TMT观察网_独特视角观察TMT行业

國際權威認證機構英國標準協會（BSI）經多輪評審，宣布華為云成為中國唯一全平臺、全節點、全服務通過PCI-DSS認證的云服務商，并于3月22日在青島舉行的華為生態大會現場，為華為云頒出這一份量極重的證書。該認證的獲得，標志著華為云的安全性又一次獲得國際權威的認可，安全合規性處于世界領先水平。華為云安全總經理楊松、英國標準協會（BSI）大中國區戰略合作總監全振軍出席了頒獎儀式并接受媒體采訪。

楊松（右）與全振軍（左）在頒獎儀式上

一、什么是PCI-DSS安全認證？

PCI-DSS（Payment Card IndustryData Security Standard）全稱支付卡產業數據安全標準，是全球最嚴格且級別最高的金融數據安全標準，為2004年VISA和MasterCard聯合多家機構成立的支付卡行業數據安全標準委員會（PCI SSC）制定和推行，旨在嚴格控制數據存儲以保障支付卡用戶在線交易安全。自發布以來，該標準得到了全球卡組織和金融機構的廣泛支持和推廣，成為商戶和服務提供商必須遵循的一項強制規范。由于操作性極強，還被金融業外的各大行業奉為通用安全標準。

收到企業提交的PCI-DSS認證申請后，PCI SSC會授權獨立審查公司（如BSI），對申請企業進行全方位、徹底的審核。審核內容分含6大領域、12項規范、近300項審核指標，6大領域包括：構建并維護安全的網絡；保護持卡人數據；維護漏洞管理程序；執行嚴格的訪問控制措施；定期監控網絡和測試網絡；維護信息安全政策。

審核則包括安全管理制度審查、資深第三方（ASV）內外網漏洞掃描及安全漏洞修復、安全管理制度的落實，考察范圍涉及華為云所有物理機房、云平臺各關鍵系統組件、人員安全專業培訓、安全開發等多項指標，并且每年至少接受一次重檢。

二、華為云獲得PCI-DSS認證意味著什么？

①首先，華為云全平臺、全節點、全服務通過這一權威認證，意味著華為云整個IT系統全部通過了嚴格的安全測評，而不是云系統的一部分通過；意味著華為云所有大小節點，包括北京廊坊、香港節點等全部通過認證，而不是選擇性地拿某個節點通過；意味著華為云研發上線的全部云服務的安全性得到了嚴苛的驗證，而不是其中一兩個。華為云的所有用戶，都能享受一樣的高安全性。

②其次，PCI-DSS制定的初衷，是為金融行業提供安全標準，但由于其操作性強，已經從金融行業變為被各大行業廣泛遵循的通用標準。所以某些廠商只劃了一部分云系統來做的金融專屬云的PCI-DSS認證，已不能滿足其他行業用戶的安全訴求，而華為云的所有用戶則享受到了“金融級”的安全性。

③最后，華為云在很短時間內全平臺、全節點、全服務通過認證，說明華為云長期重視安全建設的努力效果初現：本身云平臺和云服務的安全性就很高，安全技術能力在業界遙遙領先，所以才在這么短的時間內通過認證，安全性和用戶隱私保護得到了第三方權威機構的嚴格認證。

全振軍表示：“BSI在網絡安全、數據治理以及管理體系等相關標準方面一直深耕細作，作為ICT標準領域的引領者，我們知道PCI-DSS標準極其嚴苛，對云平臺的安全技術能力要求非常高，能通過這項認證的企業很少，像華為云這樣全平臺、全節點、全業務通過的，目前中國是唯一一家。該認證的獲得，表明華為云的安全水平和技術能力都處于世界領先水平。華為云在保障用戶安全和隱私上的努力，必將得到用戶和市場的積極反饋。而這一路，BSI也愿借助自身的專業優勢助力華為云走得更高、更好?！?/p>

三、華為云在合規認證上的努力從未停歇

為什么用戶和云廠商越來越重視合規認證？合規好比是正確的駕駛要求和規范，符合了這些要求和規范，上路才安全。認證相當于權威機構頒給云廠商的駕駛證?？梢?，合規認證是保障云平臺安全的基礎，是提升云平臺安全性的重要途徑。華為云一直重視并努力搭建云平臺的安全合規性，包括三方面：

●基本認證類，滿足行業的通用安全標準，如華為云持有的云安全CSA STAR金牌認證、ISO27001、信息安全等級保護等。

●區域認證類，滿足業務所在區域的安全要求，如華為云已在德國獲得的Trusted Cloud、IT-Grundschutz認證等。

●行業/服務增強認證類，即針對特定行業，進行更強的安全認證，滿足這部分行業客戶的安全要求，如華為云此次通過的PCI-DSS認證，可提升金融、支付業務的安全性；提升服務安全性的工信部可信云認證等。

除此之外，華為云還通過了BSIMM、ITSS服務增強級認證、IDC/ISP牌照、TUV可信云認證等，并參與了1項權威標準試點（云服務網絡安全）。

除了合規認證，華為云還構建了全棧安全體系，為用戶提供可視、易用的安全服務，如包含數據庫防火墻、數據庫審計、數據脫敏三大功能的數據庫安全服；國內首家實現用戶掌控云密鑰的密鑰管理服務；攻擊響應時間快達3秒、可防護1T流量攻擊的DDoS高防服務等。

四、“三不”承諾保障用戶數據安全中立

華為云在國內首家提出“三不”承諾：“上不做應用，下不碰數據，不做股權投資”，確立了云服務商必須保障用戶數據安全中立的原則，并在不同場合反復闡述。同時，華為云構建了從物理、網絡、主機、應用到數據的全棧防護矩陣，在用戶的安全短板上布置防護，如國內功能最全的數據庫保險柜——云數據庫安全服務、國內首家把云加密密鑰這把“鑰匙”交給用戶的——密鑰管理服務等，從技術上實現數據中立。目前，“三不”承諾正遍地開花，獲得用戶高度認可，各大云廠商也紛紛跟進，成為行業事實標準。

楊松表示，全平臺、全節點、全服務獲得PCI-DSS認證只是開始。雄關漫道，華為云構建安全可信“黑土地”的努力不會停歇半刻。華為云將不斷挖掘用戶業務需求，學習業界優秀實踐，保證安全要素在研發流程中有效落地，增強產品安全性和隱私保護，讓華為云用戶更放心、安心、省心。