華為雲中國唯一全平台全節點全服務通過PCI-DSS安全認證

國際權威認證機構英國標準協會（BSI）經多輪評審，宣布華為雲成為中國唯一全平台、全節點、全服務通過PCI-DSS認證的雲服務商，並於3月22日在青島舉行的華為生態大會現場，為華為雲頒出這一份量極重的證書。該認證的獲得，標誌著華為雲的安全性又一次獲得國際權威的認可，安全合規性處於世界領先水平。華為雲安全總經理楊松、英國標準協會（BSI）大中國區戰略合作總監全振軍出席了頒獎儀式並接受媒體採訪。

△楊松（右）與全振軍（左）在頒獎儀式上

一、什麼是PCI-DSS安全認證？

PCI-DSS（Payment Card IndustryData Security Standard）全稱支付卡產業數據安全標準，是全球最嚴格且級別最高的金融數據安全標準，為2004年VISA和MasterCard聯合多家機構成立的支付卡行業數據安全標準委員會（PCI SSC）制定和推行，旨在嚴格控制數據存儲以保障支付卡用戶在線交易安全。自發布以來，該標準得到了全球卡組織和金融機構的廣泛支持和推廣，成為商戶和服務提供商必須遵循的一項強制規範。由於操作性極強，還被金融業外的各大行業奉為通用安全標準。

收到企業提交的PCI-DSS認證申請後，PCI SSC會授權獨立審查公司（如BSI），對申請企業進行全方位、徹底的審核。審核內容分含6大領域、12項規範、近300項審核指標，6大領域包括：構建並維護安全的網路；保護持卡人數據；維護漏洞管理程序；執行嚴格的訪問控制措施；定期監控網路和測試網路；維護信息安全政策。

審核則包括安全管理制度審查、資深第三方（ASV）內外網漏洞掃描及安全漏洞修復、安全管理制度的落實，考察範圍涉及華為雲所有物理機房、雲平台各關鍵系統組件、人員安全專業培訓、安全開發等多項指標，並且每年至少接受一次重檢。

二、華為雲獲得PCI-DSS認證意味著什麼？

①首先，華為雲全平台、全節點、全服務通過這一權威認證，意味著華為雲整個IT系統全部通過了嚴格的安全測評，而不是雲系統的一部分通過；意味著華為雲所有大小節點，包括北京廊坊、香港節點等全部通過認證，而不是選擇性地拿某個節點通過；意味著華為雲研發上線的全部雲服務的安全性得到了嚴苛的驗證，而不是其中一兩個。華為雲的所有用戶，都能享受一樣的高安全性。

②其次，PCI-DSS制定的初衷，是為金融行業提供安全標準，但由於其操作性強，已經從金融行業變為被各大行業廣泛遵循的通用標準。所以某些廠商只划了一部分雲系統來做的金融專屬雲的PCI-DSS認證，已不能滿足其他行業用戶的安全訴求，而華為雲的所有用戶則享受到了「金融級」的安全性。

③最後，華為雲在很短時間內全平台、全節點、全服務通過認證，說明華為雲長期重視安全建設的努力效果初現：本身雲平台和雲服務的安全性就很高，安全技術能力在業界遙遙領先，所以才在這麼短的時間內通過認證，安全性和用戶隱私保護得到了第三方權威機構的嚴格認證。

全振軍表示：「BSI在網路安全、數據治理以及管理體系等相關標準方面一直深耕細作，作為ICT標準領域的引領者，我們知道PCI-DSS標準極其嚴苛，對雲平台的安全技術能力要求非常高，能通過這項認證的企業很少，像華為雲這樣全平台、全節點、全業務通過的，目前中國是唯一一家。該認證的獲得，表明華為雲的安全水平和技術能力都處於世界領先水平。華為雲在保障用戶安全和隱私上的努力，必將得到用戶和市場的積極反饋。而這一路，BSI也願藉助自身的專業優勢助力華為雲走得更高、更好。」

三、華為雲在合規認證上的努力從未停歇

為什麼用戶和雲廠商越來越重視合規認證？合規好比是正確的駕駛要求和規範，符合了這些要求和規範，上路才安全。認證相當於權威機構頒給雲廠商的駕駛證。可見，合規認證是保障雲平台安全的基礎，是提升雲平台安全性的重要途徑。華為雲一直重視並努力搭建雲平台的安全合規性， 包括三方面：

●基本認證類，滿足行業的通用安全標準，如華為雲持有的雲安全CSA STAR金牌認證、ISO27001、信息安全等級保護等。

●區域認證類，滿足業務所在區域的安全要求，如華為雲已在德國獲得的Trusted Cloud、IT-Grundschutz認證等。

●行業/服務增強認證類，即針對特定行業，進行更強的安全認證，滿足這部分行業客戶的安全要求，如華為雲此次通過的PCI-DSS認證，可提升金融、支付業務的安全性；提升服務安全性的工信部可信雲認證等。

除此之外，華為雲還通過了BSIMM、ITSS服務增強級認證、IDC/ISP牌照、TUV 可信雲認證等，並參與了1項權威標準試點（雲服務網路安全）。

除了合規認證，華為雲還構建了全棧安全體系，為用戶提供可視、易用的安全服務，如包含資料庫防火牆、資料庫審計、數據脫敏三大功能的資料庫安全服；國內首家實現用戶掌控雲密鑰的密鑰管理服務；攻擊響應時間快達3秒、可防護1T流量攻擊的DDoS高防服務等。

四、「三不」承諾保障用戶數據安全中立

華為雲在國內首家提出「三不」承諾：「上不做應用，下不碰數據，不做股權投資」，確立了雲服務商必須保障用戶數據安全中立的原則，並在不同場合反覆闡述。同時，華為雲構建了從物理、網路、主機、應用到數據的全棧防護矩陣，在用戶的安全短板上布置防護，如國內功能最全的資料庫保險柜——雲資料庫安全服務、國內首家把雲加密密鑰這把「鑰匙」交給用戶的——密鑰管理服務等，從技術上實現數據中立。目前，「三不」承諾正遍地開花，獲得用戶高度認可，各大雲廠商也紛紛跟進，成為行業事實標準。

楊松表示，全平台、全節點、全服務獲得PCI-DSS認證只是開始。雄關漫道，華為雲構建安全可信「黑土地」的努力不會停歇半刻。華為雲將不斷挖掘用戶業務需求，學習業界優秀實踐，保證安全要素在研發流程中有效落地，增強產品安全性和隱私保護，讓華為雲用戶更放心、安心、省心。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！