X

需要云计算吗? 即刻开始体验

Akamai logo
+1-8774252624
+1-8774252624
登录
Control Center
访问 Akamai 平台
Cloud Manager
管理您的云资源
试用 Akamai 产品
遭受攻击?
登录
Control Center
访问 Akamai 平台
Cloud Manager
管理您的云资源

Noname API Security 服务的技术措施和企业措施

上次更新时间:2024 年 11 月

下列技术措施和企业措施适用于 API Security 服务 (下称“服务”)。

因“服务”而处理的个人数据:客户 API 流量中内嵌的任何个人数据,例如 IP 地址、姓名、电子邮件、信用卡号和 SSN(下称“API 个人数据”)。         

下列技术措施和企业措施适用于 API Security 服务的 Saas 和混合版本。

因 API Security 服务 Saas、混合或本地版本的支持服务而处理的任何个人数据,均根据提供支持工单系统的子数据处理者(如数据处理者的子数据处理者列表中所述)采取的技术措施和企业措施受到保护。

个人数据假名化和加密措施

“服务”会对 API 个人数据中最为敏感的数据类别(例如,银行账号、出生日期、信用卡、CVV、健康数据、宗教信仰、工资、SSN 及护照详细信息)应用自动混淆。客户可以选择包含其他数据类别进行混淆。

静态和传输中的 API 个人数据均使用符合行业标准的公认方法(例如,AES-256、TLS 1.2 或更高版本)进行加密。

确保处理系统和服务保持长期机密性、完整性、可用性及弹性的措施

数据处理者已实施并维护公司的信息安全和合规计划,以确保信息和处理系统保持长期的机密性、完整性、可用性及弹性,例如:

  • 保密安排
  • 数据隐私和信息安全培训
  • 信息安全政策和程序
  • 备份程序
  • 第三方数据中心内的远程存储
  • 通过 AWS 等云服务提供商或每个客户选择的其他云服务提供商(如数据处理者的子数据处理者列表中所述),使用不同的可用区域来确保在云服务提供商的主数据中心发生物理中断时的恢复能力和可用性
  • 全天候网络安全控制措施,包括使用防火墙、最新的入侵检测和预防系统,以帮助保护系统免遭入侵,并限制攻击或未经授权访问数据处理者系统、计算设备或网络的企图,以缩小其范围或者降低其成功几率
  • 远程访问控制措施,以监控和控制对数据处理者系统或网络的访问,包括要求从外部系统或网络访问数据处理者网络的任何个人进行多重身份验证
  • 补丁管理程序和控制措施,以及时安装软件和固件的安全补丁及更新
  • 漏洞管理程序和技术,以识别、评估、抵御和防范新的及现有的安全漏洞和威胁(包括病毒、爬虫程序、其他恶意代码),以及防病毒保护
  • 可用性控制措施,以保护个人数据免遭意外破坏或丢失

确保在遭遇物理或技术事故时能够及时恢复个人数据的可用性和访问权的措施

数据处理者将维护:

  • 业务连续性计划
  • 灾难恢复程序
  • 维护和实践的事故响应计划,例如通过全面的环境恢复演习

数据处理者的生产系统按照内部备份程序的要求进行定期备份。

定期测试、评估和评价技术措施及企业措施的有效性以确保处理安全性的流程

数据处理者已实施下列流程:

  • 内部和外部审计计划、审计报告及文档
  • 测试备份过程和业务连续性程序
  • 定期进行风险评估和系统监控
  • 定期进行漏洞和渗透测试

数据处理者定期进行安全评估,并拥有 https://www.akamai.com/zh/legal/compliance 上列出的认证

用户识别和授权措施

数据处理者将维护相关的政策和程序来管理用户识别及授权,例如:

  • 内部政策和程序,包括建立、管理和控制密码及身份验证要求
  • 用户身份验证控制措施,包括分配、选择和存储访问凭据以及在合理次数的身份验证访问失败后阻止访问的安全方法
  • 限制对特定用户的访问
  • 根据拥有知情权的原则而授予访问权限,并由访问授权、建立、修改和终止访问权限的协议提供支持
  • 记录和报告系统
  • 控制授权方案
  • 差异化访问权限(配置文件、角色、事务和对象)
  • 对访问的监控和记录
  • 访问报告
  • 访问政策和程序
  • 更改管理政策和程序

数据传输过程中的保护措施

API 个人数据在传输过程中受到以下措施的保护:

  • 通过 TLS 1.2 或更高版本等行业标准进行传输加密
  • 根据每个客户的偏好对任何敏感内容进行混淆,由每个客户进行管理
  • 网络和客户数据隔离
  • 安全相关事件的记录和监控

数据存储过程中的保护措施

API 个人数据在存储过程中受到以下措施的保护:

  • 通过 AES-256 等行业标准进行静态加密
  • 访问控制
  • 分离数据库,并将客户数据与其他客户的数据进行逻辑分割
  • 功能和环境(生产/测试/开发)分离
  • 针对不同目的存储、修改、删除和传输数据的程序

确保个人数据处理地点的物理安全的措施

由于数据处理者不会在自己的服务器中存储 API 个人数据,因此以下措施由 AWS 或每个客户选择的其他云服务提供商(如数据处理者的子数据处理者列表中所述)等子数据处理者处理:

  • 建立安全区域,限制访问路径
  • 为拥有知情权的员工和第三方建立访问授权
  • 访问控制系统(身份证阅读器、磁卡、芯片卡)
  • 钥匙管理、卡钥匙程序
  • 门锁(电动门开门器等)
  • 安全人员
  • 设施监控、视频/CCTV 监控、警报系统
  • 确保分散处理设备和个人电脑的安全

客户选择的每个云服务提供商所采用的详细措施可以在其各自的网站上进行查看。

确保事件记录的措施

数据处理者将维护相关的政策和程序来确保事件记录,例如:

  • 用户识别和身份验证程序
  • ID/密码安全程序
  • 在达到设定的登录失败次数后自动阻止和锁定帐户
  • 会话不活动时自动超时
  • 日志管理程序和技术,以创建和维护完整的审计跟踪,以便进行有效的取证调查,包括监控入侵尝试以及在多次输入错误密码后自动关闭用户 ID
  • 为每个用户创建一条主记录

确保系统配置(包括默认配置)的措施

数据处理者将维护相关的程序和政策来确保按照行业标准配置和维护其系统,例如:

  • 最新的基准配置文档和设置
  • 操作程序和控制措施,以确保软件、计算设备和网络按照符合行业标准的规定内部标准进行开发、配置和维护
  • 更改系统配置需要特定的权限

内部 IT 和 IT 安全治理及管理措施

数据处理者按照 SOC 2 类型 2、CSA STAR 2、PCI DSS、HIPAA 等行业标准管理 IT 治理,并采用以下措施,例如:

  • 信息安全政策和程序
  • 事件响应计划
  • 定期内部和外部审计
  • 审查和监督信息安全计划
  • 定期对员工进行信息安全和隐私培训
  • 根据最低权限原则访问数据                    

流程和产品的认证/保证措施

数据处理者拥有以下认证:

  • SOC 2 类型 2
  • 云安全联盟 (CSA) STAR 2
  • HIPAA
  • PCI DSS

有关更多详细信息,请访问 https://www.akamai.com/zh/legal/compliance

确保数据最少化的措施

数据处理者遵循从设计上保障用户隐私的原则,确保其服务和系统的开发及设计符合隐私要求,并且只处理所需范围内的数据,例如:

  • 确保处理最少量的数据以实现处理目的
  • 仅在检测到 API 安全事件时捕获数据,并且每个 API 仅收集少量的数据包来建立 API 基准
  • 会自动对“服务”所捕获的某些敏感类别的个人数据进行混淆,并且每个客户可以根据自己的偏好选择混淆其他类别的个人数据,这由每个客户直接管理

确保数据质量的措施

数据处理者按原样接收 API 流量数据包,并且在接收后不能更新或更正数据包中的 API 个人数据。

确保有限数据保留的措施

API 个人数据的存储期限即为协议的有效期限,并且可应客户要求提前删除。

确保问责制的措施

数据处理者可通过实施各种措施来确保问责制,例如:

  • 内部数据保护政策和程序
  • 从设计上保障用户隐私和默认情况下保障用户隐私
  • 数据处理活动的记录
  • 必要时进行隐私影响评估
  • 供应商加入流程和尽职调查评估
  • 子数据处理者控制措施,包括选择子数据处理者的适当标准和适当协议
  • 数据隐私和信息安全培训计划

实现数据可移植性和确保数据删除的措施

数据处理者可通过以下措施来确保可移植性和数据删除:

  • 客户可以使用工作流将“服务”与自己的系统进行集成,并自动在其系统内接收 API 个人数据
  • 可以应客户要求导出 API 个人数据
  • 可以应客户要求删除 API 个人数据
  • 根据 NIST 最佳实践删除 API 个人数据,并由 AWS 或每个客户选择的其他云服务提供商(如数据处理者的子数据处理者列表所述)进行管理

对于向(子)数据处理者的转移,还应该说明(子)数据处理者为向控制者提供协助而采取的具体技术措施和企业措施

当数据处理者聘用子数据处理者时,该数据处理者及子数据处理者会达成协议,其中的数据保护义务和数据处理者与数据控制者之间的协议中所包含的义务基本相似。

说明处理者为向控制者提供协助而采取的具体技术措施和企业措施。

有关数据处理者对控制者提供的协助的更多详细信息,请参阅数据处理协议及相关的服务协议。