Seguridad

Navegador de los consumidores

Los consumidores están mejor protegidos mediante el uso de HTTPS en tu sitio. Las páginas de pago y de cuentas están siempre seguras con HTTPS; sin embargo, te recomendamos que protejas todas las páginas de tu sitio con HTTPS (con una certificación SSL compartida o con un certificado SSL que posean tus clientes con una cuota adicional).

Protección de la red de distribución de contenido (CDN) y DDoS

Fastly ofrece protección de CDN y DDoS desde la capa 3 a la 7. La CDN de Fastly ayuda a aislar el acceso directo al servidor de origen, y la CDN pública solo apunta a su red. La solución DDoS de Fastly protege contra ataques a las capas 3 y 4 altamente disruptivos, y contra los ataques más complejos a la capa 7. Los ataques contra la capa 7 se pueden bloquear con reglas personalizadas basadas en la solicitud HTTP/HTTPS completa y con criterios de clientes y solicitudes, entre los que se incluyen las cabeceras, las cookies, la ruta de la solicitud y la IP del cliente, o bien indicadores como la geolocalización.

Firewall de aplicaciones web (WAF)

El firewall de aplicaciones web (WAF) de Fastly sirve como protección adicional. El WAF basado en la nube de Fastly usa reglas de terceros de fuentes comerciales y de código abierto, como el conjunto de normas fundamentales de OWASP y las específicas de Commerce. La clientela está protegida contra los ataques más importantes de la capa de aplicaciones, como entradas maliciosas y ataques de fraude conocidos, secuencias de comandos en varios sitios, exfiltración de datos, infracciones del protocolo HTTP y otras de las 10 amenazas OWASP principales. Las reglas del WAF se actualizan a medida que se identifican nuevas vulnerabilidades. Así, Commerce puede crear “parches virtuales” para los problemas de seguridad antes de que se apliquen los parches de software.

Nube virtual privada

El entorno de producción de Adobe Commerce Cloud Pro está configurado como una nube privada virtual (VPC) para que los 3 servidores de producción estén aislados y tengan una capacidad limitada para conectarse al entorno de la nube y desconectarse de él. Solo se permiten las conexiones seguras en los servidores de la nube. Pueden usarse protocolos seguros, como SFTP o rsync, para las transferencias de archivos. La clientela puede usar túneles SSH para proteger las comunicaciones con la aplicación. Todas las conexiones a esos servidores se controlan mediante los grupos de seguridad de la nube, un cortafuegos virtual que limita las conexiones al entorno. Los recursos técnicos de cada cliente pueden acceder a estos servidores mediante SSH.

Pruebas de penetración

Adobe regularmente lleva a cabo pruebas de penetración de la instancia principal de Adobe Commerce en la aplicación en la nube. Para cualquier aplicación o extensión personalizada, el comerciante o el socio es responsable de sus propias pruebas de penetración.

Pasarela de pago

Adobe Commerce requiere integraciones de pasarelas de pago en las que los datos de las tarjetas de crédito se transmitan directamente desde el navegador de los clientes a la pasarela de pago. Para dicha extensión de pago, los datos de la tarjeta no se almacenan en el entorno de producción de Commerce.

Aplicación Commerce

Adobe Commerce prueba con regularidad el código básico de la aplicación en busca de vulnerabilidades de seguridad. A los clientes se les facilitan parches para los defectos y los problemas de seguridad. El equipo de seguridad de productos de Commerce valida los productos de Commerce siguiendo las directrices de seguridad de aplicaciones de OWASP. Se emplean varias herramientas de evaluación de la vulnerabilidad de la seguridad y proveedores externos para probar y verificar el cumplimiento normativo. Toda la base del código se analiza con estas herramientas de forma periódica.

Los clientes reciben notificaciones sobre los parches de seguridad mediante correos electrónicos directos, notificaciones en la aplicación y en el Centro de Seguridad de Commerce, por lo que deben cerciorarse de implementar estos parches en su aplicación personalizada en un plazo de 30 días tras su publicación según las directrices PCI. Commerce también ofrece una herramienta de análisis de la seguridad que permite a los comerciantes monitorear con regularidad sus sitios y recibir actualizaciones sobre riesgos conocidos de seguridad, malware y acceso no autorizado. Security Scan es un servicio gratis que puede ejecutar en cualquier versión de Adobe Commerce.

Cifrado

Para el almacenamiento, se emplea Amazon Elastic Block Store (EBS). Todos los volúmenes de EBS se cifran con el algoritmo AES-265. Esto quiere decir que los datos se cifrarán en reposo. No obstante, el sistema también cifra los datos en tránsito entre la CDN y el origen, así como entre los servidores de origen. Las contraseñas de los clientes se almacenan como hash. Las credenciales confidenciales, incluidas las empleadas en la pasarela de pago, se cifran mediante el algoritmo SHA-256. La aplicación de Adobe Commerce no es compatible con el cifrado de columnas o filas, ni con el cifrado de datos que no estén en reposo o que no estén en tránsito entre servidores.

Sistema de archivos de solo lectura

Todo el código ejecutable se implementa como una imagen Squash FS de solo lectura para prevenir ataques al entorno. Además, como el sistema de archivos es de solo lectura, reduce en gran medida las oportunidades para incluir código PHP o JavaScript en el sistema o modificar los archivos de la aplicación Commerce.

Implementación remota

La única forma de incorporar el código ejecutable en el entorno de producción de Adobe Commerce es mediante un proceso de aprovisionamiento. Esto supone traspasar código fuente desde el repositorio de código fuente a un repositorio remoto que inicie un proceso de implementación. El acceso a ese objetivo de implementación está controlado de modo que tienes el control total sobre quiénes pueden acceder a él. Todas las implementaciones del código de la aplicación en el entorno de producción están controladas por el cliente.

Registro

Comprende mejor los indicadores clave de rendimiento (KPI) que son indispensables para el éxito y coordina tu organización según los mismos.

Copias de seguridad

Todas las actividades de la nube procedentes de Linux, el servidor de aplicaciones y los registros de bases de datos se almacenan en los servidores de producción y en copias de seguridad. Todos los cambios en el código fuente se registran en un repositorio Git. El historial de implementaciones se encuentra disponible en la interfaz de usuario de Adobe Commerce Cloud. Se registra todo el acceso de asistencia técnica y se graban las sesiones de dicha asistencia.