아닙니다. Akamai의 Intelligent Edge Platform을 사용하면 고객은 이러한 문제에 대응할 수 있습니다. 셀프서비스 데이터 관리 도구, 보안 전문가 팀, 유연하고 수준 높은 프로세스, 검증된 최첨단 기술을 바탕으로 강력한 데이터 관리 및 보안 전략을 제공합니다.

CCPA 리소스

해당하는 Akamai 서비스

모든 Akamai 서비스가 해당됩니다.

맨 위로 이동

 

전자 개인정보 보호법(E-Privacy Laws)

 

개요

전자 개인정보 보호법(E-Privacy Laws)은 전자 통신 및 디지털 마케팅에서 개인정보에 대한 권리를 보장하기 위한 중요한 법적 수단입니다. 현재 Directive 2009/136/EC 버전은 대부분의 EU 회원국에서 현지법으로 시행되었습니다.

전자 개인정보 보호법 지침은 전자 통신 서비스 제공업체를 대상으로 하며 다음으로 구성되어 있습니다.

  • 네트워크 및 서비스 보안
  • 통신 기밀 유지
  • 단말기에 저장된 데이터에 접속
  • 트래픽 및 위치 데이터 처리
  • 발신 번호 표시
  • 공용 가입자 디렉터리
  • 원치 않은 상업 통신(‘스팸’)
  • 쿠키 사용

2002 버전과 비교하여 최신 Directive 2009/136/EC 버전의 주요 변경 사항은 통신 서비스 제공업체에 대한 데이터 유출 통지 요구사항과 쿠키 사용에 대한 동의 요구사항이 도입된 것입니다.

현재 EU 내 관련 기구는 전기 통신에서의 개인정보 보호에 대해 GDPR보다 더 한정적인 전자 개인정보 보호법을 우선 적용할 수 있도록 검토 중입니다. 기존 지침과의 차이점은 전자 개인정보 보호법의 범위가 OTT(Over-the-Top) 통신 서비스 사업자에게 확장된다는 점입니다.

Akamai 규정 준수

Akamai는 Directive 2009/136/EC의 다양한 요구사항 및 웹사이트의 쿠키 배너, 서비스 제공 시 사용되는 쿠키 차단 메커니즘, 전자 개인정보 보호 요구사항 준수와 관련된 마케팅 활동 성능과 같은 현지 구현 규정을 확실히 준수했습니다.

해당 Akamai 서비스

웹 및 모바일 분석 솔루션(mPulse, CloudTest)을 포함하는 모든 Akamai 보안 솔루션이 해당됩니다.

Q&A

Akamai의 mPulse 서비스는 전자 개인정보 보호법을 준수하나요?

네, 모든 Akamai 서비스는 전자 개인정보 보호법을 준수합니다. mPulse에 관해서는 'mPulse - 글로벌 데이터 보호법 준수' 백서를 읽어 보시기 바랍니다.

맨 위로 이동

 

Akamai and the GDPR Thumbnail
???Watch the Video???

GDPR(General Data Protection Regulation)

 

개요

2018년 5월 25일 발효된 GDPR(General Data Protection Regulation)는 현행 유럽 연합(EU) 데이터 보호 법률로, 유럽 전역의 국가별 데이터 보호법을 통합하기 위해 제정되었습니다. 이 법률의 도입 이후 전 세계에서 개인정보 보호정책 개선 움직임이 촉발되었으며 데이터 보호 모범 사례가 구축되기도 했습니다.

GDPR에 따라 기업은 EU 개인 정보를 처리하는 운영 과정을 관리하고 보호하여 무단 접속을 방지해야 합니다. GDPR를 준수하지 않을 경우 기업에 상당한 영향을 미치는 수준의 벌금이 부과될 수 있습니다.

EU GDPR(General Data Protection Regulation)

Akamai 규정 준수

Akamai 서비스는 GDPR을 준수합니다. 즉, 고객은 Akamai 서비스를 계속 사용할 수 있을 뿐만 아니라 GDPR 규정 준수 전략의 핵심적인 부분으로 배포할 수도 있습니다. GDPR은 기업에서 처리하는 EU 개인 데이터의 적절하고 충분한 관리와 보호를 의무화합니다. 수많은 웹 애플리케이션과 웹사이트가 개인정보를 수집하고 사용하는 하이퍼커넥티드 세상에서 이는 간단한 문제가 아닙니다. Akamai의 Intelligent Edge Platform을 사용하면 고객은 이러한 문제에 대응할 수 있습니다. 셀프서비스 데이터 관리 도구, 보안 전문가 팀, 유연하고 수준 높은 프로세스, 검증된 최첨단 기술을 바탕으로 강력한 데이터 관리 및 보안 전략을 제공합니다.

GDPR
Akamai Identity Cloud 레퍼런스 아키텍처.

Akamai는 'Akamai의 개인 데이터 처리 활동 및 역할' 문서에서 서비스 프로비저닝 중 처리 활동에 관해 설명합니다

또한, Akamai는 고객과 Akamai가 Akamai 서비스 프로비저닝 중 개인 데이터 처리와 관련된 GDPR 28조를 준수하도록 데이터 처리 동의서에 동의할 것을 고객에게 요청합니다.

해당하는 Akamai 서비스

모든 Akamai 서비스가 해당됩니다.

Q&A

Akamai의 mPulse 서비스는 GDPR을 준수하나요?

네, 모든 Akamai 서비스는 GDPR을 준수합니다. mPulse에 관해서는 'mPulse - 글로벌 데이터 보호법 준수' 백서를 읽어 보시기 바랍니다.

맨 위로 이동

 

HIPAA / HITECH

 

Overview

1996년 제정된 미국 의료정보보호법(Health Insurance Portability and Accountability Act, HIPAA)에는 헬스케어 서비스 및 보험사의 개인 식별 정보 처리에 필요한 요구 사항이 명시되어 있습니다.

2009년 제정된 의료정보기술법(HITECH)에는 환자가 자신의 데이터에 대한 제어를 유지할 수 있도록 의료 데이터 및 메커니즘에 대한 접근 권리가 정의되어 있습니다. 이에 따라 전자적으로 보호하는 의료 정보의 교환은 물론, HIPAA에서 정의된 개인정보 보호와 보안 보호 범위 역시 확장됩니다.

리소스

Akamai 규정 준수

콘텐츠 전송 및 웹 보안 서비스 제공업체로서 Akamai에는 HIPAA와 HITECH이 모두 직접적으로 적용되지 않습니다. 그럼에도 불구하고 Akamai가 헬스케어 데이터 처리와 관련하여 자사의 헬스케어 분야 고객사와의 업무를 수행할 때는 비즈니스 관계자로 간주될 수 있으며, 이 경우 Akamai와 해당 헬스케어 분야 고객사 간의 비즈니스 관계자 계약 체결이 필요할 수 있습니다. Akamai의 표준 비즈니스 관계자 계약은 요청 시 제공됩니다.

HIPAA 보안 규칙 준수를 보장하기 위해 Akamai는 매년 규칙 준수 여부를 평가받습니다. 이러한 보안 규칙 평가의 요약 보고서 및/또는 평가 주체가 작성한 관련 문서는 NDA(기밀유지 협약)에 따라 Akamai 고객 및 파트너에게 제공됩니다.

리소스

적용 대상 Akamai 서비스

Akamai 웹 성능 향상 및 보안 서비스(Akamai Secure CDN with Enhanced TLS 서비스 및 Akamai Identity Cloud에서 실행하는 경우) 및 Akamai Identity Cloud에 적용되며, 두 서비스 모두 헬스케어 서비스 및 보험사의 개인 식별 정보 처리에 사용될 때 적용됩니다.

Q&A

Akamai가 마지막으로 HIPAA 평가를 받은 시기는 언제입니까?

가장 최근에 수행한 Akamai의 HIPAA 보안 규칙 준수 여부 평가는 CFGI에서 수행했습니다. 자세한 내용은 Akamai 고객 담당팀에 문의하십시오.

Akamai는 HIPAA 인증을 받았습니까?

아니요, 이러한 인증은 존재하지 않습니다. HIPAA 규정 준수는 지속적으로 이루어지는 절차입니다. Akamai는 자사 직원이 HIPAA 관련 정책 및 절차를 따르도록 자사 직원에게 HIPAA 요구 사항을 교육합니다.

Akamai는 고객사와 비즈니스 관계자 계약서를 체결합니까?

Akamai가 개인 의료 정보를 전송하기 위해 Akamai가 '비즈니스 관계자'로서 기능하는 수준까지 서비스를 제공하는 경우, Akamai는 이에 대해 요구되는 비즈니스 관계자 계약을 Akamai의 일반적인 계약 체결 과정의 일부로 포함하여 체결해야 합니다. Akamai의 표준 비즈니스 관계자 계약은 요청 시 제공됩니다.

Akamai는 HITRUST CSF 프레임워크에 의거하여 평가를 받습니까?

Akamai는 HITRUST CSF 프레임워크에 의거하여 평가를 받지 않습니다. Akamai는 매년 독립적인 공인 감사 기관에서 매년 실시하는 감사를 통해 보호되는 의료 정보를 해당 서비스에 사용하기에 적합하다고 확인받음으로써 지속적인 HIPAA 및 HITECH 규정 준수 여부를 보장합니다.

맨 위로 이동

 

LGPD(브라질)

 

개요

브라질의 개인정보보호 규정인 연방법 13,709/2018번 Lei Geral de Proteção de Dados(이하 “LGPD”)가 2020년 8월 16일부로 발효됩니다. LGPD는 민간 및 공공 부문에서 브라질 내 개인정보를 온라인 및 오프라인으로 사용하기 위한 새로운 법률 체계를 확립합니다. 감독 기관으로 만들어진 ANPD(National Data Protection Authority)는 LGPD를 감독하고 집행하는 책임이 있습니다.

리소스

Akamai 규정 준수

Akamai 서비스는 LGPD를 준수합니다. 즉, 고객은 Akamai 서비스를 계속 사용할 수 있을 뿐만 아니라 LGPD 규정 준수 전략의 핵심적인 부분으로 배포할 수도 있습니다. LGPD는 조직에서 처리하는 브라질 개인정보의 적절하고 충분한 관리와 보호를 의무화합니다. 수많은 웹 애플리케이션과 웹사이트가 개인정보를 수집하고 사용하는 상호 연결된 세상에서 이는 간단한 문제가 아닙니다.

Akamai Intelligent Edge Platform은 셀프 서비스 데이터 관리 툴, 보안 전문가팀, 유연하고 수준 높은 프로세스, 검증된 최첨단 기술을 바탕으로 강력한 데이터 관리 및 보안 전략을 제공하여 고객이 이러한 문제를 해결하는 데 도움이 됩니다.

다운로드/링크

프라이버시 트러스트 센터

해당 Akamai 서비스

모든 서비스가 해당합니다.

Q&A

LGPD는 GDPR과 어떻게 다른가요?

LGPD는 GDPR과 일부 내용이 다릅니다. 예를 들어 LGPD에는 처리 활동을 충족시킬 수 있는 법적 근거가 10개 있는 데 비해 GDPR에는 6개가 있습니다.

LGPD에 데이터 유출 통지 의무를 준수해야 하는 기한이 있나요?

LGDP는 데이터 컨트롤러가 데이터 유출을 통지해야 하는 기한을 정하지 않고 있습니다. ANPD가 데이터 유출 통지 기한을 정합니다.

맨 위로 돌아가기

 

MAS (싱가포르)

 

개요

싱가포르 통화 당국(MAS)은 싱가포르 내 설립된 은행, 자본 시장, 보험 및 지불 부문의 금융 기관을 규제합니다. 콘텐츠 전송 및 웹 보안 서비스 제공업체로서 Akamai에는 해당 규제가 모두 직접적으로 적용되지 않습니다. 그럼에도 Akamai가 싱가포르 금융 서비스 고객의 금융 데이터 처리에 관여하는 경우, MAS의 규제를 받는 아웃소싱 서비스 제공자로 간주될 수 있습니다. 아웃소싱 계약의 위험 관리에 관한, 현지 금융 기관을 대상으로 한 아웃소싱 지침은 그중에서도 다음에 관해 다룹니다.

  • 아웃소싱에 대한 MAS와의 관계
  • 아웃소싱 계약의 위험 관리에 대한 건전한 관행
  • 클라우드 컴퓨팅

리소스

개정일:

Akamai 컴플라이언스

싱가포르 내 설립된 금융 서비스 제공 업체가 이용하는 Akamai 서비스는 본 지침에 따라 아웃소싱된 활동으로 간주됩니다. Akamai 서비스는 본 지침을 준수하므로, 싱가포르에 설립된 금융 서비스 고객은 Akamai 서비스를 계속 사용할 수 있을 뿐만 아니라, 아웃소싱 컴플라이언스 전략의 핵심 부분으로 이를 배포할 수 있습니다.

적용 가능한 Akamai 서비스

  • 향상된 TLS 및 관련 서비스를 갖춘 보안 CDN
  • 개선된 TLS를 갖춘 보안 CDN 실행 시의 Ion과 같은 웹 성능 제품
  • 개선된 TLS를 갖춘 보안 CDN 실행 시의 Kona Site Defender와 Bot Manager과 같은 클라우드 보안 제품
  • Prolexic DDoS 방어 서비스
  • Akamai Identity Cloud

위로 돌아가기

 

Revised Payment Services Directive PSD2
???Watch the Video???

Payment Services Directive(PSD2)

 

개요

EU의 Payment Services Directive 개정안(PSD2) 및 영국의 오픈 뱅킹은 금융 기관에 써드파티 제공업체(TPP)가 고객의 은행 계좌 데이터에 접속할 수 있게 허용하여 결제 인프라를 개방하도록 요구합니다. 규제 당국은 이 이니셔티브를 통해 고객에게 결제 및 계좌 정보 서비스를 제공하는 TPP를 구현함으로써 금융 서비스의 혁신, 경쟁, 효율성을 장려하고자 합니다.

리소스

Akamai 규정 준수

Akamai 솔루션은 고객 경험, 애플리케이션 안정성, 보안 제어를 강화하여 금융 기관이 PSD2를 준수할 수 있도록 지원합니다. Akamai Intelligent Edge Platform은 TPP와 금융 기관 사이의 소통 창구 역할을 담당합니다. Akamai 보안 서비스는 금융 기관의 API를 무단 접속으로부터 보호하고 인증된 접속 요청만 처리합니다. Akamai는 다음을 통해 PSD2 규정 준수를 지원합니다.

  • 고객 서비스 환경 개선
  • API에 대한 접속 제어와 거버넌스 제공
  • 공격으로부터 API 보호
  • 일반 및 보안 통신(SSL/TLS) 제공
  • 스크린 스크레이핑 방지

다운로드/링크

Akamai Compliance PSD2 Callout Image
써드파티 제공업체(TPP)가 은행과 고객을 중재하게 되면 자체 API 및 독자적인 애플리케이션은 퍼블릭 API 및 써드파티 애플리케이션으로 교체됩니다.
Akamai Compliance PSU Authorization Flow Callout Image
결제 서비스 사용자(PSU), 써드파티 제공업체(TPP), 계좌를 통한 결제 서비스 제공업체(ASPSP) 사이의 인증 플로우

해당하는 Akamai 서비스

Identity Cloud, 보안 콘텐츠 전송, Kona Site Defender, Ion, DSA, API Gateway.

Q&A

오픈 뱅킹은 PSD2와 같나요?

오픈 뱅킹은 영국에서 PSD2가 구현되는 방식입니다. 오픈 뱅킹은 영국 경쟁시장청(CMA)에서 2016년 8월에 내린 결정에 근거를 두고 있으며, 이 판결에 따라 영국의 9대 은행은 라이선스를 받은 스타트업이 이들 은행의 거래 데이터에 거래 계좌 수준까지 직접 접근할 수 있도록 허용해야 합니다. 추가로 Wikipedia를 참조하시기 바랍니다.

PSD2 구현이 항상 맞춤형 솔루션인 이유는 무엇인가요?

각 인증 기관 트러스트 사업자(TP)의 고유한 요구 사항, EU 국가의 특정 법률, 개별 기업 정책에 따른 내부 규정 준수 요건 등으로 인해 PSD2는 항상 맞춤형으로 구현됩니다.

맨 위로 이동

 

중요 인프라(독일)

 

개요

Akamai는 2017년 6월부터 독일 정보 보안 연방 사무국(BSI)에서 구현한, 독일의 콘텐츠 전송 네트워크 서비스에 대한 중요 인프라 서비스 공급 업체의 요구 사항을 충족합니다. 기본법률인 BSI 법에 따라, Akamai는 2년마다 써드파티 감사를 수행하여 기술 및 조직적 조치가 시스템을 적절하게 보호하고, 가용성, 무결성, 진정성 및 서비스 기밀성을 보장함을 증명합니다.

리소스

Akamai 평가

2019년 1분기, Akamai 독일은 감사를 완료했으며 BSI가 이를 승인했습니다. 감사 기반은 Akamai의 2018 SOC 2 유형 2 보고서 및 ISO 27002 평가와 독일 전역 데이터 센터에서의 3회의 현장 감사입니다.

다운로드/링크

적용 가능한 Akamai 서비스

  • Akamai CDN

Q&A

Akamai CDN 서비스가 독일에서 중요 인프라 서비스가 된 지는 얼마나 되었습니까?

2017년 6월부터입니다.

Akamai의 보안 서비스는 어떻습니까?

BSI 법에 따르면 보안 서비스는 중요 인프라 서비스로 간주되지 않습니다. Akamai는 다른 중요 인프라 서비스 제공 업체에 추천되는 분산 서비스 거부(DDoS) 보호 서비스 제공 업체입니다. 적격 DDoS 방어 서비스 공급 업체(독일)도 참조해 주시기 바랍니다.

위로 돌아가기

 

CSA STAR Level 2

 

개요

클라우드 보안 연합 보안 신뢰 보장 및 위험(STAR) 프로그램에는 투명성, 엄격한 감사 및 표준 조화의 주요 원칙이 포함됩니다. STAR를 사용하는 기업은 모범적인 관행을 따르고 있음을 반증하는 것이며, 클라우드 오퍼링의 보안 상태를 검증합니다.

STAR 레지스트리에서는 널리 사용되는 클라우드 컴퓨팅 제품 오퍼링에 의해 제공된 보안 및 개인 정보 보호 제어를 문서화합니다. 공개적으로 액세스할 수 있는 본 레지스트리를 통해, 클라우드 고객은 최상의 조달 결정을 내리기 위해 보안 제공자를 평가할 수 있습니다.

리소스

Akamai 인증

Identity Cloud는 클라우드 보안 연합(CSA) 레벨 2, 유형 2 증명(제삼자 감사)을 획득했습니다.

적용 가능한 Akamai 서비스

  • Akamai Identity Cloud

날짜/기간/감사관

A-LIGN Assurance는 Akamai의 CSA Level 2, Type 2 증명을 수행합니다.

Akamai의 최근 평가는 2018년 5월 1일부터 2019년 4월 30일까지의 기간에 해당하며 2020년 5월 1일까지 유효합니다.

Q&A

Akamai CSA 레벨 2, 유형 2 증명 사본을 어떻게 구할 수 있습니까?

Akamai 계정 팀에서 본 보고서 사본을 제공할 수 있습니다.

위로 돌아가기

 

FedRAMP

 

개요

미국 정부의 규정 준수 프로그램인 FedRAMP(Federal Risk and Authorization Management Program)는 클라우드 제품과 서비스의 보안 평가, 승인 및 지속적인 모니터링에 관해 표준화된 접근 방식을 제공합니다.

FedRAMP는 미국 정부가 효과적이고 반복 가능한 클라우드 보안을 확보할 수 있도록 핵심 프로세스 집합을 만들어 관리합니다. 클라우드 서비스의 활용도와 친숙도를 높이기 위한 대규모 Marketplace도 마련되어 있습니다.

리소스

Akamai 인증

Akamai Intelligent Edge Platform은 IaaS(Infrastructure as a Service) 공급업체로서 Moderate 기준에 대한 FedRAMP JAB(Joint Authorization Board)의 P-ATO(Provisional Authorization to Operate)를 받았습니다.

다운로드/링크

해당하는 Akamai 서비스

  • HTTP 및 HTTPS 전송을 위한 Intelligent Edge Platform(ESSL 및 FreeFlow Networks라고도 함) 및 이를 실행하는 서비스
  • Edge DNS(DNSSEC 포함)
  • NetStorage
  • 미디어 스트리밍 서비스
  • Akamai Control Center
  • Global Traffic Management

날짜/기간/감사관

Akamai의 써드파티 FedRAMP 평가자는 Coalfire Systems, Inc입니다.

Akamai는 2013년 8월 23일부터 FedRAMP 권한을 부여 받았으며 연례 평가와 지속적인 모니터링을 통해 규정을 준수하고 있습니다.

Q&A

Akamai의 FedRAMP 문서에 액세스하려면 어떻게 해야 하나요?

고객은 FedRAMP Marketplace 웹사이트에서 '패키지 접속 요청 양식'을 받을 수 있습니다.

Akamai의 FedRAMP 영향 수준은 어느 정도인가요?

Akamai FedRAMP 인증의 영향 수준은 Moderate입니다. FedRAMP에 따르면 영향 수준이 Moderate인 시스템은 “FedRAMP 인증을 받는 CSP의 약 80%를 차지하며, 기밀성, 무결성, 가용성의 손실이 기관의 운영, 자산 또는 소속 개인에 대한 심각한 악영향으로 이어질 수 있는 CSO에 가장 적합합니다. 심각한 악영향이란 기관 자산에 대한 현저한 운영상 피해, 금전적 손실, 인명 손실 또는 신체적 상해가 아닌 개인의 피해 등을 말합니다.”

현재 Akamai는 High 영향 수준의 FedRAMP 인증을 모색하고 있지 않습니다.

맨 위로 이동

 

IRAP(호주)

 

개요

IRAP(Information Security Registered Assessors Program)는 호주 정부에 고품질 정보 및 통신 기술(ICT) 보안 평가 서비스를 제공하기 위한 ASD(호주 정보국) 이니셔티브입니다. ASD 내 ACSC(호주 사이버 보안 센터)는 ISM(호주 정부 보안 매뉴얼)을 발행합니다. ISM의 용도는 조직이 온라인 위협으로부터 정보 및 시스템을 보호하는 데 적용할 수 있는 사이버 보안 프레임워크를 개략적으로 설명하는 것입니다.

ISM은 다음과 같은 80개가 넘는 영역의 보안 요구사항을 정의하는 600개가 넘는 보안 제어로 구성되어 있습니다.

  • 사이버 보안 인시던트
  • 시스템 강화
  • 취약점 관리
  • 패치 적용
  • 암호화
  • 네트워크 설계
  • 애플리케이션 개발

리소스

Akamai 규정 준수

Akamai는 ISM에 정의된 IRAP 보안 제어의 준수 여부를 독립적인 감사관을 통해 매년 평가받습니다. Akamai의 첫 번째 IRAP 평가는 2019년 초에 실시되었습니다. 이 평가에서는 Akamai의 프로덕션 및 기업 네트워크 환경을 모두 다루었으며 2019년 4월 8일 NJOY Security에서 이에 따른 규정 준수 평가 보고서를 작성했습니다. Akamai의 IRAP 보안 평가 Executive Summary 및 Akamai의 IRAP Official Assessor에서 작성한 관련 문서는 NDA(기밀유지 계약)가 적용됩니다.

자세한 내용은 Akamai 고객 담당팀에 문의하시기 바랍니다.

해당 Akamai 서비스

  • Secure CDN with Enhanced TLS 및 함께 실행되는 서비스
  • Enhanced TLS가 적용된 Secure CDN에서 실행 시 Ion과 같은 웹 성능 향상 제품
  • Bot Manager Standard 및 Premier
  • Enhanced TLS가 적용된 Secure CDN에서 실행 시 Kona Site Defender 및 Bot Manager와 같은 클라우드 보안 제품
  • Edge DNS

날짜/기간/감사관

2019년 4월 8일 NJOY에서 Akamai의 최근 평가를 시행했습니다.

맨 위로 돌아가기

 

ISO/IEC 27001:2013 및 ISO/IEC 27018:2014

 

개요

ISO/IEC 27001은 정보 위험 관리에 관한 활동 모음인 ISMS(정보 보안 관리 시스템)를 공식적으로 명시합니다. ISMS는 조직에서 정보 위험을 식별, 분석, 해결하는 데 있어 가장 중요한 관리 프레임워크입니다. ISMS는 가변적인 분야에서 중요한 요소인 보안 위협, 취약점, 비즈니스 영향의 변화에 맞춰 보안 대책을 세밀하게 조정합니다.

리소스

이 표준은 클라우드 서비스 사업자가 위탁된 개인 식별 정보(PII)를 보호하여 고객사의 사용자 개인정보를 보호하기 위한 적합한 정보 보안 제어를 제공하도록 하는 지침을 제공합니다.

이 표준은 ISO/IEC 27001 기반의 클라우드 컴퓨팅 정보 보안 관리 시스템을 구현할 때 PII 보호 제어를 선택하기 위한 참고 자료 역할을 합니다. 또한 PII 보호 제어 구현에 대한 지침을 제공합니다.

리소스

Akamai 인증

Identity Cloud는 2019년 4월 22일에 최신 ISO 27001 및 27018 인증을 받았습니다.

해당되는 Akamai 서비스

  • Akamai Identity Cloud

날짜/기간/감사관

A-LIGN Assurance는 Akamai의 CSA Level 2, Type 2 증명을 수행합니다.

Akamai의 최근 평가는 2018년 5월 1일부터 2019년 4월 30일까지의 기간에 해당하며 2020년 5월 1일까지 유효합니다.

Q&A

Akamai의 ISO 27001/27018 규정 준수가 적용되는 지역은 어디인가요?

Akamai Identity Cloud 서비스의 ISO 27001/27018 인증은 러시아를 제외한 전 세계 모든 지역에 적용됩니다.

Akamai의 ISO 27001 및 27018 인증 사본을 얻으려면 어떻게 해야 하나요?

고객 담당팀으로 문의해주시기 바랍니다.

맨 위로 돌아가기

 

PCI DSS Level 1

 

Overview

PCI DSS(Payment Card Industry Data Security Standard) 규정 준수는 결제 카드 데이터를 저장, 처리 또는 전송하는 모든 법인 및 사업체에 적용되는 요건입니다. 주요 신용 카드 회사에서 개발한 PCI DSS는 데이터 보호는 물론 온라인 금융 거래에 대한 일관된 보안 프로세스 및 절차를 보장하기 위한 수단을 정의합니다. PCI DSS 규정을 준수하지 못하는 업체에는 엄청난 벌금이 부과되고 강력한 처벌이 따릅니다.

PCI 보안 표준 협의회에서 규정한 PCI DSS 규정 준수 명령에는 다음과 같은 항목이 있습니다.

  • 비즈니스 관련 모든 업무를 총괄하는 보안 정책의 개발 및 유지
  • 데이터 보호를 위한 방화벽 설치
  • 공용 네트워크를 통해 전송되는 카드 소유자 데이터 암호화
  • 안티바이러스 소프트웨어 사용 및 정기적인 업데이트
  • 강력한 암호 및 기타 사이버 보안 프로토콜 확립
  • 견고한 액세스 제어 수단 집행 및 계정 데이터에 대한 액세스 모니터링

대량의 온라인 금융 거래를 진행하는 대규모 상거래 업체 및 서비스 제공업체의 경우 독립 QSA(Qualified Security Assessor)의 연간 검증을 통해 PCI DSS 규정 준수를 시행합니다.

리소스

Akamai 인증

AoC(규정 준수 증명)는 Akamai의 범위 내 서비스가 PCI DSS v.3.2.1 보안 표준을 준수한다는 증빙 자료로 활용됩니다.

Akamai는 PCI 규정 준수를 위해 분기별로 보안 CDN에 대한 제3자 모의 해킹 테스트를 실시합니다. 이 분기별 모의 해킹 테스트의 결과와 규정 준수 문서 및/또는 인증은 NDA(기밀유지 협약)에 따라 고객들에게 제공됩니다).

다운로드 / 링크

적용 대상 Akamai 서비스

  • Secure CDN with Enhanced TLS 및 함께 실행되는 서비스
  • Ion 등의 웹 성능 향상 제품(Secure CDN with Enhanced TLS에서 실행되는 경우)
  • Bot Manager Premier
  • Kona Site Defender와 Bot Manager 등의 클라우드 보안 제품(Secure CDN with Enhanced TLS에서 실행되는 경우)
  • mPulse 디지털 성능 관리 서비스
  • Akamai의 제로 트러스트 엔터프라이즈 보안 솔루션(akamai.com/zerotrust)의 핵심 구성요소인 Enterprise Application Access(EAA)

Q&A

Akamai는 PCI DSS 인증을 받았습니까?

예, Akamai는 PCI DSS 3.2.1 Level 1 서비스 제공업체 인증을 받아 현존하는 최고 평가 수준을 달성했습니다. 규정 준수 평가는 독립 QSA(Qualified Security Assessor)인 Specialized Security Services, Inc.에서 실시했습니다. PCI DSS 규정 준수 증명책임분석표는 완전히 공개되어 있습니다.

제 웹사이트에서 Akamai를 사용하고 있다면, 웹사이트가 PCI DSS 규정을 준수하는지 어떻게 확인할 수 있습니까?

고객사의 PCI DSS 인증은 고객사가 직접 책임져야 하며, 따라서 고객사가 직접 QSA(Qualified Security Assessor)를 통해 통제 체계를 검증받고 인증을 획득해야 합니다. 고객사와 QSA는 Akamai의 PCI DSS 규정 준수 서비스를 사용할 수 있도록 Akamai의 규정 준수 증명을 카드 소유자 데이터 환경의 일부로 활용할 수 있습니다. Akamai의 PCI DSS 책임분석표에서는 각 PCI DSS 요구 사항과 관련된 Akamai 및 Akamai 고객사의 책임을 설명합니다. 고객 담당팀에서 Akamai의 PCI DSS 고객 설정 안내서를 제공할 수 있으며, 여기에서도 자세한 내용을 확인하실 수 있습니다.

Akamai는 VISA 글로벌 서비스 제공업체 등록부와 Mastercard 승인 서비스 제공업체 목록에 포함되어 있습니까?

예. Akamai는 Visa와 MasterCard 목록에 모두 포함되어 있습니다. 이로써 Akamai는 주요 결제 카드 업체의 관련 프로그램 요구 사항을 모두 준수하는 기업임을 입증했습니다.

Akamai의 ASV(Approved Scanning Vendor, 분기별 승인 스캔 제공업체) 취약성 스캔 및 외부 모의 해킹 요약 보고서를 확인할 수 있습니까?

예. 고객 담당팀에서 표준 NDA(기밀유지 협약)에 의거하여 본 정보를 제공할 수 있습니다.

맨 위로 이동

 

SOC 2 Type 2

 

Overview

SOC(Service Organization Controls)는 AICPA(American Institute of Certified Public Accountants)에서 수립한 보안 표준으로, 서비스 전문 기업의 보안, 가용성, 처리 무결성, 기밀유지, 개인정보 보호에 직접적으로 연관되는 통제에 대해 보고합니다.

리소스

Akamai 인증

매년 Akamai는 자사 보안 제어를 1년 동안 지속적으로 감사한다는 점을 입증하는 SOC 2 Type 2 보고서를 받습니다.

적용 대상 Akamai 서비스

다음의 서비스에는 보안 및 가용성 신뢰 서비스 원칙이 적용됩니다.

  • 향상된 TLS 및 관련 서비스를 갖춘 보안 CDN
  • 개선된 TLS를 갖춘 보안 CDN 실행 시의 Ion과 같은 웹 성능 제품
  • Kona Site Defender와 Bot Manager 등의 클라우드 보안 제품(Secure CDN with Enhanced TLS에서 실행되는 경우)
  • Prolexic DDoS 방어 서비스

다음의 서비스에는 모든 신뢰 서비스 원칙이 적용됩니다.

  • Identity Cloud

날짜 / 기간 / 감사 수행자

보안 및 가용성 신뢰 서비스 원칙에 관한 Akamai의 SOC 2 보고서는 Ernst & Young LLP에서 작성하며, 대상 기간은 매년 1월부터 9월까지입니다.

5가지 신뢰 서비스 원칙 전체에 관한 Akamai Identity Cloud SOC 2 보고서는 A-LIGN에서 작성하며, 대상 기간은 매년 5월 1일부터 4월 30일까지입니다.

Q&A

Akamai SOC 2 보고 감사를 실시하는 독립 기관은 어디입니까?

Akamai의 핵심 콘텐츠 전송 네트워크 솔루션의 독립적 감사는 Ernst & Young LLP에서 실시하며, 보안 및 가용성 신뢰 서비스 원칙을 감사합니다.

Akamai Identity Cloud 감사는 A-LIGN Assurance에서 실시하며, 5가지 신뢰 서비스 원칙 모두를 감사합니다.

SOC 2 보고서 사본은 어디에서 찾을 수 있습니까?

Akamai 고객 담당팀에서 사본을 제공해 드릴 수 있습니다.

어느 지역을 대상으로 합니까?

Akamai SOC 2 보고서는 Akamai 서비스 전체를 포괄하며, 특정 지역에 국한되지 않습니다.

Akamai SOC 2 보고서의 대상 기간은 어떻게 됩니까?

Ernst & Young LLP에서 작성하는 Akamai의 SOC 2 보고서의 대상 기간은 매년 1월 1일부터 9월 30일까지입니다. A-LIGN Assurance에서 작성하는 Akamai의 SOC 2 보고서의 대상 기간은 매년 5월 1일부터 4월 30일까지입니다.

마지막 대상 기간 이후를 대상으로 하는 소급 문서가 있습니까?

Ernst & Young LLP에서 작성하는 SOC 2 보고서와 관련하여 전년 10월 1일~12월 31일을 대상으로 하는 소급 문서는 고객 담당팀에서 제공해드릴 수 있습니다. A-LIGN Assurance에서 작성하는 SOC 2 보고서는 1년 전체를 대상으로 하기 때문에 본 보고서에 대한 소급 문서는 필요가 없습니다.

Akamai SOC 2 보고서는 얼마나 자주 발행되고 언제 새로운 보고서를 받을 수 있습니까?

Ernst & Young LLP에서 작성하는 Akamai SOC 2 보고서는 보통 매년 4분기 중에 발표됩니다.

Akamai는 SOC 2 규정 준수 인증서를 보유하고 있습니까?

규정 준수 인증서는 존재하지 않습니다. 그대신 자격을 갖춘 제3자 평가 기관이 평가 대상 조직의 규정 준수에 관한 보고서를 작성합니다. 이 보고서에는 조직의 기술 내용 및 증빙 자료에 대한 공통 기준, 증거, 적합성을 충족하기 위한 평가 대상 조직의 시스템 정의, 범위, 제어 정의가 논의되어 있습니다.

Akamai SOC 2 보고서가 두 가지로 나누어져 있는 이유는 무엇입니까?

2019년에 Akamai가 Janrain, Inc.를 인수할 때 Akamai Identity Cloud 서비스도 이의 일부로 포함되어 있었기 때문에 SOC 2 Type 2 보고서가 두 가지로 나뉩니다. Ernst & Young LLP에서 작성하는 보고서는 AKamai의 핵심 CDN 및 보안 서비스를 대상으로 하며, A-LIGN Assurance에서는 Akamai Identity Cloud에 대한 보고서를 작성합니다.

Akamai는 SOC 1 규정 준수 인증서를 보유하고 있습니까?

Akamai는 재무 관리를 중점적으로 감사하는 SOC 1 감사를 받지 않습니다. Akamai는 미국 상장 기업이기 때문에, 사베인즈-옥슬리법(Sarbanes-Oxley Act)과 기타 규정에 따라 재무 상태를 투명하게 공개합니다. 현재 고객 및 잠재 고객들은 IR(Investor Relations) 웹사이트에서 연간 재무제표와 연차 유가증권 보고서(10-K 양식)에 액세스할 수 있습니다.

맨 위로 이동

 

CSA STAR 레벨 1

 

개요

클라우드 보안 연합 보안 신뢰 보장 및 위험(STAR) 프로그램에는 투명성, 엄격한 감사 및 표준 조화의 주요 원칙이 포함됩니다. STAR를 사용하는 기업은 모범적인 관행을 따르고 있음을 반증하는 것이며, 클라우드 오퍼링의 보안 상태를 검증합니다.

STAR 레지스트리에서는 널리 사용되는 클라우드 컴퓨팅 제품 오퍼링에 의해 제공된 보안 및 개인 정보 보호 제어를 문서화합니다. 공개적으로 액세스할 수 있는 본 레지스트리를 통해, 클라우드 고객은 최상의 조달 결정을 내리기 위해 보안 제공자를 평가할 수 있습니다.

리소스

Akamai 평가

2019년 7월 기준으로, Akamai는 CSA STAR 자체 평가의 일환으로 클라우드 제어 매트릭스(CCM) 준수를 문서화한 보고서를 제출했습니다. 본 자체 평가는 다양한 클라우드 컴퓨팅 오퍼링에서 제공하는 보안 제어를 문서화하는 오퍼링으로, 사용자가 클라우드 공급 업체의 보안을 평가할 수 있도록 합니다.

본 보고서는 STAR 레지스트리에서 공개적으로 제공됩니다. Akamai는 클라우드 서비스 산업의 투명성을 높이고, 고객에게 보안 관행에 대한 가시성을 제공하기 위해 노력하고 있습니다.

다운로드/링크

적용 가능한 Akamai 서비스

  • 향상된 TLS 및 관련 서비스를 갖춘 보안 CDN
  • 개선된 TLS를 갖춘 보안 CDN 실행 시의 Ion과 같은 웹 성능 제품
  • 개선된 TLS를 갖춘 보안 CDN 실행 시의 Kona Site Defender와 Bot Manager과 같은 클라우드 보안 제품

Q&A

Akamai의 CSA STAR 자체 평가는 언제입니까?

Akamai의 최신 CSA STAR 레벨 1 자체 평가 날짜는 2019년 7월 2일입니다.

위로 돌아가기

 

ISO 27002

 

Overview

ISO/IEC 27002:2013은 ISO(International Organization for Standardization) 및 IEC(International Electrotechnical Commission)가 공표한 정보 보안 표준으로, 정보 보안 제어 사례의 정보 기술 - 보안 기법 - 코드(information technology — security techniques — code of practice for information security controls)라는 표제가 붙어 있습니다.

ISO/IEC 27002:2013에는 조직의 정보 보안 리스크 환경을 감안하여 제어 기능 선택, 구현 및 관리를 비롯한 조직적 정보 보안 표준 및 정보 보안 관리 사례에 대한 가이드라인이 제시되어 있습니다.

이 표준은 다음과 같은 의도를 가진 조직에서 사용되도록 설계되었습니다.

  • ISO/IEC 27001 기반의 정보 보안 관리 시스템 구현 프로세스 내에서 제어 기능 선택
  • 공통적으로 허용된 정보 보안 제어 기능 구현
  • 고유의 정보 보안 관리 가이드라인 개발

리소스

Akamai 평가

Akamai는 회사의 정보 보안 프로그램에 대한 제어 기능이 정의되어 있는 ISO 27002의 준수 여부를 매년 평가받고 있습니다. Akamai의 최근 ISO 27002 평가는 2018년 말에 CFGI에서 시행되었으며 보고서는 2019년 2월 28일자입니다. 이 보고서의 Executive Summary는 Akamai와 NDA(기밀유지 계약)를 체결한 고객 및 파트너에게 제공됩니다. 자세한 내용은 Akamai 고객 담당팀에 문의하십시오.

해당 Akamai 서비스

Akamai의 ISO 27002 평가는 모든 Akamai 제품 및 Akamai 전체 정보 보안 프로그램에 적용됩니다.

Q&A

Akamai의 ISO 27002는 언제 평가되었나요?

CFGI는 2019년 2월 28일에 Akamai의 최근 ISO 27002 갭 평가를 시행했습니다.

평가 사본을 얻을 수 있나요?

고객 담당팀에서 최근 ISO 27002 평가의 Executive Summary를 제공해 드립니다.

맨 위로 돌아가기

 

NIST

 

개요

NIST(National Institute of Standards and Technology) 800-53 보안 제어는 일반적으로 미국 연방 정보 시스템에 적용됩니다. 정보 및 정보 시스템의 기밀성, 무결성 및 가용성에 대한 충분한 보호를 보장하기 위해 연방 정보 시스템에서는 일반적으로 공식 평가 및 권한 부여 절차를 거칩니다.

NIST 사이버 보안 프레임워크(CSF)는 전 세계 정부 및 산업에서 업종 또는 규모에 관계없이 모든 조직에서 권장하는 기준으로 지원됩니다. 이제 대행사는 사이버 보안 집행 명령(Cybersecurity Executive Order)에 따라 CSF를 도입해야 합니다.

리소스

Akamai 평가

Akamai Intelligent Edge Platform은 FedRAMP의 추가 요건뿐만 아니라, NIST 800-53 규정에 대해 수행된 써드파티 테스트를 통해 검증되었습니다. Akamai NIST 인증의 영향 수준은 보통(Moderate) 수준입니다.

관련 NIST 제어를 포함하는 FedRAMP 규정 준수에 관한 자세한 내용은 Akamai의 FedRAMP 규정 준수 페이지를 참조하시기 바랍니다.

다운로드/링크

위로 돌아가기

 

EU-U.S. Privacy Shield

 

개요

유럽 연합(EU)과 미국 간의 개인 정보 이전을 촉진하는, EU-U.S. Privacy Shield는 상업적 목적으로 대서양을 오가는 개인정보 교환을 규제하는 프레임워크입니다. 그 목적은 미국에서 EU 시민의 개인 정보를 처리할 때, 해당 데이터를 EU에서 처리할 때의 수준으로 보호하기 위함입니다.

리소스

Akamai 평가

Akamai 처리 활동은 EU-U.S. Privacy Shield 프로그램과 Swiss-U.S. Privacy Shield 프로그램에 의해 인증되었습니다.

다운로드/링크

적용 가능한 Akamai 서비스

Akamai 서비스와 관련된 모든 처리 활동은 Privacy Shield 인증 범위에 속합니다. Akamai의 내부 HR 처리 활동은 다루지 않습니다.

고객 HR 데이터가 고객의 웹 자산의 일부이고 Akamai 서비스 제공 과정에서 Akamai가 이를 처리하는 경우, 고객 HR 데이터 처리에는 Akamai의 Privacy Shield 인증이 적용됩니다. 해당 처리 활동은 Akamai 서비스와 연결되며 Akamai 내부 HR 처리 활동으로 간주하지 않습니다.

Q&A

Akamai의 인증 기간은 얼마나 됩니까?

인증 주기는 1년입니다. 본 용어는 Akamai의 Privacy Shield 인증에 설명되어 있습니다.

위로 돌아가기