概述
任何存储、处理或传输支付卡数据的企业都需要遵守《支付卡行业数据安全标准》(PCI DSS)。由主要信用卡公司制定的 PCI DSS 定义了相关措施,旨在确保实施有关在线金融交易的数据保护和一致的安全流程和程序。由 PCI 安全标准委员会制定,PCI DSS 合规要求包括:
- 开发并维护涵盖企业各方面的安全策略
- 安装防火墙以保护数据
- 对通过公共网络传输的持卡人数据进行加密
- 使用防病毒软件并定期更新
- 建立强密码和其他网络安全协议
- 强制实施严格的访问控件并监控对帐户数据的访问
对于处理大量在线金融交易的大型商家和服务提供商,PCI DSS 合规性通过年度验证强制实施,该验证由独立的合格安全评估机构 (QSA) 执行。
资源
Akamai 认证
Akamai 的合规性认证 (AoC) 可以向我们的客户证明,我们的服务范围符合 PCI DSS v4.0 安全标准。
为了遵守 PCI DSS,Akamai 每半年会对评估范围内的系统进行第三方外部渗透测试。这些渗透测试的结果,以及合规文档和/或认证,可以在 Akamai 控制中心客户门户的下载中心部分,向客户提供,但需签署保密协议 (NDA)。
下载/链接
适用的 Akamai 服务
- 采用增强型 TLS 的安全 CDN(称为“安全 CDN”)
- Ion、Dynamic Site Accelerator、API Acceleration 和 Adaptive Media Delivery 等内容交付产品(在安全 CDN 上运行时)
- EdgeWorkers(在安全 CDN 上运行时)
- Cloudlets
- mPulse 数字化性能管理服务
- API Gateway
- App & API Protector(包括 Malware Protection 插件)、Account Protector、Kona Site Defender、Cloudlets 和 Bot Manager 等应用程序和 API 安全性产品(在安全 CDN 上运行时)
- App & API Protector Hybrid
- API Security(以前称为 Noname Security)
- API Security(以前称为 Neosec)
- Client-Side Protection & Compliance
- Audience Hijacking Protector
- Secure Internet Access Enterprise(旧称为 Enterprise Threat Protector)
- Akamai MFA
问答
Akamai 是否通过了 PCI DSS 认证?
是的,Akamai 通过了 PCI DSS 1 级服务提供商认证,这是可以获得的最高评估级别。PCI DSS 合规性认证和责任矩阵在以上链接中公开可用。
如果我的网站正在使用 Akamai,如何确定它是否符合 PCI DSS?
客户负责管理自己的 PCI DSS 认证,应联系合格的安全评估机构 (QSA) 验证自己的控制措施并获得认证。客户及其 QSA 可依赖 Akamai 的合规性认证,在部分持卡人数据环境中使用 Akamai 的 PCI DSS 合规服务。Akamai 的 PCI DSS 责任矩阵(参见前述链接)阐明了 Akamai 和我们的客户在每个 PCI DSS 要求方面的责任。我们的《PCI DSS 客户配置指南》提供了更多详细信息,您可在 Akamai Control Center 客户门户的下载中心获取该指南,也可由您的客户团队为您提供。
我能否查看 Akamai 季度批准的扫描供应商 (ASV) 漏洞扫描和外部渗透测试的执行摘要?
是的。您的客户团队可以根据标准保密协议 (NDA) 提供此信息。或者,您也可以在 Akamai Control Center 客户门户的下载中心获取此信息。