Sicherheit.

Schützt eure Commerce-Daten mit integrierten Tools und Best Practices, durch die ihr euch auf einfache Weise einen Überblick verschaffen, Vorgänge optimieren und euren Webshop sichern könnt.


Komplettschutz für alle Daten.

Verbraucher und B2B-Käufer erwarten, dass ihr über genügend Informationen verfügt, um ihnen unvergessliche Einkaufserlebnisse bereitzustellen. Sie vertrauen aber auch darauf, dass ihre sensiblen Daten geschützt werden. Angesichts der überall vorhandenen Cyber-Bedrohungen ist der Schutz von Commerce-Daten leichter gesagt als getan.

 

Adobe Commerce ist PCI-zertifiziert als Level-1-Lösungsanbieter. Daher können Händler, die unsere Lösung einsetzen, die zugehörige PCI-Compliance-Bescheinigung für ihren eigenen PCI-Zertifizierungsprozess verwenden. Mit Adobe führt ihr euer Online-Business mit der Gewissheit, dass ihr mithilfe von Tools wie Sicherheits-Scans eure Sites überwachen könnt und über Sicherheitsrisiken, Malware und nicht autorisierte Zugriffsversuche auf dem Laufenden gehalten werdet. Außerdem könnt ihr mithilfe unserer aktiven, weltweiten Entwickler-Community darauf vertrauen, dass ihr durch eure Sicherheitsmechanismen vor aktuellen und neuen Bedrohungen geschützt werdet.

Startet eure Adobe Commerce-Tour.

Lernt unsere Technologie der nächsten Generation, das globale Partner-Ökosystem und die Marketplace-Erweiterungen kennen, mit denen eure E-Commerce-Website lebendig wird.

Sichere Websites erstellen.

Mit HTTPS auf eurer Site bietet ihr Verbrauchern einen besseren Schutz. Checkout- und Kontoseiten werden immer mit HTTPS geschützt. Wir empfehlen jedoch, alle Seiten eurer Site mit HTTPS (entweder einem gemeinsamen SSL-Zertifikat oder gegen eine zusätzliche Gebühr mit einem eigenen SSL-Zertifikat für den Kunden) zu schützen.

Fastly bietet CDN- und DDoS-Schutz von Layer 3 bis 7. Das CDN von Fastly isoliert den Direktzugriff auf den Ursprungs-Server, der öffentliche DNS-Server verweist lediglich auf das Netzwerk. Die DDoS-Lösung von Fastly bietet Schutz vor hochbrisanten Layer-3- und Layer-4-Attacken sowie den komplexeren Layer-7-Angriffen. Layer-7-Angriffe können mit angepassten Regeln auf Basis der vollständigen HTTP/HTTPS-Anfrage, auf Basis von Client- und Anfragekriterien wie Headern, Cookies, Anfragepfaden und Client-IP sowie basierend auf Indikatoren wie dem Standort blockiert werden.

Die Web Application Firewall (WAF) von Fastly bietet zusätzlichen Schutz. Die Cloud-basierte WAF von Fastly nutzt Drittanbieterregeln aus kommerziellen und Open-Source-Quellen, darunter das OWASP Core Rule Set und Commerce-spezifische Regeln. Kunden genießen Schutz vor den wichtigsten Angriffen auf Programmebene, z. B. Injection-Angriffen und böswilligen Eingaben, Cross-Site-Scripting, Datenexfiltration, HTTP-Protokollverstößen und weiteren Bedrohungen aus der OWASP-Liste der Top 10. Die WAF-Regeln werden bei neu erkannten Schwachstellen aktualisiert. Sicherheitsprobleme können dann „virtuell gepatcht“ werden, noch ehe entsprechende Software-Patches verfügbar sind.

Die Adobe Commerce Cloud Pro-Produktionsumgebung ist als Virtual Private Cloud (VPC) konfiguriert. Alle drei Produktions-Server sind isoliert und können nur eingeschränkt Verbindungen innerhalb und außerhalb der Cloud-Umgebung herstellen. Nur sichere Verbindungen mit den Cloudservern sind zulässig. Für Dateiübertragungen können sichere Protokolle wie SFTP oder rsync verwendet werden. Kunden können die Kommunikation mit dem Programm mithilfe von SSH-Tunneln schützen. Alle Verbindungen mit diesen Servern werden mithilfe von Cloud-Sicherheitsgruppen kontrolliert, einer virtuellen Firewall, die Verbindungen mit der Umgebung beschränkt. Die technischen Experten der Kunden können über SSH auf diese Server zugreifen.


Testen und verschlüsseln.

Adobe führt regelmäßig Penetrationstests der zentralen Adobe Commerce-Instanz als Cloud-Anwendung durch. Bei personalisierten Programmen oder Erweiterungen ist der Händler oder Partner selbst für die Durchführung von Penetrationstests verantwortlich.

In Adobe Commerce sind nur Integrationen mit Zahlungs-Gateways zulässig, bei denen Kreditkartendaten direkt vom Browser des Kunden an den Bezahl-Service übermittelt werden. Bei solchen Zahlungserweiterungen werden die Kartendaten nicht in der Commerce-Produktionsumgebung gespeichert.

Der zentrale Programm-Code von Adobe Commerce wird regelmäßig auf Schwachstellen getestet. Kunden werden Patches für Fehler und Sicherheitsprobleme zur Verfügung gestellt. Das Commerce Product Security Team überprüft Commerce-Produkte gemäß den OWASP-Richtlinien für die Programmsicherheit. Zum Testen und Verifizieren der Compliance werden mehrere Tools für die Untersuchung auf Sicherheitsschwachstellen eingesetzt. Mit diesen Tools wird regelmäßig die komplette Code-Basis gescannt.

Kunden werden per E-Mail, Benachrichtigung im Programm sowie im Commerce Security Center über Sicherheits-Patches informiert und müssen laut PCI-Richtlinien sicherstellen, dass diese Patches innerhalb von 30 Tagen auf das personalisierte Programm angewendet werden. Adobe Commerce bietet außerdem ein Tool für Sicherheits-Scans, mit dem Händler ihre Sites regelmäßig überwachen und aktuelle Informationen zu bekannten Sicherheitsrisiken, Malware und unbefugten Zugriffsversuchen erhalten. Security Scan ist ein kostenloser Service, der bei jeder Version von Adobe Commerce ausgeführt werden kann.

Als Datenspeicher wird Amazon Elastic Block Store (EBS) verwendet. EBS-Laufwerke werden nach dem 256-Bit-AES-Verfahren verschlüsselt. Es sorgt für die Verschlüsselung der Daten im Ruhezustand. Bei der Übertragung vom Ursprung zum Content Delivery Network (CDN) sowie zwischen den Ursprungs-Servern verschlüsselt das System die Daten ebenfalls. Kundenpasswörter werden als Hash-Werte gespeichert. Sensible Anmeldeinformationen, darunter auch die für die Transaktionsabwicklung mit dem Bezahl-Service, werden mittels SHA-256-Algorithmus verschlüsselt. Eine Verschlüsselung auf Spalten- oder Zeilenebene wird von Adobe Commerce nicht unterstützt. Daten, die sich nicht im Ruhezustand bzw. nicht auf dem Übertragungsweg zwischen Servern befinden, werden ebenfalls nicht verschlüsselt.


Sichere Websites erstellen.

Der gesamte ausführbare Code wird als schreibgeschütztes SquashFS-Abbild bereitgestellt, um Angriffen auf die Umgebung vorzubeugen. Da das Dateisystem schreibgeschützt ist, gibt es erheblich weniger Möglichkeiten, PHP- oder JavaScript-Code in das System einzuschleusen oder die Commerce-Programmdateien zu ändern.

Die einzige Möglichkeit, ausführbaren Code in die Adobe Commerce-Produktionsumgebung zu bringen, ist über eine Provisionierung. Hierzu wird der Quell-Code aus dem Quell-Repository in ein Remote-Repository gepusht, das daraufhin eine Provisionierung initiiert. Der Zugriff auf das Bereitstellungsziel wird kontrolliert, sodass ihr genau steuern könnt, wer darauf zugreifen kann. Die Bereitstellung von Programm-Code in der Produktionsumgebung wird grundsätzlich vom Kunden kontrolliert.

Versteht erfolgsentscheidende KPIs besser und richtet euer Unternehmen daran aus.

Alle Cloud-Aktivitäten von Linux, der Programm-Server und die Datenbankprotokolle werden alle auf den Produktions-Servern und in Backups gespeichert. Sämtliche Änderungen am Quell-Code werden in einem Git-Repository aufgezeichnet. Der Bereitstellungsverlauf kann über die Adobe Commerce Cloud-Benutzeroberfläche eingesehen werden. Jeder Support-Zugriff wird protokolliert, die Support-Sitzungen werden aufgezeichnet.

Verwandte Themen.

Hier erfahrt ihr, wie Adobe Commerce eurem Unternehmen helfen kann.