概览
任何存储、处理或传输支付卡数据的企业都需要遵守《支付卡行业数据安全标准》(PCI DSS)。由主要信用卡公司制定的 PCI DSS 定义了相关措施,用来确保为在线金融交易实施相关数据保护措施,以及一致的安全流程和程序。由 PCI 安全标准委员会制定,PCI DSS 合规要求包括:
- 开发并维护涵盖企业各方面的安全策略
- 安装防火墙以保护数据
- 对通过公共网络传输的持卡人数据进行加密
- 使用防病毒软件并定期更新
- 建立强密码和其他网络安全协议
- 强制实施严格的访问控件并监控对帐户数据的访问
对于处理大量在线金融交易的大型商家和服务提供商,PCI DSS 合规性通过年度验证强制实施,该验证由独立的合格安全评估机构 (QSA) 执行。
资源
Akamai 认证
Akamai 的合规性认证 (AoC) 可以向我们的客户证明,我们的服务范围符合 PCI DSS v3.2.1 安全标准。
为了遵守 PCI DSS,Akamai 每季度对评估范围内的系统执行第三方外部渗透测试。可以根据保密协议 (NDA) 向客户提供这些季度渗透测试的结果以及合规性文档和/或认证。
下载/链接
适用的 Akamai 服务
- 采用增强型 TLS 的安全 CDN(安全 CDN)及其上运行的服务
- Ion、API Acceleration 和 Adaptive Media Delivery 等边缘交付产品(在安全 CDN 上运行时)
- EdgeWorkers(在安全 CDN 上运行时)
- mPulse 数字化性能管理服务
- App & API Protector(包括 Malware Protection 插件)、Account Protector、Kona Site Defender 和 Bot Manager(Standard 和 Premier)等 App 和 API 安全产品(在安全 CDN 上运行时)
- 浏览器内保护,包括 Client-side Protection & Compliance 和 Audience Hijacking Protector
- Secure Internet Access Enterprise(旧称为 Enterprise Threat Protector)
- Akamai MFA
- 以下云计算解决方案:专用 CPU、共享 CPU 和高内存
问答
Akamai 是否通过了 PCI DSS 认证?
是的,Akamai 通过了 PCI DSS 1 级服务提供商认证,这是可以获得的最高评估级别。PCI DSS 合规性认证和责任矩阵在以上链接中公开可用。
如果我的网站正在使用 Akamai,如何确定它是否符合 PCI DSS?
客户负责管理自己的 PCI DSS 认证,应联系合格的安全评估机构 (QSA) 验证自己的控制措施并获得认证。客户及其 QSA 可依赖 Akamai 的合规性认证,在部分持卡人数据环境中使用 Akamai 的 PCI DSS 合规服务。Akamai 的 PCI DSS 责任矩阵(参见以上链接)阐明了 Akamai 和我们的客户在每个 PCI DSS 要求方面的责任。客户团队可为您提供《PCI DSS 客户配置指南》,其中提供了更多详细信息。
Akamai 是否被列举在 Visa 全球服务提供商登记册和 MasterCard 合格服务提供商清单中?
是的。Akamai 已列入 Visa 和 MasterCard 提供的清单中。这表明 Akamai 已满足这些大型支付卡公司的所有适用计划要求。
我能否查看 Akamai 季度批准的扫描供应商 (ASV) 漏洞扫描和外部渗透测试的执行摘要?
是的。您的客户团队可以根据标准保密协议 (NDA) 提供此信息。
