概览
任何存储、处理或传输支付卡数据的企业都需要遵守《支付卡行业数据安全标准》(PCI DSS)。由主要信用卡公司制定的 PCI DSS 定义了相关措施,用来确保为在线金融交易实施相关数据保护措施,以及一致的安全流程和程序。由 PCI 安全标准委员会制定,PCI DSS 合规要求包括:
- 开发并维护涵盖企业各方面的安全策略
- 安装防火墙以保护数据
- 对通过公共网络传输的持卡人数据进行加密
- 使用防病毒软件并定期更新
- 建立强密码和其他网络安全协议
- 强制实施严格的访问控件并监控对帐户数据的访问
对于处理大量在线金融交易的大型商家和服务提供商,PCI DSS 合规性通过年度验证强制实施,该验证由独立的合格安全评估机构 (QSA) 执行。
资源
Akamai 认证
Akamai 的合规性认证 (AoC) 可以向我们的客户证明,我们的服务范围符合 PCI DSS v4.0 安全标准。
为了遵守 PCI DSS,Akamai 每半年会对评估范围内的系统进行第三方外部渗透测试。这些渗透测试的结果,以及合规文档和/或认证,可以在 Akamai 控制中心客户门户的下载中心部分,向客户提供,但需签署保密协议 (NDA)。
下载/链接
适用的 Akamai 服务
- 采用增强型 TLS 的安全 CDN(安全 CDN)
- Ion、Dynamic Site Accelerator、API Acceleration 和 Adaptive Media Delivery 等内容交付产品(在安全 CDN 上运行时)
- EdgeWorkers(在安全 CDN 上运行时)
- mPulse 数字化性能管理服务
- App & API Protector(包括 Malware Protection 插件)、Account Protector、API 网关、Cloudlets 和 Bot Manager(Standard 和 Premier)等 App 和 API 安全产品(在安全 CDN 上运行时)
- API Security(以前称为 Noname Security)
- API Security(以前称为 Neosec)
- Client-Side Protection & Compliance
- Audience Hijacking Protector
- Secure Internet Access Enterprise(旧称为 Enterprise Threat Protector)
- Akamai MFA
- Akamai Guardicore Segmentation
- 以下云计算解决方案:专用 CPU、共享 CPU 和高内存
问答
Akamai 是否通过了 PCI DSS 认证?
是的,Akamai 通过了 PCI DSS 1 级服务提供商认证,这是可以获得的最高评估级别。PCI DSS 合规性认证和责任矩阵在以上链接中公开可用。
如果我的网站正在使用 Akamai,如何确定它是否符合 PCI DSS?
客户负责管理自己的 PCI DSS 认证,应联系合格的安全评估机构 (QSA) 验证自己的控制措施并获得认证。客户及其 QSA 可依赖 Akamai 的合规性认证,在部分持卡人数据环境中使用 Akamai 的 PCI DSS 合规服务。Akamai 的 PCI DSS 责任矩阵(参见以上链接)阐明了 Akamai 和我们的客户在每个 PCI DSS 要求方面的责任。我们的《PCI DSS 客户配置指南》提供了更多详细信息,您可在 Akamai Control Center 客户门户的下载中心获取该指南,也可由您的客户团队为您提供。
我能否查看 Akamai 季度批准的扫描供应商 (ASV) 漏洞扫描和外部渗透测试的执行摘要?
是的。您的客户团队可以根据标准保密协议 (NDA) 提供此信息。或者,您也可以在 Akamai Control Center 客户门户的下载中心获取此信息。