정보 보안 컴플라이언스

개요

PCI DSS(Payment Card Industry Data Security Standard) 컴플라이언스는 결제 카드 데이터를 저장, 처리 또는 전송하는 모든 법인 및 사업체에 적용되는 요건입니다. 주요 신용 카드 회사에서 개발한 PCI DSS는 데이터 보호는 물론 온라인 금융 거래에 대한 일관된 보안 프로세스 및 절차를 보장하기 위한 수단을 정의합니다. PCI 보안 표준 협의회에서 규정한 PCI DSS 컴플라이언스 명령에는 다음과 같은 항목이 있습니다.

• 비즈니스 관련 모든 업무를 총괄하는 보안 정책의 개발 및 유지
• 데이터 보호를 위한 방화벽 설치
• 공용 네트워크를 통해 전송되는 카드 소유자 데이터 암호화
• 안티바이러스 소프트웨어 사용 및 정기적인 업데이트
• 강력한 암호 및 기타 사이버 보안 프로토콜 확립
• 견고한 액세스 제어 수단 집행 및 계정 데이터에 대한 액세스 모니터링

대량의 온라인 금융 거래를 진행하는 대규모 상거래 업체 및 서비스 제공업체의 경우 독립 QSA(Qualified Security Assessor)의 연간 검증을 통해 PCI DSS 컴플라이언스를 시행합니다. 

리소스

PCI 보안

Akamai 인증

AoC(컴플라이언스 증명)는 Akamai의 범위 내 서비스가 PCI DSS v.3.2.1 보안 표준을 준수한다는 증빙 자료로 활용됩니다.

Akamai는 PCI DSS 컴플라이언스를 위해 분기별로 평가 범위에 포함된 시스템에 대해 써드파티 외부 침투 테스트를 실시합니다. 이 분기별 모의 해킹 테스트의 결과와 컴플라이언스 문서 및/또는 인증은 NDA(기밀유지 협약)에 따라 고객들에게 제공됩니다).

다운로드 / 링크

• 컴플라이언스 증명
• 책임분석표
• 책임분석표(클라우드 컴퓨팅 서비스)
• Akamai, VISA 글로벌 서비스 제공업체 등록부에 등록
• Mastercard 승인 서비스 제공업체 목록(Akamai 포함)

해당되는 Akamai 서비스

• 개선된 TLS를 갖춘 보안 CDN(Secure CDN) 및 함께 실행되는 서비스
• Secure CDN 실행 시의 Ion, API 가속 및 Adaptive Media Delivery와 같은 엣지 전송 제품
• Secure CDN 실행 시의 EdgeWorkers
• mPulse 디지털 성능 관리 서비스
• Secure CDN 실행 시의 App & API Protector(Malware Protection 추가 기능 포함), Account Protector, Kona Site Defender, Bot Manager(Standard 및 Premier) 등과 같은 앱 및 API 보안 제품
• Client-side Protection & Compliance 및 Audience Hijacking Protector를 포함한 브라우저 내 보호
• Secure Internet Access Enterprise(기존의 Enterprise Threat Protector)
• Akamai MFA
• 다음 클라우드 컴퓨팅 솔루션: 전용 CPU, 공유 CPU, 대용량 메모리

Q&A

Akamai는 PCI DSS 인증을 받았나요?

예, Akamai는 PCI DSS Level 1 서비스 제공업체 인증을 받아 현존하는 최고 평가 수준을 달성했습니다. PCI DSS 컴플라이언스 증명과 책임분석표는 위 링크에 공개되어 있습니다.

제 웹사이트에서 Akamai를 사용하고 있다면, 웹사이트가 PCI DSS 규정을 준수하는지 어떻게 확인할 수 있나요?

고객사의 PCI DSS 인증은 고객사가 직접 책임져야 하며, 따라서 고객사가 직접 QSA(Qualified Security Assessor)를 통해 통제 체계를 검증받고 인증을 획득해야 합니다. 고객사와 QSA는 Akamai의 PCI DSS 컴플라이언스 서비스를 사용할 수 있도록 Akamai의 컴플라이언스 증명을 카드 소유자 데이터 환경의 일부로 활용할 수 있습니다. Akamai의 PCI DSS 책임분석표(위 링크 참조)에서는 각 PCI DSS 요구 사항과 관련된 Akamai 및 Akamai 고객사의 책임을 설명합니다. 고객 담당팀에서 제공하는 Akamai의 PCI DSS 고객 설정 안내서에서 자세한 내용을 확인할 수 있습니다. 

Akamai는 VISA 글로벌 서비스 제공업체 등록부와 Mastercard 승인 서비스 제공업체 목록에 포함되어 있나요?
좋은 점은 Akamai는 Visa와 MasterCard 가 제공하는 모두 포함되어 있습니다. 이로써 Akamai는 주요 결제 카드 업체의 관련 프로그램 요구사항을 모두 준수하는 기업임을 입증했습니다.  

Akamai의 ASV(Approved Scanning Vendor, 분기별 승인 스캔 제공업체) 취약성 스캔 및 외부 모의 해킹 요약 보고서를 확인할 수 있나요?
예. 고객 담당팀에서 표준 NDA(기밀유지 협약)에 의거하여 본 정보를 제공할 수 있습니다.

개요

SOC(Service and Organization Controls)는 AICPA(American Institute of Certified Public Accountants)에서 발표한 보안 표준으로 시스템 전문 기업의 보안, 가용성, 처리 무결성, 기밀유지, 개인정보 보호에 직접적으로 연관되는 통제에 대해 보고합니다.

리소스

AICPA SOC 서비스 세트

Akamai 인증

매년 Akamai는 자사 보안 제어를 1년 동안 지속적으로 감사한다는 점을 입증하는 SOC 2 Type 2 보고서를 받습니다.

해당되는 Akamai 서비스

Akamai의 기본 SOC 2 Type 2 보고서는 보안 및 가용성 신뢰 서비스 기준을 다룹니다. 이 보고서에서 다루는 Akamai 서비스는 다음과 같습니다.

• 고성능 TLS를 갖춘 보안 CDN
• Prolexic DDoS 방어 서비스
• Akamai Control Center 고객 포털
• 접속 관리, 키 관리, 기타 인프라 시스템을 지원하는 추가적인 시스템

Akamai Connected Cloud는 다양한 용도로 사용할 수 있고 당사의 다양한 제품 및 서비스를 지원하는 여러 가지 분산된 시스템으로 구성되어 있습니다. 동 보고서에서 다루는 고성능 TLS를 갖춘 보안 CDN 및 지원 시스템은 민감한 사용자 정보를 전송 또는 처리하는 웹 속성을 전달 및 보호하는 데 사용되는 분산된 서버 및 시스템입니다. 고성능 TLS를 갖춘 보안 CDN에서 실행되는 Akamai 서비스는 기본 SOC 2 Type 2 보고서에서 테스트된 모든 보안 및 가용성 통제 장치를 활용합니다. 그러한 고성능 TLS를 갖춘 보안 CDN에서 실행될 수 있는 서비스의 예로는 다음이 포함됩니다.

• Ion 및 Dynamic Site Delivery와 같은 엣지 전송 제품(개선된 TLS를 갖춘 보안 CDN에서 실행 시)
• App & API Protector, Kona Site Defender, Kona DDoS Defender, Web Application Protector, Bot Manager Standard 등과 같은 앱 및 API 보안 제품(개선된 TLS를 갖춘 보안 CDN 실행 시)

Akamai는 다음 솔루션과 관련해 보안 및 가용성 신뢰 서비스 기준을 다루는 SOC 2 Type 2 보고서를 추가로 제공합니다.

• Bot Manager Premier는
• Account Protector

Akamai Guardicore Segmentation 서비스에 대한 Akamai의 SOC 2 Type 2 보고서는 보안, 가용성, 기밀 신뢰 서비스 기준을 다룹니다.

Akamai Identity Cloud 서비스에 대한 Akamai의 SOC 2 Type 2 보고서는 5가지 신뢰 서비스 기준을 모두 다룹니다.

Akamai는 다음 클라우드 컴퓨팅 서비스와 관련해 보안 및 가용성 신뢰 서비스 기준을 다루는 SOC 2 Type 1 보고서도 제공합니다.

• 컴퓨팅:
  • Dedicated CPU 컴퓨팅
  • Shared CPU 컴퓨팅
  • High Memory 컴퓨팅
  • GPU 컴퓨팅
  • Linode Kubernetes Engine
• 스토리지:
  • Object Storage
  • Block Storage
  • Backups
• 네트워킹:
  • Cloud Firewall
  • DDoS Protection
  • NodeBalancers
• 개발자 툴:
  • API
• Cloud Manager

Q&A

SOC 2 보고서 사본은 어디에서 찾을 수 있나요?
Akamai 고객 담당팀에서 사본을 제공해 드릴 수 있습니다. 

어느 지역을 대상으로 합니까?
Akamai SOC 2 보고서는 Akamai 서비스 전체를 포괄하며, 특정 지역에 국한되지 않습니다.

마지막 대상 기간 이후를 대상으로 하는 소급 문서가 있나요?
고객 담당팀이 보고서가 마지막으로 발행된 이후 기간에 대한 소급 문서를 제공할 수 있습니다.  

Akamai는 SOC 2 컴플라이언스 인증서를 보유하고 있나요?
SOC 2는 컴플라이언스 인증서를 제공하지 않습니다. 그대신 자격을 갖춘 제3자 평가 기관이 평가 대상 기업의 컴플라이언스 보고서를 작성합니다. 이 보고서에는 기업의 기술 내용 및 증빙 자료에 대한 공통 기준, 증거, 적합성을 충족하기 위한 평가 대상 기업의 시스템 정의, 범위, 제어 정의가 논의되어 있습니다. 

Akamai SOC 2 보고서가 여러 가지인 이유는 무엇인가요?
현재 Akamai에는 Identity Cloud, Akamai Guardicore Segmentation, 클라우드 컴퓨팅 서비스를 다루는 SOC 2 보고서들이 있습니다. 이러한 서비스는 Akamai가 최근 인수한 결과입니다. Akamai는 당분간 이러한 보고서를 별도로 보관하기로 결정했습니다.  

Akamai는 SOC 1 컴플라이언스 인증서를 보유하고 있나요?
Akamai는 SOC 1 감사를 받지 않습니다. SOC 1 보고서의 목적은 서비스 제공업체가 자사 고객의 재무 신고에 영향을 미칠 수 있는 내부 통제 장치를 다루는 것입니다. Akamai의 고객은 자사의 재무 신고에 중요한 업무 프로세스를 Akamai에 위탁하지 않으므로, SOC 1 감사는 Akamai가 제공하는 서비스에 관련이 없습니다.

개요

ISO 27001은 정보 보안 관리 시스템용 국제 표준입니다. 기업이 중요한 정보 및 데이터를 안전한 방식으로 관리해 무단 접속, 공개, 파기 또는 손실로부터 보호할 수 있는 프레임워크를 제공합니다. 이 표준은 리스크를 기반으로 하며 정보 보안을 보장하기 위한 일련의 모범 사례, 제어, 프로세스를 간략하게 설명합니다. 전 세계 기업에서 널리 도입되고 있으며 정보 보안 관리의 벤치마크로 사용되는 경우가 많습니다.

리소스

ISO/IEC 27001:2013

해당되는 Akamai 서비스

• Ion(향상된 TLS를 사용하는 Akamai의 보안 CDN에서 실행되도록 설정된 경우)
• Dynamic Site Accelerator(향상된 TLS를 사용하는 Akamai의 보안 CDN에서 실행되도록 설정된 경우)
• App & API Protector(향상된 TLS를 사용하는 Akamai의 보안 CDN에서 실행되도록 설정된 경우)
• Global Traffic Management 
• Edge DNS
• Secure Internet Access Enterprise(기존의 Enterprise Threat Protector)
• Akamai Control Center 포털
• Guardicore Segmentation
• Akamai Identity Cloud
• Secure Internet Access IoT 프라이빗 접속
• Secure Internet Access 모바일 플랫폼
• Secure Internet Access 모바일 프라이빗 접속
• Secure Internet Access 모바일 기본
• 컴퓨팅
  • Dedicated CPU 약정
  • Shared CPU 약정
  • High Memory 약정
  • GPU 약정
  • Linode Kubernetes Engine(LKE)
• 스토리지
  • Object Storage
  • Block Storage
  • Images
  • Backups
• 네트워킹
  • NodeBalancers
• 무료 클라우드 컴퓨팅 서비스 번들
  • 무료 보안, 네트워킹, 유지 관리, 모니터링 솔루션
• Cloud Manager 포털

Q&A

Akamai ISO 27001 보고서가 여러 가지인 이유는 무엇인가요?
기본 ISO 27001 인증과 더불어 추가 인증은 Akamai가 Janrain, Inc., Asavie, Inc., Guardicore, Inc.를 인수한 데서 비롯됩니다. 현재 Akamai는 이러한 인수 과정에서 발생한 서비스에 대한 인증을 별도로 관리합니다. 

Akamai의 ISO 27001 인증 사본을 얻으려면 어떻게 해야 하나요?
고객 담당팀으로 문의해주시기 바랍니다.

개요

ISO/IEC 27017:2015는 ISO 27001에 사용되는 지침을 보완하고 클라우드 서비스 사업자 및 클라우드 서비스 고객에 맞게 특별히 조정된 추가 구축 가이드와 제어를 제공함으로써 클라우드 서비스의 제공 및 사용에 적용되는 정보 보안 제어 가이드를 제공합니다.

리소스

ISO/IEC 27017:2015

해당되는 Akamai 서비스

• 컴퓨팅
  • Dedicated CPU 약정
  • Shared CPU 약정
  • High Memory 약정
  • GPU 약정
  • Linode Kubernetes Engine(LKE)
• 스토리지
  • Object Storage
  • Block Storage
  • Images
  • Backups
• 네트워킹
  • NodeBalancers
• 무료 클라우드 컴퓨팅 서비스 번들 
  • 무료 보안, 네트워킹, 유지 관리, 모니터링 솔루션
• Cloud Manager 포털

Akamai의 ISO 27017 인증 사본을 얻으려면 어떻게 해야 하나요?

고객 담당팀으로 문의해주시기 바랍니다.

Overview

이 표준은 클라우드 서비스 사업자가 위탁된 개인 식별 정보(PII)를 보호하여 고객사의 사용자 개인정보를 보호하기 위한 적합한 정보 보안 제어를 제공하도록 하는 지침을 제공합니다.

이 표준은 ISO/IEC 27018 기반의 클라우드 컴퓨팅 정보 보안 관리 시스템을 구현할 때 PII 보호 제어를 선택하기 위한 참고 자료 역할을 합니다. 또한 PII 보호 제어 구현에 대한 지침을 제공합니다.

리소스

ISO/IEC 27018

해당되는 Akamai 서비스

• Akamai Identity Cloud
• 컴퓨팅 
  • Dedicated CPU 약정
  • Shared CPU 약정
  • High Memory 약정
  • GPU 약정
  • Linode Kubernetes Engine(LKE)
• 스토리지
  • Object Storage
  • Block Storage
  • Images
  • Backups
• 네트워킹
  • NodeBalancers
• 무료 클라우드 컴퓨팅 서비스 번들 
  • 무료 보안, 네트워킹, 유지 관리, 모니터링 솔루션
• Cloud Manager 포털

Q&A

Akamai의 ISO 27018 인증 사본을 얻으려면 어떻게 해야 합니하나요?

고객 담당팀으로 문의해주시기 바랍니다.

개요

ISO/IEC 27701:2019는 ISO/IEC 27001의 ISMS(Information Security Management System)을 확장함으로써 PIMS(Privacy Information Management System)를 통한 PII 처리의 맥락에서 개인정보 보호를 강화하기 위해 ISO(International Organization for Standardization) 및 IEC(International Electrotechnical Commission)에서 발표한 정보 보안 표준입니다. ISO/IEC 27701의 요구사항을 준수하는 기업은 PII를 프로세서나 컨트롤러로서 처리하는 방법에 대한 증빙 자료를 작성해야 합니다.

리소스

• ISO 소개
• ISO 27001

해당되는 Akamai 서비스

• Ion(향상된 TLS를 사용하는 Akamai의 보안 CDN에서 실행되도록 설정된 경우)
• Dynamic Site Accelerator(향상된 TLS를 사용하는 Akamai의 보안 CDN에서 실행되도록 설정된 경우)
• App & API Protector(향상된 TLS를 사용하는 Akamai의 보안 CDN에서 실행되도록 설정된 경우)
• Global Traffic Management 
• Edge DNS
• Secure Internet Access Enterprise(기존의 Enterprise Threat Protector)
• 컴퓨팅 
  • Dedicated CPU 약정
  • Shared CPU 약정
  • High Memory 약정
  • GPU 약정
  • Linode Kubernetes Engine(LKE)
• 스토리지
  • Object Storage
  • Block Storage
  • Images
  • Backups
• 네트워킹
  • NodeBalancers
• 무료 클라우드 컴퓨팅 서비스 번들 
  • 무료 보안, 네트워킹, 유지 관리, 모니터링 솔루션
• Cloud Manager 포털

감사

A-LIGN Assurance에서 Akamai의 ISO 27701 인증을 제공합니다.

Q&A

인증서 사본을 얻을 수 있나요?

고객 담당팀에서 ISO 27701 인증서를 제공해 드릴 수 있습니다.

개요

미국 정부의 컴플라이언스 프로그램인 FedRAMP(Federal Risk and Authorization Management Program)는 클라우드 제품과 서비스의 보안 평가, 권한 확인 및 지속적인 모니터링에 관해 표준화된 접근 방식을 제공합니다.

FedRAMP는 미국 정부가 효과적이고 반복 가능한 클라우드 보안을 확보할 수 있도록 핵심 프로세스 집합을 만들어 관리합니다. 클라우드 서비스의 활용도와 친숙도를 높이기 위한 대규모 Marketplace도 마련되어 있습니다.

리소스

FedRAMP

Akamai 인증

2013년부터 Akamai는 IaaS(Infrastructure as a Service) 공급업체로서 Moderate 기준에 대한 FedRAMP JAB(Joint Authorization Board)의 P-ATO(Provisional Authorization to Operate)를 받았습니다.

다운로드/링크

Akamai의 FedRAMP Marketplace 페이지

해당하는 Akamai 서비스

• Akamai의 콘텐츠 전송 네트워크(CDN) HTTP 및 HTTPS 전송을 위한 Akamai Intelligent Edge Platform(ESSL 및 FreeFlow Networks라고도 함) 및 이를 실행하는 서비스
• App & API Protector 및 Kona Site Defender 등과 Web Application Edge Protection
• Edge DNS(DNSSEC 포함)
• NetStorage
• 미디어 스트리밍 서비스
• Akamai Control Center
• Global Traffic Management

Q&A

Akamai의 FedRAMP 문서에 접속하려면 어떻게 해야 하나요?

고객은 FedRAMP Marketplace 웹사이트에서 '패키지 접속 요청 양식'을 받을 수 있습니다. 

Akamai의 FedRAMP 영향 수준은 어느 정도인가요? 

Akamai FedRAMP 인증의 영향 수준은 Moderate입니다. FedRAMP에 따르면영향 수준이 Moderate인 시스템은 “FedRAMP 인증을 받는 CSP의 약 80%를 차지하며, 기밀성, 무결성, 가용성의 손실이 기관의 운영, 자산 또는 소속 개인에 대한 심각한 악영향으로 이어질 수 있는 CSO에 가장 적합합니다. 심각한 악영향이란 기관 자산에 대한 현저한 운영상 피해, 금전적 손실, 인명 손실 또는 신체적 상해가 아닌 개인의 피해 등을 말합니다.”

현재 Akamai는 High 영향 수준의 FedRAMP 인증을 모색하고 있지 않습니다.

개요

1996년 제정된 미국 의료정보보호법(Health Insurance Portability and Accountability Act, HIPAA)에는 헬스케어 서비스 및 보험사의 개인 식별 보건 정보 처리에 필요한 요구사항이 명시되어 있습니다. 

2009년 제정된 의료정보기술법(HITECH)에는 환자가 자신의 데이터에 대한 제어를 유지할 수 있도록 의료 데이터 및 메커니즘에 대한 접근 권리가 정의되어 있습니다. 이에 따라 HIPAA가 확대되어 ePHI(electronic Protected Health Information)의 교환은 물론, HIPAA에서 정의된 개인정보 보호와 보안 보호 범위도 포함합니다. 

리소스

• HIPAA 보안 규칙
• HITECH 법령

Akamai 컴플라이언스

Akamai가 헬스케어 데이터 처리와 관련하여 자사의 헬스케어 분야 고객사와의 업무를 수행할 때는 비즈니스 관계자로 간주될 수 있으며, 이 경우 Akamai와 해당 헬스케어 분야 고객사 간의 비즈니스 관계자 계약 체결이 필요할 수 있습니다. Akamai의 표준 비즈니스 관계자 계약은 요청 시 제공됩니다.

Akamai는 HIPAA 보안 규칙에 따라 정기적으로 써드파티 평가를 수행하며, 이 과정에서 비즈니스 담당자는 해당 직원이 보유한 ePHI의 "기밀성, 무결성, 가용성에 대한 잠재적 리스크 및 취약점에 대해 정확하고 철저한 평가를 수행"해야 합니다. 최신 보안 규칙 평가의 요약 보고서 및/또는 평가 주체가 작성한 관련 문서는 NDA(Nondisclosure Agreement)에 따라 Akamai 고객 및 파트너에게 제공됩니다. 

다운로드/링크

Akamai의 HIPAA 및 HITECH 법령 컴플라이언스 방침

해당되는 Akamai 서비스

• 개선된 TLS를 갖춘 보안 CDN(Secure CDN) 및 함께 실행되는 서비스
• Secure CDN 실행 시의 Ion, API 가속 및 Adaptive Media Delivery와 같은 엣지 전송 제품
• Secure CDN 실행 시의 App & API Protector, Account Protector, Kona Site Defender, Bot Manager(Standard and Premier) 등과 같은 앱 및 API 보안 제품
• Enterprise Application Access
• Akamai Identity Cloud
• Akamai Control Center
• 컴퓨팅 
  • Dedicated CPU 약정
  • Shared CPU 약정
  • High Memory 약정
  • GPU 약정
  • Linode Kubernetes Engine(LKE)
• 스토리지
  • Object Storage
  • Block Storage
  • Images
  • Backups
• 네트워킹
  • NodeBalancers
• 무료 클라우드 컴퓨팅 서비스 번들 
  • 무료 보안, 네트워킹, 유지 관리, 모니터링 솔루션
• Cloud Manager 포털