天极传媒:
天极网
比特网
IT专家网
52PK游戏网
极客修
全国分站

北京上海广州深港南京福建沈阳成都杭州西安长春重庆大庆合肥惠州青岛郑州泰州厦门淄博天津无锡哈尔滨

产品
  • 网页
  • 产品
  • 图片
  • 报价
  • 下载
全高清投影机 净化器 4K电视曲面电视小家电滚筒洗衣机
您现在的位置: 天极网 > 云计算>新闻>华为云通过PCI-DSS安全认证

华为云中国唯一全平台全节点全服务通过PCI-DSS安全认证

天极网云计算频道 2018-03-23 11:07 我要吐槽

  国际权威认证机构英国标准协会(BSI)经多轮评审,宣布华为云成为中国唯一全平台、全节点、全服务通过PCI-DSS认证的云服务商,并于3月22日在青岛举行的华为生态大会现场,为华为云颁出这一份量极重的证书。该认证的获得,标志着华为云的安全性又一次获得国际权威的认可,安全合规性处于世界领先水平。华为云安全总经理杨松、英国标准协会(BSI)大中国区战略合作总监全振军出席了颁奖仪式并接受媒体采访。


杨松(右)与全振军(左)在颁奖仪式上

  一、什么是PCI-DSS安全认证?

  PCI-DSS(Payment Card IndustryData Security Standard)全称支付卡产业数据安全标准,是全球最严格且级别最高的金融数据安全标准,为2004年VISA和MasterCard联合多家机构成立的支付卡行业数据安全标准委员会(PCI SSC)制定和推行,旨在严格控制数据存储以保障支付卡用户在线交易安全。自发布以来,该标准得到了全球卡组织和金融机构的广泛支持和推广,成为商户和服务提供商必须遵循的一项强制规范。由于操作性极强,还被金融业外的各大行业奉为通用安全标准。

  收到企业提交的PCI-DSS认证申请后,PCI SSC会授权独立审查公司(如BSI),对申请企业进行全方位、彻底的审核。审核内容分含6大领域、12项规范、近300项审核指标,6大领域包括:构建并维护安全的网络;保护持卡人数据;维护漏洞管理程序;执行严格的访问控制措施;定期监控网络和测试网络;维护信息安全政策。

  审核则包括安全管理制度审查、资深第三方(ASV)内外网漏洞扫描及安全漏洞修复、安全管理制度的落实,考察范围涉及华为云所有物理机房、云平台各关键系统组件、人员安全专业培训、安全开发等多项指标,并且每年至少接受一次重检。

  二、华为云获得PCI-DSS认证意味着什么?

  首先,华为云全平台、全节点、全服务通过这一权威认证,意味着华为云整个IT系统全部通过了严格的安全测评,而不是云系统的一部分通过;意味着华为云所有大小节点,包括北京廊坊、香港节点等全部通过认证,而不是选择性地拿某个节点通过;意味着华为云研发上线的全部云服务的安全性得到了严苛的验证,而不是其中一两个。华为云的所有用户,都能享受一样的高安全性。

  其次,PCI-DSS制定的初衷,是为金融行业提供安全标准,但由于其操作性强,已经从金融行业变为被各大行业广泛遵循的通用标准。所以某些厂商只划了一部分云系统来做的金融专属云的PCI-DSS认证,已不能满足其他行业用户的安全诉求,而华为云的所有用户则享受到了“金融级”的安全性。

  最后,华为云在很短时间内全平台、全节点、全服务通过认证,说明华为云长期重视安全建设的努力效果初现:本身云平台和云服务的安全性就很高,安全技术能力在业界遥遥领先,所以才在这么短的时间内通过认证,安全性和用户隐私保护得到了第三方权威机构的严格认证。

  全振军表示:“BSI在网络安全、数据治理以及管理体系等相关标准方面一直深耕细作,作为ICT标准领域的引领者,我们知道PCI-DSS标准极其严苛,对云平台的安全技术能力要求非常高,能通过这项认证的企业很少,像华为云这样全平台、全节点、全业务通过的,目前中国是唯一一家。该认证的获得,表明华为云的安全水平和技术能力都处于世界领先水平。华为云在保障用户安全和隐私上的努力,必将得到用户和市场的积极反馈。而这一路,BSI也愿借助自身的专业优势助力华为云走得更高、更好。”

  三、华为云在合规认证上的努力从未停歇

  为什么用户和云厂商越来越重视合规认证?合规好比是正确的驾驶要求和规范,符合了这些要求和规范,上路才安全。认证相当于权威机构颁给云厂商的驾驶证。可见,合规认证是保障云平台安全的基础,是提升云平台安全性的重要途径。华为云一直重视并努力搭建云平台的安全合规性,包括三方面:

  基本认证类,满足行业的通用安全标准,如华为云持有的云安全CSA STAR金牌认证、ISO27001、信息安全等级保护等。

  区域认证类,满足业务所在区域的安全要求,如华为云已在德国获得的Trusted Cloud、IT-Grundschutz认证等。

  行业/服务增强认证类,即针对特定行业,进行更强的安全认证,满足这部分行业客户的安全要求,如华为云此次通过的PCI-DSS认证,可提升金融、支付业务的安全性;提升服务安全性的工信部可信云认证等。

  除此之外,华为云还通过了BSIMM、ITSS服务增强级认证、IDC/ISP牌照、TUV 可信云认证等,并参与了1项权威标准试点(云服务网络安全)。

  除了合规认证,华为云还构建了全栈安全体系,为用户提供可视、易用的安全服务,如包含数据库防火墙、数据库审计、数据脱敏三大功能的数据库安全服;国内首家实现用户掌控云密钥的密钥管理服务;攻击响应时间快达3秒、可防护1T流量攻击的DDoS高防服务等。

  四、“三不”承诺保障用户数据安全中立

  华为云在国内首家提出“三不”承诺:“上不做应用,下不碰数据,不做股权投资”,确立了云服务商必须保障用户数据安全中立的原则,并在不同场合反复阐述。同时,华为云构建了从物理、网络、主机、应用到数据的全栈防护矩阵,在用户的安全短板上布置防护,如国内功能最全的数据库保险柜——云数据库安全服务、国内首家把云加密密钥这把“钥匙”交给用户的——密钥管理服务等,从技术上实现数据中立。目前,“三不”承诺正遍地开花,获得用户高度认可,各大云厂商也纷纷跟进,成为行业事实标准。

  杨松表示,全平台、全节点、全服务获得PCI-DSS认证只是开始。雄关漫道,华为云构建安全可信“黑土地”的努力不会停歇半刻。华为云将不断挖掘用户业务需求,学习业界优秀实践,保证安全要素在研发流程中有效落地,增强产品安全性和隐私保护,让华为云用户更放心、安心、省心。

请关注天极网天极新媒体 最酷科技资讯
扫码赢大奖
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!