X
Skip to main content
Akamai logo
+1-8774252624
Anmelden
Akamai testen
Support bei Angriffen

Compliance der Informationssicherheit

Akamai beweist Engagement für unsere eigene Sicherheit, die unserer Kunden sowie die von Internet-Endnutzern auf der ganzen Welt. Dies tun wir durch die Einhaltung verschiedener globaler und regionaler Compliance-Programme für Informationssicherheit. Eine Zusammenfassung dieser Programme mit Links zu weiteren Ressourcen finden Sie weiter unten.

Erfahren Sie mehr über den Datenschutz und die Datenschutzprogramme von Akamai

Global

PCI DSS

Payment Card Industry Data Security Standard

Weitere Informationen

SOC 2

System and Organization Controls 2, Typ 1 und 2

Weitere Informationen

ISO 27001

Internationale Organisation für Normung, Informationssicherheits-Managementsysteme

Weitere Informationen

ISO 27017

Internationale Organisation für Normung, Sicherheitskontrollen bei Public-Cloud-Services

Weitere Informationen

ISO 27018

Internationale Organisation für Normung, Datenschutzkontrollen bei Public-Cloud-Services

Weitere Informationen

ISO 27701

Internationale Organisation für Normung, Datenschutz-Managementsysteme

Weitere Informationen

Regional

FedRAMP

Das Federal Risk and Authorization Management Program, amtliche Zulassung für Anbieter von Cloud-Services in den USA 

Weitere Informationen

HIPAA

Health Insurance Portability and Accountability Act, Geschützte Gesundheitsdaten

Weitere Informationen

Cyber Essentials

Cybersicherheitsstandard des britischen National Cyber Security Centre

Weitere Informationen

BSI

Bundesamt für Sicherheit in der Informationstechnik, zugelassener Anbieter kritischer Infrastruktur (KRITIS), Deutschland

Weitere Informationen

IRAP

Infosec Registered Assessors Program, Amtlicher Standard für Informationsicherheit in Australien

Weitere Informationen

PSD2

Zahlungsdiensterichtlinie 2, Europäische Open-Banking-Vorschriften

Weitere Informationen

MAS

Monetary Authority of Singapore 

Weitere Informationen

PCI DSS Level 1

Übersicht

Die PCI-DSS-Compliance (Payment Card Industry Data Security Standard) ist eine Voraussetzung für alle Unternehmen, die Zahlungskartendaten speichern, verarbeiten und übertragen. Der von den wichtigsten Kreditkartenunternehmen entwickelte PCI-DSS-Standard definiert Regeln für die Sicherstellung des Datenschutzes sowie konsistente Sicherheitsprozesse und -verfahren im Zusammenhang mit Online-Finanztransaktionen. Das Regelwerk zur PCI-DSS-Compliance umfasst u. a. folgende, durch das PCI Security Standards Council formulierte Anforderungen:

  • Entwicklung und Durchsetzung einer Sicherheitsrichtlinie, die alle Aspekte des Geschäftsbetriebs abdeckt
  • Installation von Firewalls zum Datenschutz
  • Verschlüsselung von Karteninhaberdaten bei der Übertragung über öffentliche Netzwerke
  • Einsatz von Antivirensoftware und regelmäßige Updates
  • Einrichtung starker Kennwörter und anderer Cybersicherheitsprotokolle
  • Durchsetzung strenger Zugriffskontrollen und Überwachung des Zugriffs auf Kontodaten

Bei großen Handelsunternehmen und Serviceprovidern mit gewaltigen Mengen an Online-Finanztransaktionen wird die PCI-DSS-Compliance durch jährliche Validierungen sichergestellt, die von unabhängigen Sicherheitsgutachtern, den Qualified Security Assessors (QSA), durchgeführt werden. 

Ressourcen

PCI-Sicherheit

Akamai-Zertifizierung

Die Compliance-Bestätigung (Attestation of Compliance, AoC) dient für unsere Kunden als Beleg, dass die entsprechenden Services von Akamai die Anforderungen des Sicherheitsstandards PCI DSS v.3.2.1 erfüllen.

Zur Gewährleistung der PCI-DSS-Compliance lässt Akamai vierteljährlich einen Penetrationstest der in unserer Bewertung inbegriffenen Systeme durch einen Drittanbieter durchführen. Die Ergebnisse dieser vierteljährlichen Penetrationstests sowie die Compliance-Dokumentation und/oder Compliance-Zertifizierung stehen Kunden unter Einhaltung einer Geheimhaltungsvereinbarung zur Verfügung.

Downloads/Links

Betroffene Akamai-Services

  • Sicheres CDN mit erweiterter TLS (sicheres CDN) und den darauf ausgeführten Services
  • Edge-Bereitstellungsprodukte wie Ion, API Acceleration und Adaptive Media Delivery, wenn sie auf dem sicheren CDN ausgeführt werden
  • EdgeWorkers, wenn sie auf dem sicheren CDN ausgeführt werden
  • mPulse Digital Performance Management Services
  • App- und API-Sicherheitsprodukte wie App & API Protector, Account Protector (inklusive des Add-ons „Malware Protection“), Kona Site Defender und Bot Manager (Standard und Premier), wenn sie auf dem sicheren CDN ausgeführt werden
  • Schutz auf Browserebene, einschließlich Client-Side Protection & Compliance und Audience Hijacking Protector
  • Secure Internet Access Enterprise (ehemals Enterprise Threat Protector)
  • Akamai MFA
  • Die folgenden Cloud-Computing-Lösungen: Dedicated CPU, Shared CPU und High Memory

Fragen und Antworten

Ist Akamai nach PCI DSS zertifiziert?

Ja, Akamai ist als Serviceprovider nach PCI DSS Level 1 zertifiziert, der höchsten verfügbaren Bewertungsebene. Die Compliance-Bestätigung zu PCI DSS und die Zuständigkeitsmatrizen sind unter den obenstehenden Links verfügbar.

Wie kann ich beim Einsatz von Akamai auf meiner Website sicherstellen, dass Konformität nach PCI DSS vorhanden ist?

Kunden sind für ihre eigene PCI-DSS-Zertifizierung verantwortlich und sollten einen qualifizierten Sicherheitsbewerter (QSA) beauftragen, die jeweiligen Kontrollen zu validieren und eine Zertifizierung zu erhalten. Kunden und ihre QSAs können sich bei der Nutzung der PCI-DSS-konformen Services von Akamai auf die Compliance-Bestätigung von Akamai für den entsprechenden Bereich ihrer Umgebung für Karteninhaberdaten verlassen. In den Zuständigkeitsmatrizen von Akamai zu PCI DSS (siehe Links oben) werden die Verantwortlichkeiten von Akamai und unseren Kunden in Bezug auf die einzelnen PCI-DSS-Anforderungen erläutert. Ihr Betreuungsteam kann Ihnen für weitere Details unseren PCI DSS Customer Configuration Guide (PCI-DSS-Konfigurationshandbuch für Kunden) zur Verfügung stellen. 

Ist Akamai in der „Visa Global Registry of Service Providers“ und in der Liste der Mastercard-konformen Serviceprovider aufgeführt?
Ja. Akamai ist auf den Listen von Visa und Mastercard. Dies zeigt, dass Akamai alle geltenden Programmanforderungen dieser großen Zahlungskartenunternehmen erfüllt.  

Kann ich eine Zusammenfassung der vierteljährlichen durch genehmigte Scanninganbieter (Approved Scanning Vendor, ASV) bei Akamai durchgeführten Schwachstellen-Scans und externen Penetrationstests einsehen?
Ja. Ihr Betreuungsteam kann Ihnen diese Informationen gemäß der standardmäßigen Vertraulichkeitsvereinbarung (NDA) bereitstellen.

 

Zurück zum Anfang

SOC 2

Übersicht

SOC (System and Organization Controls) ist ein vom American Institute of Certified Public Accountants (AICPA) festgelegter Sicherheitsstandard. Er umfasst Kontrollen, die sich direkt auf die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Privatsphäre in Serviceunternehmen beziehen.

Ressourcen

AICPA SOC Suite of Services

Akamai-Zertifizierung

Akamai erhält jährlich Berichte zu SOC 2 Typ 2, die belegen, dass unsere Sicherheitskontrollen im Laufe des Jahres kontinuierlich überprüft werden.

Betroffene Akamai-Services

Der SOC-2-Typ-2-Hauptbericht von Akamai deckt die Trust-Service-Grundsätze „Sicherheit“ und „Verfügbarkeit“ ab. Folgende Services von Akamai werden in diesem Bericht untersucht:

  • Sicheres CDN mit erweiterter TLS
  • DDoS-Abwehrservices von Prolexic
  • Kundenportal Akamai Control Center
  • Zusätzliche unterstützende Systeme für das Zugriffs- und Schlüsselmanagement und weitere Infrastruktursysteme.

Akamai Connected Cloud umfasst eine große Anzahl verteilter Systeme, die zu unterschiedlichen Zwecken genutzt werden und unsere verschiedenen Produkte und Services unterstützen. Das sichere CDN mit erweiterter TLS und die unterstützenden Systeme, die der Bericht untersucht, sind die verteilten Server und Systeme, mit denen Webressourcen bereitgestellt und geschützt werden, die vertrauliche Endnutzerdaten übermitteln oder verarbeiten. Die Services von Akamai, die auf dem sicheren CDN mit erweiterter TLS ausgeführt werden, nutzen die gesamte Bandbreite der Sicherheits- und Verfügbarkeitsprüfungen, die im SOC-2-Typ-2-Bericht untersucht werden. Zu den Services, die auf dem sicheren CDN mit erweiterter TLS ausgeführt werden, zählen unter anderem:

  • Edge-Bereitstellungsprodukte wie Ion und Dynamic Site Delivery, wenn sie auf dem sicheren CDN mit erweiterter TLS ausgeführt werden
  • App- und API-Sicherheitsprodukte wie App & API Protector, Kona Site Defender, Kona DDoS Defender, Web Application Protector und Bot Manager Standard, wenn sie auf dem sicheren CDN mit erweiterter TLS ausgeführt werden

Mit einem ergänzenden Bericht zu SOC 2 Typ 2 deckt Akamai die Trust-Service-Grundsätze „Sicherheit“ und „Verfügbarkeit“ in Bezug auf die folgenden Lösungen ab:

  • Bot Manager Premier
  • Account Protector

Der Bericht zu SOC 2 Typ 2 von Akamai für den Service Akamai Guardicore Segmentation deckt die Trust-Service-Grundsätze „Sicherheit“, „Verfügbarkeit“ und „Vertraulichkeit“ ab.

Der Bericht zu SOC 2 Typ 2 von Akamai für den Service Akamai Identity Cloud deckt alle fünf Trust-Service-Grundsätze ab.

Mit einem Bericht zu SOC 2 Typ 1 deckt Akamai zudem die Trust-Service-Grundsätze „Sicherheit“ und „Verfügbarkeit“ in Bezug auf die folgenden Cloud-Computing-Services ab:

 

  • Computing:
    • Dediziertes CPU-Computing
    • Computing mit gemeinsam genutzter CPU
    • High-Memory-Computing
    • GPU-Computing
    • Linode Kubernetes Engine
  • Storage:
    • Object Storage
    • Blockspeicher
    • Backups
  • Netzwerk:
    • Cloud-Firewalls
    • DDoS-Schutz
    • NodeBalancers
  • Entwicklertools:
    • API
  • Cloud Manager

 

Fragen und Antworten

Wie erhalte ich eine Kopie des SOC 2-Berichts?
Ihr Akamai-Betreuungsteam kann Ihnen eine Kopie bereitstellen. 

Welche Regionen werden abgedeckt?
Die SOC-2-Berichte von Akamai decken die Services von Akamai als Ganzes ab und sind nicht auf bestimmte Regionen beschränkt.

Haben Sie ein Überbrückungsschreiben für die Zeit seit dem letzten abgedeckten Zeitraum?
Ihr Betreuungsteam kann Ihnen ein Überbrückungsschreiben über den Zeitraum seit der letzten Berichtsausgabe zukommen lassen.  

Verfügt Akamai über ein Compliance-Zertifikat zu SOC-2?
SOC 2 bietet kein Compliance-Zertifikat. Stattdessen erstellen qualifizierte Bewertungs-Drittanbieter einen Bericht zur Compliance des bewerteten Unternehmens. Dieser Bericht enthält eine Beschreibung des jeweiligen Systems, seines Umfangs und der Kontrollmechanismen zur Erfüllung der gängigen Kriterien, entsprechende Belege und eine Erörterung, ob die Beschreibungen und Belege des bewerteten Unternehmens angemessen sind. 

Warum gibt es verschiedene SOC-2-Berichte für Akamai?
Akamai bietet jetzt SOC-2-Berichte über die Services Identity Cloud, Akamai Guardicore Segmentation und Cloud-Computing-Services. Diese Services sind das Ergebnis der jüngsten Übernahmen von Akamai. Bis auf weiteres hat sich Akamai dazu entschlossen, diese Berichte getrennt zu halten.  

Verfügt Akamai über einen SOC-1-Bericht?
Bei Akamai wird kein SOC-1-Audit durchgeführt. Der SOC-1-Bericht untersucht die internen Kontrollen eines Serviceproviders, die Einfluss auf die Finanzberichterstattung seiner Kunden haben könnten. Die Kunden von Akamai lagern keine Geschäftsprozesse an Akamai aus, die für ihre Finanzberichterstattung wesentlich sind. Daher ist ein SOC-1-Audit für die Services von Akamai nicht relevant.

Zurück zum Anfang

ISO/IEC 27001:2013

Übersicht

ISO 27001 ist eine internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie bietet Unternehmen ein Framework für die sichere Verwaltung ihrer sensiblen Informationen und Daten zum Schutz vor unbefugtem Zugriff, Offenlegung, Vernichtung oder Verlust. Der Standard ist risikobasiert und enthält eine Reihe von Best Practices, Kontrollen und Prozessen, mit denen die Informationssicherheit gewährleistet wird. Er wird weltweit verwendet und gilt weithin als Maßstab für das Informationssicherheitsmanagement.

Ressourcen

ISO/IEC 27001:2013

Betroffene Akamai-Services

  • Ion (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • Dynamic Site Accelerator (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • App & API Protector (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • Global Traffic Management 
  • Edge DNS
  • Secure Internet Access Enterprise (ehemals Enterprise Threat Protector)
  • Portal Akamai Control Center
  • Guardicore Segmentation
  • Akamai Identity Cloud
  • Secure Internet Access IoT Private Access
  • Secure Internet Access Mobile Plattform
  • Secure Internet Access Mobile Private Access
  • Secure Internet Access Mobile Standard
  • Computing
    • Tarife für dedizierte CPUs
    • Tarife für gemeinsam genutzte CPUs
    • High-Memory-Tarife
    • GPU-Tarife
    • Linode Kubernetes Engine (LKE)
  • Storage
    • Object Storage
    • Blockspeicher
    • Images
    • Backups
  • Netzwerk
    • NodeBalancers
  • Kostenlose gebündelte Cloud-Computing-Services
    • Kostenlose Sicherheits-, Netzwerk-, Wartungs- und Überwachungslösungen
  • Cloud Manager Portal

Fragen und Antworten

Warum gibt es mehrere ISO 27001-Berichte für Akamai?
Die Zertifizierungen zusätzlich zur primären ISO 27001-Zertifizierung entstanden aus den Akquisitionen von Akamai: Janrain, Inc., Asavie, Inc. und Guardicore, Inc. Derzeit verwaltet Akamai die Zertifizierungen für die Services, die aus diesen Übernahmen hervorgegangen sind, separat. 

Wie erhalte ich eine Kopie der ISO 27001-Zertifizierungen von Akamai?
Ihr Betreuungsteam kann Ihnen diese Zertifizierungen bereitstellen.

Zurück zum Anfang

ISO/IEC 27017:2015

Übersicht

ISO/IEC 27017:2015 enthält Richtlinien für Informationssicherheitskontrollen, die für die Bereitstellung und Nutzung von Cloud-Services gelten, indem zusätzliche Implementierungsrichtlinien und Kontrollmechanismen bereitgestellt werden, um die für ISO 27001 verwendeten und speziell auf Cloudservice-Provider und Cloudservice-Kunden zugeschnittenen Richtlinien und Kontrollen zu ergänzen.

Ressourcen

ISO/IEC 27017:2015

Betroffene Akamai-Services

  • Computing
    • Tarife für dedizierte CPUs
    • Tarife für gemeinsam genutzte CPUs
    • High-Memory-Tarife
    • GPU-Tarife
    • Linode Kubernetes Engine (LKE)
  • Storage
    • Object Storage
    • Blockspeicher
    • Images
    • Backups
  • Netzwerk
    • NodeBalancers
  • Kostenlose gebündelte Cloud-Computing-Services 
    • Kostenlose Sicherheits-, Netzwerk-, Wartungs- und Überwachungslösungen
  • Cloud Manager Portal

Wie erhalte ich eine Kopie der ISO 27017-Zertifizierung von Akamai?

Ihr Betreuungsteam kann Ihnen diese Zertifizierungen bereitstellen.

Zurück zum Anfang

ISO/IEC 27018:2019

Übersicht

Dieser Standard bietet Anleitungen, um sicherzustellen, dass Cloud-Serviceprovider geeignete Informationssicherheitskontrollen anbieten, um die Privatsphäre der Kunden ihrer Kunden zu schützen, indem sie die ihnen anvertrauten personenbezogenen Daten (Personally Identifiable Information, PII) schützen.

Der Standard dient als Referenz für die Auswahl von PII-Schutzkontrollen bei der Implementierung eines auf ISO/IEC 27018 basierenden Cloud Computing Information Security Management System. Darüber hinaus sind Empfehlungen zur Implementierung von PII-Schutzkontrollen enthalten.

Ressourcen

ISO/IEC 27018

Betroffene Akamai-Services

 

  • Akamai Identity Cloud
  • Computing 
    • Tarife für dedizierte CPUs
    • Tarife für gemeinsam genutzte CPUs
    • High-Memory-Tarife
    • GPU-Tarife
    • Linode Kubernetes Engine (LKE)
  • Storage
    • Object Storage
    • Blockspeicher
    • Images
    • Backups
  • Netzwerk
    • NodeBalancers
  • Kostenlose gebündelte Cloud-Computing-Services 
    • Kostenlose Sicherheits-, Netzwerk-, Wartungs- und Überwachungslösungen
  • Cloud Manager Portal

 

Fragen und Antworten

Wie erhalte ich eine Kopie der ISO 27018-Zertifizierung von Akamai?

Ihr Betreuungsteam kann Ihnen diese Zertifizierungen bereitstellen.

Zurück zum Anfang

ISO 27701:2019

Übersicht

ISO/IEC 27701:2019 ist ein von der Internationalen Organisation für Normung (ISO) und der International Electrotechnical Commission (IEC) veröffentlichter Informationssicherheitsstandard. Dieser erweitert das Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 zum erweiterten Schutz der Privatsphäre im Zusammenhang mit der Verarbeitung personenbezogener Daten durch ein Managementsystem für Datenschutzinformationen (Privacy Information Management System, PIMS). Zur Einhaltung von ISO/IEC 27701 sind dokumentierte Nachweise dafür vorzulegen, wie die Verarbeitung personenbezogener Daten als Verarbeiter und/oder als Verantwortlicher gehandhabt wird.

Ressourcen

Betroffene Akamai-Services

  • Ion (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • Dynamic Site Accelerator (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • App & API Protector (bei Konfiguration zur Ausführung auf dem sicheren CDN von Akamai mit erweitertem TLS)
  • Global Traffic Management 
  • Edge DNS
  • Secure Internet Access Enterprise (ehemals Enterprise Threat Protector)
  • Computing 
    • Tarife für dedizierte CPUs
    • Tarife für gemeinsam genutzte CPUs
    • High-Memory-Tarife
    • GPU-Tarife
    • Linode Kubernetes Engine (LKE)
  • Storage
    • Object Storage
    • Blockspeicher
    • Images
    • Backups
  • Netzwerk
    • NodeBalancers
  • Kostenlose gebündelte Cloud-Computing-Services 
    • Kostenlose Sicherheits-, Netzwerk-, Wartungs- und Überwachungslösungen
  • Cloud Manager Portal

Auditor

A-LIGN Assurance führt die ISO 27701-Zertifizierung für Akamai durch.

Fragen und Antworten

Kann ich eine Kopie des Zertifikats einsehen?

Ihr Betreuungsteam kann Ihnen unser ISO 27701-Zertifikat bereitstellen.

Zurück zum Anfang

FedRAMP (Federal Risk and Authorization Management Program)

Übersicht

Ein Compliance-Programm der US-Regierung, das Federal Risk and Authorization Management Program (FedRAMP), bietet einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Services.

Im Rahmen von FedRAMP wurde ein zentraler Satz von Prozessen entwickelt und eingerichtet, um effektive und wiederholbare Cloud-Sicherheit für die US-Regierung zu gewährleisten. Dadurch wurde ein ausgereifter Markt geschaffen, um die Nutzung und Beliebtheit von Cloud-Diensten zu steigern.

Ressourcen

FedRAMP (Federal Risk and Authorization Management Program)

Akamai-Zertifizierung

Seit 2013 verfügt Akamai über eine provisorische Autorisierung des FedRAMP Joint Authorization Board (JAB) für die Auswirkungsebene „moderat“ für einen Infrastructure-as-a-Service-Anbieter (IaaS).

Downloads/Links

FedRAMP Marketplace-Seite von Akamai

Betroffene Akamai-Services

  • Das Content Delivery Network von Akamai für HTTP- und HTTPS-Bereitstellung (ESSL- und FreeFlow-Netzwerke) und darauf ausgeführte Services
  • Web Application Edge Protection wie App & API Protector und Kona Site Defender
  • Edge DNS (mit DNSSEC)
  • NetStorage
  • Medienstreaming-Services
  • Akamai Control Center
  • Global Traffic Management

Fragen und Antworten

Wie kann ich auf die FedRAMP-Dokumentation von Akamai zugreifen?

Kunden können das „Package Access Request Form“ von der FedRAMP Marketplace- Websiteherunterladen. 

Welche Auswirkungsstufe hat FedRAMP bei Akamai? 

Die FedRAMP-Autorisierung von Akamai erfolgte mit der Auswirkungsebene „moderat“. FedRAMP zufolgeumfasst ein System mit moderaten Auswirkungen „fast 80 % der CSP-Anwendungen, die FedRAMP-Autorisierung erhalten, und ist am besten für CSOs geeignet, bei denen der Verlust von Vertraulichkeit, Integrität und Verfügbarkeit schwerwiegende nachteilige Auswirkungen auf die Abläufe, Vermögenswerte oder Einzelpersonen einer Behörde haben würde. Schwerwiegende nachteilige Auswirkungen können erhebliche betriebliche Schäden an den Vermögenswerten der Behörde, finanzielle Verluste oder individuelle Schäden sein, bei denen es sich nicht um Verlust von Leben oder Sachwerten handelt.“

Bisher hat Akamai noch keine FedRAMP-Autorisierung für Auswirkungen auf hoher Ebene beantragt.

Zurück zum Anfang

HIPAA/HITECH

Übersicht

Im U.S. Health Insurance Portability and Accountability Act von 1996 (HIPAA) sind die Anforderungen für die Verarbeitung individuell identifizierbarer Gesundheitsinformationen durch Gesundheitsdienstleister und Versicherungsunternehmen festgelegt. 

Im Health Information Technology for Economic and Clinical Health Act von 2009 (HITECH) sind die Zugangsrechte zu Gesundheitsdaten und Mechanismen definiert, mit denen Patienten die Kontrolle über ihre Daten behalten können. Dieses Gesetz erweitert HIPAA, um den Austausch von elektronischen geschützten Gesundheitsinformationen (ePHI) sowie den Umfang von Datenschutz- und Sicherheitsschutzmaßnahmen gemäß HIPAA abzudecken. 

Ressourcen

Akamai-Compliance

Wenn Akamai von seinen Kunden im Gesundheitswesen für die Verarbeitung von Gesundheitsdaten engagiert wird, kann dies als ein Geschäftspartner-Verhältnis angesehen werden. Möglicherweise ist dann eine Geschäftspartner-Vereinbarung zwischen Akamai und dem Kunden im Gesundheitswesen erforderlich. Eine Kopie der standardmäßigen Geschäftspartner-Vereinbarung von Akamai ist auf Anfrage erhältlich.

Akamai unterzieht sich regelmäßigen Bewertungen durch Dritte gemäß der HIPAA-Sicherheitsregel. Diese schreibt vor, dass Geschäftspartner „eine genaue und gründliche Bewertung der potenziellen Risiken und Schwachstellen in Bezug auf die Vertraulichkeit, Integrität und Verfügbarkeit“ von ePHI im Besitz des Geschäftspartners durchführen. Die Zusammenfassung unserer neuesten Bewertung bzw. des zugehörigen Schreibens durch die Gutachter steht Akamai-Kunden und -Partnern unter dem Vorbehalt einer Vertraulichkeitsvereinbarung (NDA) zur Verfügung. 

Downloads/Links

Konformitätserklärung von Akamai zum HIPAA und HITECH Act

Betroffene Akamai-Services

  • Sicheres CDN mit erweiterter TLS (sicheres CDN) und den darauf ausgeführten Services
  • Edge-Bereitstellungsprodukte wie Ion, API Acceleration und Adaptive Media Delivery, wenn sie auf dem sicheren CDN ausgeführt werden
  • App- und API-Sicherheitsprodukte wie App & API Protector, Account Protector, Kona Site Defender und bot Manager (Standard und Premier), wenn sie auf dem sicheren CDN ausgeführt werden
  • Enterprise Application Access
  • Akamai Identity Cloud
  • Akamai Control Center
  • Computing 
    • Tarife für dedizierte CPUs
    • Tarife für gemeinsam genutzte CPUs
    • High-Memory-Tarife
    • GPU-Tarife
    • Linode Kubernetes Engine (LKE)
  • Storage
    • Object Storage
    • Blockspeicher
    • Images
    • Backups
  • Netzwerk
    • NodeBalancers
  • Kostenlose gebündelte Cloud-Computing-Services 
    • Kostenlose Sicherheits-, Netzwerk-, Wartungs- und Überwachungslösungen
  • Cloud Manager Portal

Zurück zum Anfang

Cyber Essentials

Übersicht

Cyber Essentials ist ein umfassendes und vertrauenswürdiges Zertifizierungssystem, das von der britischen Regierung unterstützt wird und zum Schutz von Unternehmen jeder Größe vor einer Vielzahl häufiger Cyberangriffe entwickelt wurde. Der Standard basiert auf einer Reihe von Best Practices, durch deren Anwendung Unternehmen ihre Cybersicherheit verbessern können.

Mit Cyber Essentials können Unternehmen proaktive Maßnahmen ergreifen, um sich vor solchen Angriffen zu schützen. Durch die Einhaltung verschiedener Richtlinien können Unternehmen die Wahrscheinlichkeit, Opfer von Cyberkriminalität zu werden, erheblich reduzieren. Dazu gehören unter anderem Maßnahmen wie Firewalls, Malware-Schutz und sichere Netzwerkkonfiguration.

Die Cyber-Essentials-Zertifizierung von Akamai umfasst Folgendes:

  1. Standorte von Akamai auf dem Gebiet des Vereinigten Königreichs
  2. Mitarbeiter von Akamai und Geräte, die diese auf dem Gebiet des Vereinigten Königreichs nutzen
  3. Unternehmensservices, die von besagten Mitarbeitern genutzt werden, um Services für das Vereinigte Königreich zu erbringen
  4. Geräte und Workstations auf dem Gebiet des Vereinigten Königreichs, die für die im Vereinigten Königreich erbrachten Leistungen von Akamai genutzt werden

Ressourcen

Akamai-Compliance

Cyber-Essentials-Zertifikat von Akamai

Zurück zum Anfang

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Zugelassener Anbieter für kritische Infrastruktur, Deutschland

Übersicht

Akamai erfüllt seit Juni 2017 die Anforderungen an Serviceprovider für kritische Infrastrukturen für die unternehmenseigenen Content Delivery Network Services in Deutschland, die vom BSI (Bundesamt für Sicherheit in der Informationstechnik) implementiert werden. Gemäß der zugrunde liegenden Gesetzgebung, dem BSI-Gesetz, lässt Akamai alle zwei Jahre ein Audit durch Dritte durchführen, um nachzuweisen, dass das System von Akamai durch angemessene technische und organisatorische Maßnahmen geschützt und bei seinen Services Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gewährleistet sind.

Im Rahmen des Audits stellt Akamai Deutschland dem BSI Nachweise über seine hochmoderne Sicherheit zur Verfügung, die die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit seiner kritischen Systeme gewährleistet. Die Grundlage für diese Audits sind der Bericht von Akamai zu SOC 2 Typ 2, die ISO-27001-Bewertung und mehrere Audits vor Ort durch den Auditor in Rechenzentren in ganz Deutschland.

Neben der Klassifizierung von Akamai als Serviceprovider für kritische Infrastrukturen für seine Bereitstellungsservices über die Edge hat das BSI mehrere Services von Akamai für Anwendungs- und Infrastruktursicherheit auch anderen Serviceprovidern für kritische Infrastrukturen empfohlen.

Ressourcen

Betroffene Akamai-Services

Akamai CDN, das alle Akamai-Bereitstellungsservices über die Edge wie Ion und Dynamic Site Accelerator umfasst.

Zurück zum Anfang

IRAP (Australien)

Übersicht

Das australische Infosec Registered Assessors Program (IRAP) bietet Kunden der australischen Regierung eine Validierung, dass angemessene Sicherheitskontrollen gemäß dem Information Security Manual (ISM) der australischen Regierung vorhanden sind. Das ISM skizziert ein Cybersicherheitsframework, das Unternehmen anwenden können, um ihre Daten und Systeme vor Onlinebedrohungen zu schützen.

Das ISM umfasst mehr als 700 Sicherheitskontrollen, die Sicherheitsanforderungen in mehr als 80 Bereichen definieren, z. B.:

  • Cybersicherheitsvorfälle
  • Systemhärtung
  • Schwachstellenmanagement
  • Patching
  • Kryptografie
  • Netzwerkdesign
  • Anwendungsentwicklung

Ressourcen

Akamai-Compliance

Akamai wird alle zwei Jahre von einem unabhängigen Prüfer auf die Einhaltung der im ISM definierten IRAP-Sicherheitskontrollen bewertet. Die Bewertung umfasst sowohl die Produktions- als auch die Unternehmensnetzwerkumgebungen von Akamai. Ein Schreiben, in dem die Fertigstellung der Bewertung durch den offizielle IRAP-Prüfer bestätigt wird, liegt vorbehaltlich der Geheimhaltungsvereinbarung (NDA) vor.

Weitere Informationen erhalten Sie bei Ihrem Betreuungsteam von Akamai.

Betroffene Akamai-Services

  • Sicheres CDN mit erweitertem TLS und den darauf ausgeführten Services
  • Edge-Bereitstellungsprodukte wie Ion bei Ausführung auf dem sicheren CDN mit erweiterter TLS
  • Bot Manager Standard und Premier
  • App- und API-Sicherheitsprodukte wie App & API Protector, Kona Site Defender, Web Application Protector, und Bot Manager, wenn sie auf dem sicheren CDN mit erweiterter TLS ausgeführt werden
  • Edge DNS

Zurück zum Anfang

Zahlungsdiensterichtlinie (PSD2)

Übersicht

Die überarbeitete Zahlungsdiensterichtlinie (PSD2) der EU und Open Banking, die britische Implementierung von PSD2, verlangen von den Finanzinstituten, dass sie ihre Zahlungsinfrastruktur öffnen und Drittanbietern (TPPs) Zugriff auf die Bankkontodaten ihrer Kunden gewähren. Die Aufsichtsbehörden treiben diese Initiative voran, um Innovation, Wettbewerb und Effizienz bei Finanzdienstleistungen zu fördern. Dazu sollen TPPs in der Lage sein, Kunden Zahlungs- und Kontoinformationsdienste bereitzustellen.

Ressourcen

RICHTLINIE (EU) 2015/2366

Akamai-Compliance

Die Lösungen von Akamai unterstützen Finanzinstitute bei der Einhaltung von PSD2, indem sie das Kundenerlebnis, die Anwendungsstabilität und die Sicherheitskontrollen verbessern. Das Content Delivery Network von Akamai dient als Kommunikationskanal zwischen TPPs und dem Finanzinstitut. Die Sicherheitsservices von Akamai schützen die APIs des Finanzinstituts vor unbefugtem Zugriff und stellen sicher, dass nur authentifizierte Zugriffsanfragen verarbeitet werden. Akamai unterstützt die PSD2-Compliance durch:

  • Verbesserung des Kundenerlebnisses
  • Zugriffskontrolle und Governance für APIs
  • Schutz von APIs vor Angriffen
  • Gemeinsame und sichere Kommunikation (SSL/TLS)
  • Verhindern von Screen Scraping
Grafischer Vergleich vor PSD2 und mit PSD2 Interne APIs und unternehmenseigene Anwendungen werden durch öffentliche APIs und Anwendungen von dritten Zahlungsdienstleistern (TPP) ersetzt, wenn diese zwischen einer Bank und ihren Kunden vermitteln.

Downloads/Links

Betroffene Akamai-Services

Identity Cloud, Secure Content Delivery, App & API Protector, Kona Site Defender, Web Application Protector, Ion, DSA und API-Gateway.

Fragen und Antworten

Ist Open Banking mit PSD2 identisch?

Open Banking ist die PSD2-Implementierung im Vereinigten Königreich. Sie basiert auf einem Urteil, das im August 2016 von der britischen Competition and Markets Authority (CMA) erlassen wurde und vorsieht, dass die neun größten britischen Banken lizenzierten Start-ups direkten Zugriff auf ihre Daten bis hin zur Kontotransaktionsebene ermöglichen.

Warum ist die PSD2-Implementierung immer eine maßgeschneiderte Lösung?

PSD2 ist immer eine nutzerdefinierte Implementierung, da die Anforderungen der einzelnen Certificate Authority Trust Provider (TP), bestimmte Gesetze für EU-Länder und interne Compliance-Anforderungen gemäß individuellen Unternehmensrichtlinien erfüllt werden.

Zurück zum Anfang

MAS (Singapur)

Übersicht

Die Monetary Authority of Singapore (MAS) regelt Finanzinstitute in den Sektoren Banken, Kapitalmärkte, Versicherungen und Zahlungen mit Sitz in Singapur. Die MAS veröffentlichte Outsourcing-Richtlinien für lokale Finanzinstitute zum Risikomanagement von Outsourcing-Vereinbarungen, die Folgendes umfassen:

  • Zusammenarbeit mit der MAS im Bereich Outsourcing
  • Solide Praktiken beim Risikomanagement von Outsourcing-Vereinbarungen
  • Cloud-Computing

Ressourcen

Outsourcing-Richtlinien der MAS

Änderungen

Akamai-Compliance

Die von Finanzdienstleistern mit Sitz in Singapur genutzten Akamai-Services gelten gemäß diesen Richtlinien als Outsourcing-Aktivitäten. Da die Akamai-Services den Richtlinien entsprechen, können Finanzdienstleister mit Sitz in Singapur die Akamai-Services nicht nur weiterhin nutzen, sondern sie auch als wichtigen Bestandteil ihrer Outsourcing-Compliance-Strategie bereitstellen.

Betroffene Akamai-Services

  • Sicher CDN mit erweitertem TLS und zugehörigen Services
  • Edge-Bereitstellungsprodukte wie Ion bei Ausführung auf dem sicheren CDN mit erweiterter TLS
  • App- und API-Sicherheitsprodukte wie App & API Protector, Kona Site Defender, Web Application Protector, und Bot Manager, wenn sie auf dem sicheren CDN mit erweiterter TLS ausgeführt werden
  • DDoS-Abwehrservices von Prolexic
  • Akamai Identity Cloud

Zurück zum Anfang