【消息】华为云中国唯一全平台全节点全服务通过PCIDSS安全认证

发布时间：2020-12-25 17:32:38 阅读：次来源：电吹风厂家

国际权威认证机构英国标准协会（BSI）经多轮评审，宣布华为云成为中国唯一全平台、全节点、全服务通过PCI-DSS认证的云服务商，并于3月22日在青岛举行的华为生态大会现场，为华为云颁出这一份量极重的证书。该认证的获得，标志着华为云的安全性又一次获得国际权威的认可，安全合规性处于世界领先水平。华为云安全总经理杨松、英国标准协会（BSI）大中国区战略合作总监全振军出席了颁奖仪式并接受媒体采访。

杨松（右）与全振军（左）在颁奖仪式上

一、什么是PCI-DSS安全认证？

PCI-DSS（Payment Card IndustryData Security Standard）全称支付卡产业数据安全标准，是全球最严格且级别最高的金融数据安全标准，为2004年VISA和MasterCard联合多家机构成立的支付卡行业数据安全标准委员会（PCI SSC）制定和推行，旨在严格控制数据存储以保障支付卡用户在线交易安全。自发布以来，该标准得到了全球卡组织和金融机构的广泛支持和推广，成为商户和服务提供商必须遵循的一项强制规范。由于操作性极强，还被金融业外的各大行业奉为通用安全标准。

收到企业提交的PCI-DSS认证申请后，PCI SSC会授权独立审查公司（如BSI），对申请企业进行全方位、彻底的审核。审核内容分含6大领域、12项规范、近300项审核指标，6大领域包括：构建并维护安全的网络；保护持卡人数据；维护漏洞管理程序；执行严格的访问控制措施；定期监控网络和测试网络；维护信息安全政策。

审核则包括安全管理制度审查、资深第三方（ASV）内外网漏洞扫描及安全漏洞修复、安全管理制度的落实，考察范围涉及华为云所有物理机房、云平台各关键系统组件、人员安全专业培训、安全开发等多项指标，并且每年至少接受一次重检。

二、华为云获得PCI-DSS认证意味着什么？

①首先，华为云全平台、全节点、全服务通过这一权威认证，意味着华为云整个IT系统全部通过了严格的安全测评，而不是云系统的一部分通过；意味着华为云所有大小节点，包括北京廊坊、香港节点等全部通过认证，而不是选择性地拿某个节点通过；意味着华为云研发上线的全部云服务的安全性得到了严苛的验证，而不是其中一两个。华为云的所有用户，都能享受一样的高安全性。

②其次，PCI-DSS制定的初衷，是为金融行业提供安全标准，但由于其操作性强，已经从金融行业变为被各大行业广泛遵循的通用标准。所以某些厂商只划了一部分云系统来做的金融专属云的PCI-DSS认证，已不能满足其他行业用户的安全诉求，而华为云的所有用户则享受到了“金融级”的安全性。

③最后，华为云在很短时间内全平台、全节点、全服务通过认证，说明华为云长期重视安全建设的努力效果初现：本身云平台和云服务的安全性就很高，安全技术能力在业界遥遥领先，所以才在这么短的时间内通过认证，安全性和用户隐私保护得到了第三方权威机构的严格认证。

全振军表示：“BSI在网络安全、数据治理以及管理体系等相关标准方面一直深耕细作，作为ICT标准领域的引领者，我们知道PCI-DSS标准极其严苛，对云平台的安全技术能力要求非常高，能通过这项认证的企业很少，像华为云这样全平台、全节点、全业务通过的，目前中国是唯一一家。该认证的获得，表明华为云的安全水平和技术能力都处于世界领先水平。华为云在保障用户安全和隐私上的努力，必将得到用户和市场的积极反馈。而这一路，BSI也愿借助自身的专业优势助力华为云走得更高、更好。”

三、华为云在合规认证上的努力从未停歇

为什么用户和云厂商越来越重视合规认证？合规好比是正确的驾驶要求和规范，符合了这些要求和规范，上路才安全。认证相当于权威机构颁给云厂商的驾驶证。可见，合规认证是保障云平台安全的基础，是提升云平台安全性的重要途径。华为云一直重视并努力搭建云平台的安全合规性，包括三方面：

●基本认证类，满足行业的通用安全标准，如华为云持有的云安全CSA STAR金牌认证、ISO27001、信息安全等级保护等。

●区域认证类，满足业务所在区域的安全要求，如华为云已在德国获得的Trusted Cloud、IT-Grundschutz认证等。

●行业/服务增强认证类，即针对特定行业，进行更强的安全认证，满足这部分行业客户的安全要求，如华为云此次通过的PCI-DSS认证，可提升金融、支付业务的安全性；提升服务安全性的工信部可信云认证等。

除此之外，华为云还通过了BSIMM、ITSS服务增强级认证、IDC/ISP牌照、TUV可信云认证等，并参与了1项权威标准试点（云服务网络安全）。

除了合规认证，华为云还构建了全栈安全体系，为用户提供可视、易用的安全服务，如包含数据库防火墙、数据库审计、数据脱敏三大功能的数据库安全服；国内首家实现用户掌控云密钥的密钥管理服务；攻击响应时间快达3秒、可防护1T流量攻击的DDoS高防服务等。

四、“三不”承诺保障用户数据安全中立

华为云在国内首家提出“三不”承诺：“上不做应用，下不碰数据，不做股权投资”，确立了云服务商必须保障用户数据安全中立的原则，并在不同场合反复阐述。同时，华为云构建了从物理、网络、主机、应用到数据的全栈防护矩阵，在用户的安全短板上布置防护，如国内功能最全的数据库保险柜——云数据库安全服务、国内首家把云加密密钥这把“钥匙”交给用户的——密钥管理服务等，从技术上实现数据中立。目前，“三不”承诺正遍地开花，获得用户高度认可，各大云厂商也纷纷跟进，成为行业事实标准。

杨松表示，全平台、全节点、全服务获得PCI-DSS认证只是开始。雄关漫道，华为云构建安全可信“黑土地”的努力不会停歇半刻。华为云将不断挖掘用户业务需求，学习业界优秀实践，保证安全要素在研发流程中有效落地，增强产品安全性和隐私保护，让华为云用户更放心、安心、省心。