Übersicht
Die PCI-DSS-Compliance (Payment Card Industry Data Security Standard) ist eine Voraussetzung für alle Unternehmen, die Zahlungskartendaten speichern, verarbeiten und übertragen. Der von den wichtigsten Kreditkartenunternehmen entwickelte PCI-DSS-Standard definiert Regeln für die Sicherstellung des Datenschutzes sowie konsistente Sicherheitsprozesse und -verfahren im Zusammenhang mit Online-Finanztransaktionen. Das Regelwerk zur PCI-DSS-Compliance umfasst u. a. folgende, durch das PCI Security Standards Council formulierte Anforderungen:
- Entwicklung und Durchsetzung einer Sicherheitsrichtlinie, die alle Aspekte des Geschäftsbetriebs abdeckt
- Installation von Firewalls zum Datenschutz
- Verschlüsselung von Karteninhaberdaten bei der Übertragung über öffentliche Netzwerke
- Einsatz von Antivirensoftware und regelmäßige Updates
- Einrichtung starker Kennwörter und anderer Cybersicherheitsprotokolle
- Durchsetzung strenger Zugriffskontrollen und Überwachung des Zugriffs auf Kontodaten
Bei großen Handelsunternehmen und Serviceprovidern mit gewaltigen Mengen an Online-Finanztransaktionen wird die PCI-DSS-Compliance durch jährliche Validierungen sichergestellt, die von unabhängigen Sicherheitsgutachtern, den Qualified Security Assessors (QSA), durchgeführt werden.
Ressourcen
Akamai-Zertifizierung
Die Compliance-Bestätigung (Attestation of Compliance, AoC) dient für unsere Kunden als Beleg, dass die entsprechenden Services von Akamai die Anforderungen des Sicherheitsstandards PCI DSS v.3.2.1 erfüllen.
Zur Gewährleistung der PCI-DSS-Compliance lässt Akamai vierteljährlich einen Penetrationstest der in unserer Bewertung inbegriffenen Systeme durch einen Drittanbieter durchführen. Die Ergebnisse dieser vierteljährlichen Penetrationstests sowie die Compliance-Dokumentation und/oder Compliance-Zertifizierung stehen Kunden unter Einhaltung einer Geheimhaltungsvereinbarung zur Verfügung.
Downloads/Links
- Compliance-Bestätigung
- Zuständigkeitsmatrix
- Zuständigkeitsmatrix (Cloud-Computing-Services)
- Der Eintrag von Akamai in der Liste „Visa Global Registry of Service Providers“
- Liste der Mastercard-konformen Serviceprovider (einschließlich Akamai)
Betroffene Akamai-Services
- Sicheres CDN mit erweiterter TLS (sicheres CDN) und den darauf ausgeführten Services
- Edge-Bereitstellungsprodukte wie Ion, API Acceleration und Adaptive Media Delivery, wenn sie auf dem sicheren CDN ausgeführt werden
- EdgeWorkers, wenn sie auf dem sicheren CDN ausgeführt werden
- mPulse Digital Performance Management Services
- App- und API-Sicherheitsprodukte wie App & API Protector, Account Protector (inklusive des Add-ons „Malware Protection“), Kona Site Defender und Bot Manager (Standard und Premier), wenn sie auf dem sicheren CDN ausgeführt werden
- Schutz auf Browserebene, einschließlich Client-Side Protection & Compliance und Audience Hijacking Protector
- Secure Internet Access Enterprise (ehemals Enterprise Threat Protector)
- Akamai MFA
- Die folgenden Cloud-Computing-Lösungen: Dedicated CPU, Shared CPU und High Memory
Fragen und Antworten
Ist Akamai nach PCI DSS zertifiziert?
Ja, Akamai ist als Serviceprovider nach PCI DSS Level 1 zertifiziert, der höchsten verfügbaren Bewertungsebene. Die Compliance-Bestätigung zu PCI DSS und die Zuständigkeitsmatrizen sind unter den obenstehenden Links verfügbar.
Wie kann ich beim Einsatz von Akamai auf meiner Website sicherstellen, dass Konformität nach PCI DSS vorhanden ist?
Kunden sind für ihre eigene PCI-DSS-Zertifizierung verantwortlich und sollten einen qualifizierten Sicherheitsbewerter (QSA) beauftragen, die jeweiligen Kontrollen zu validieren und eine Zertifizierung zu erhalten. Kunden und ihre QSAs können sich bei der Nutzung der PCI-DSS-konformen Services von Akamai auf die Compliance-Bestätigung von Akamai für den entsprechenden Bereich ihrer Umgebung für Karteninhaberdaten verlassen. In den Zuständigkeitsmatrizen von Akamai zu PCI DSS (siehe Links oben) werden die Verantwortlichkeiten von Akamai und unseren Kunden in Bezug auf die einzelnen PCI-DSS-Anforderungen erläutert. Ihr Betreuungsteam kann Ihnen für weitere Details unseren PCI DSS Customer Configuration Guide (PCI-DSS-Konfigurationshandbuch für Kunden) zur Verfügung stellen.
Ist Akamai in der „Visa Global Registry of Service Providers“ und in der Liste der Mastercard-konformen Serviceprovider aufgeführt?
Ja. Akamai ist auf den Listen von Visa und Mastercard. Dies zeigt, dass Akamai alle geltenden Programmanforderungen dieser großen Zahlungskartenunternehmen erfüllt.
Kann ich eine Zusammenfassung der vierteljährlichen durch genehmigte Scanninganbieter (Approved Scanning Vendor, ASV) bei Akamai durchgeführten Schwachstellen-Scans und externen Penetrationstests einsehen?
Ja. Ihr Betreuungsteam kann Ihnen diese Informationen gemäß der standardmäßigen Vertraulichkeitsvereinbarung (NDA) bereitstellen.