开挂的华为云 以“3全”的姿态拿下PCI-DSS认证意味着什么?

avatar
作者
筋斗云
阅读量:0

云是安全的吗?

曾几何时,人们还在对“云服务是否安全”的话题各持己见,然而,随着各行业的数字化转型趋势不可逆转,云计算俨然成了一种“生存”工具。这些人一边认为云不够安全、一边对上“云”这件事蠢蠢欲动,实际上,这是人类面对新鲜事物的正常反应,大多是对云的一种恐惧和未来不确定性的担忧。那么,如何最大程度上降低这种担忧?“合规”就变得非常重要。企业对于“合规”的重视,就如人们在日常生活中重视食品安全、开车上路需要驾照一样,虽然合规不代表百分之百的安全,但可以将安全风险降到最低。

3月22日,在青岛举行的华为中国生态大会上,笔者认为,有一件事特别值得拿出来说一说:国际权威认证机构英国标准协会(BSI)经多轮严苛的评审,宣布华为云成为中国唯一全平台、全节点、全服务通过PCI-DSS认证的“3全”云服务商,并为华为云颁发了证书。

(图1:PCI-DSS认证授牌仪式)

为什么要给这件事划重点?首先就要从PCI-DSS的含金量说起。

合规认证领域的“珠穆朗玛峰”

信息安全领域,有很多合规。我们可以简单把它们分为产品类、人员类和机构行业类,通过合规考评之后,获得了相应的资质和证书,也就是认证。

对于一些熟悉金融行业安全合规领域的朋友,或许对PCI-DSS并不陌生。在隐私和安全性等方面,金融行业是受到监管最为严格的行业之一。而在金融行业里,支付卡安全标准可以说是顶级的,因为它和用户的财产安全息息相关。PCI-DSS的全称为(Payment Card Industry Data Security Standard)支付卡产业数据安全标准,是全球最严格且级别最高的金融数据安全标准,2004年,VISA和MasterCard联合多家机构成立的支付卡行业数据安全标准委员会(PCI DSS)制定和推行,旨在严格控制数据存储以保障支付卡用户在线交易安全。自发布以来,该标准得到了全球卡组织和金融机构的广泛支持和推广,成为商户和服务提供商必须遵循的一项强制规范。后来,又由于操作性极强,被金融业外的各大行业奉为通用的安全标准。

(图2:华为云获PCI-DSS安全认证证书)

为什么说PCI-DSS具有很高的“含金量”?

那是因为,PCI-DSS的审核过程极其严苛,以云计算行业为例,对云平台的安全技术能力要求非常高,能通过该认证的企业少之又少。

一般的流程是这样的:收到企业提交的PCI-DSSS认证申请后,PCI-DSS会授权独立审查公司,对申请企业进行全方位、彻底的审核。而审核内容分含6大领域、12项规范、200余向审核指标,以6大领域为例,包括:1、 构建并维护安全的网络;2、 保护持卡人数据;3、维护漏洞管理程序;4、 执行严格的访问控制措施 ;5、定期监控网络和测试网络;6、 维护信息安全政策。审核包括自我安全检测、漏洞分析、安全调查三大阶段,考察范围涉及硬件、软件、员工和公司管理等多项指标,并且每年至少接受一次重检。

华为云竟以这种“姿势”获得PCI-DSS认证

在此之前。虽然有几个云服务厂商也通过PCI-DSS认证,但是,以“全平台、全节点、全服务”这“3全”的姿势获得PCI-DSS认证,在国内,仅华为云一家。

首先,“3全”意味着华为云的整个IT系统全部通过了严格的安全测评,而不是云系统的一部分通过;意味着华为云所有大小节点,包括北京廊坊、香港节点等全部通过认证,而不是选择性地拿某个节点通过;意味着华为云研发上线的全部云服务的安全性得到了严苛的验证,而不是其中一两个。

其次,如前文所述,PCI-DSS制定的初衷,是为金融行业提供安全标准,但由于其操作性强,已经从金融行业变为被各大行业广泛遵循的通用标准。所以某些厂商只划了一部分云系统来做的金融专属云的PCI-DSS认证,已不能满足其他行业用户的安全诉求,而华为云用户则享受到了全平台、全节点、全业务“金融级”的安全性。

最后,PCI-DSS的审核近乎苛刻,华为云在很短时间内全平台、全节点、全服务通过认证,说明华为云长期重视安全建设的努力效果显著:本身云平台和云服务的安全性就很高,安全技术能力在业界遥遥领先,所以才在这么短的时间内通过认证,安全性和用户隐私保护得到了第三方权威机构的严格认证。

PCI-DSS的审核机构--英国标准协会(BSI)大中国区战略合作总监全振军,在颁发证书时给了华为云极高的评价:“由于PCI-DSS标准极其严苛,对云平台的安全技术能力要求非常高,能通过该认证的企业很少,像华为云这样全平台、全节点、全业务通过的,目前中国还是唯一一家。华为云在保障用户安全和隐私上的努力,必将得到用户和市场的积极反馈。该认证的获得,表明华为云的安全水平和技术能力都处于世界领先水平。”

“三不”的华为云,变身“考证狂魔”

华为云拿到PCI-DSS认证,在意料之外,也在情理之中。因为,自华为云自诞生起,就确立了保障用户数据安全中立的原则,并始终坚持“三不”原则:“上不做应用,下不碰数据,不做股权投资。”

华为云在安全领域也投入很多资源,不夸张地说,华为云俨然是一个“考证狂”,它在合规认证上的脚步从未停歇。下面我们就来一起回顾梳理一下:

1、在满足行业的通用安全标准的基本认证类,华为云持有了云安全CSA STAR金牌认证、ISO27001、工信部可信云等。

2、在满足业务所在区域的安全要求的区域认证类,华为云已在德国获得Trusted Cloud、IT- Grundschutz认证等。

3、在行业增强认证类,华为云此次通过的PCI-DSS认证,可提升金融、支付业务的安全性;信息安全等级保护,则满足政务行业的等保要求等。

事实胜于雄辩 行动胜于语言

笔者在写这篇报道的时候,大洋彼岸的Facebook的5000万用户数据泄露事件正在持续发酵,在美国被称为“数据丑闻”,可能会成为Facebook的“灭顶之灾”。如果足够重视安全合规,相信这一切不是不可以避免,而很多企业都是后知后觉,每次出现重大的安全风险事件,都选择以补丁式的方法进行处理,只不过是亡羊补牢、自我安慰而已。

在这方面,华为云用它的行动力给我们看到了一个不一样的“面孔“:“数据本身是非常敏感的东西,随着华为云的和发展,我们通过技术来确保相关的数据是安全可靠的。此次通过了PCI-DSS认证,也是因为华为云一直把数据安全放在首位。”华为云安全总经理杨松说。

“全平台、全节点、全服务”通过最严苛的安全合规审核,这种真诚的姿态,足以给用户以信心。就如华为云BU总裁郑叶来在在华为生态大会的演讲中所说:“预测未来的最好办法,就是用把它创造出来!”

笔者相信,提供有技术,有未来,值得信赖的华为云,将会联接企业的现在与未来。

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!