了解华为云最新动态
国际权威认证机构英国标准协会(BSI)经多轮评审,宣布华为云成为中国唯一全平台、全节点、全服务通过PCI-DSS认证的云服务商,并于3月22日在青岛举行的华为生态大会现场,为华为云颁出这一份量极重的证书。该认证的获得,标志着华为云的安全性又一次获得国际权威的认可,安全合规性处于世界领先水平。华为云安全总经理杨松、英国标准协会(BSI)大中国区战略合作总监全振军出席了颁奖仪式并接受媒体采访。
杨松(右)与全振军(左)在颁奖仪式上
一、什么是PCI-DSS安全认证?
PCI-DSS(Payment Card IndustryData Security Standard)全称支付卡产业数据安全标准,是全球最严格且级别最高的金融数据安全标准,为2004年VISA和MasterCard联合多家机构成立的支付卡行业数据安全标准委员会(PCI SSC)制定和推行,旨在严格控制数据存储以保障支付卡用户在线交易安全。自发布以来,该标准得到了全球卡组织和金融机构的广泛支持和推广,成为商户和服务提供商必须遵循的一项强制规范。由于操作性极强,还被金融业外的各大行业奉为通用安全标准。
收到企业提交的PCI-DSS认证申请后,PCI SSC会授权独立审查公司(如BSI),对申请企业进行全方位、彻底的审核。审核内容分含6大领域、12项规范、近300项审核指标,6大领域包括:构建并维护安全的网络;保护持卡人数据;维护漏洞管理程序;执行严格的访问控制措施;定期监控网络和测试网络;维护信息安全政策。
审核则包括安全管理制度审查、资深第三方(ASV)内外网漏洞扫描及安全漏洞修复、安全管理制度的落实,考察范围涉及华为云所有物理机房、云平台各关键系统组件、人员安全专业培训、安全开发等多项指标,并且每年至少接受一次重检。
二、华为云获得PCI-DSS认证意味着什么?
① 首先,华为云全平台、全节点、全服务通过这一权威认证,意味着华为云整个IT系统全部通过了严格的安全测评,而不是云系统的一部分通过;意味着华为云所有大小节点,包括北京廊坊、香港节点等全部通过认证,而不是选择性地拿某个节点通过;意味着华为云研发上线的全部云服务的安全性得到了严苛的验证,而不是其中一两个。华为云的所有用户,都能享受一样的高安全性。
② 其次,PCI-DSS制定的初衷,是为金融行业提供安全标准,但由于其操作性强,已经从金融行业变为被各大行业广泛遵循的通用标准。所以某些厂商只划了一部分云系统来做的金融专属云的PCI-DSS认证,已不能满足其他行业用户的安全诉求,而华为云的所有用户则享受到了“金融级”的安全性。
③ 最后,华为云在很短时间内全平台、全节点、全服务通过认证,说明华为云长期重视安全建设的努力效果初现:本身云平台和云服务的安全性就很高,安全技术能力在业界遥遥领先,所以才在这么短的时间内通过认证,安全性和用户隐私保护得到了第三方权威机构的严格认证。
全振军表示:“BSI在网络安全、数据治理以及管理体系等相关标准方面一直深耕细作,作为ICT标准领域的引领者,我们知道PCI-DSS标准极其严苛,对云平台的安全技术能力要求非常高,能通过这项认证的企业很少,像华为云这样全平台、全节点、全业务通过的,目前中国是唯一一家。该认证的获得,表明华为云的安全水平和技术能力都处于世界领先水平。华为云在保障用户安全和隐私上的努力,必将得到用户和市场的积极反馈。而这一路,BSI也愿借助自身的专业优势助力华为云走得更高、更好。”
三、华为云在合规认证上的努力从未停歇
为什么用户和云厂商越来越重视合规认证?合规好比是正确的驾驶要求和规范,符合了这些要求和规范,上路才安全。认证相当于权威机构颁给云厂商的驾驶证。可见,合规认证是保障云平台安全的基础,是提升云平台安全性的重要途径。华为云一直重视并努力搭建云平台的安全合规性, 包括三方面:
● 基本认证类,满足行业的通用安全标准,如华为云持有的云安全CSA STAR金牌认证、ISO27001、信息安全等级保护等。
● 区域认证类,满足业务所在区域的安全要求,如华为云已在德国获得的Trusted Cloud、IT-Grundschutz认证等。
● 行业/服务增强认证类,即针对特定行业,进行更强的安全认证,满足这部分行业客户的安全要求,如华为云此次通过的PCI-DSS认证,可提升金融、支付业务的安全性;提升服务安全性的工信部可信云认证等。
除此之外,华为云还通过了BSIMM、ITSS服务增强级认证、IDC/ISP牌照、TUV 可信云认证等,并参与了1项权威标准试点(云服务网络安全)。
除了合规认证,华为云还构建了全栈安全体系,为用户提供可视、易用的安全服务,如包含数据库防火墙、数据库审计、数据脱敏三大功能的数据库安全服;国内首家实现用户掌控云密钥的密钥管理服务;攻击响应时间快达3秒、可防护1T流量攻击的DDoS高防服务等。
四、“三不”承诺保障用户数据安全中立
华为云在国内首家提出“三不”承诺:“上不做应用,下不碰数据,不做股权投资”,确立了云服务商必须保障用户数据安全中立的原则,并在不同场合反复阐述。同时,华为云构建了从物理、网络、主机、应用到数据的全栈防护矩阵,在用户的安全短板上布置防护,如国内功能最全的数据库保险柜——云数据库安全服务、国内首家把云加密密钥这把“钥匙”交给用户的——密钥管理服务等,从技术上实现数据中立。目前,“三不”承诺正遍地开花,获得用户高度认可,各大云厂商也纷纷跟进,成为行业事实标准。
杨松表示,全平台、全节点、全服务获得PCI-DSS认证只是开始。雄关漫道,华为云构建安全可信“黑土地”的努力不会停歇半刻。华为云将不断挖掘用户业务需求,学习业界优秀实践,保证安全要素在研发流程中有效落地,增强产品安全性和隐私保护,让华为云用户更放心、安心、省心。