Sicurezza

Proteggi i tuoi dati commerciali grazie a strumenti predefiniti e a una serie di best practice che ti consentono di acquisire visibilità, semplificare le operazioni e garantire la protezione di ogni aspetto dei tuoi store in tutta semplicità.


Tutti i tuoi dati, lontano dai pericoli

Consumatori e acquirenti B2B non solo si aspettano che tu li conosca abbastanza da rendere indimenticabili le loro esperienze di shopping, ma confidano anche nel fatto che tu protegga i loro dati più sensibili. Con minacce cyber di ogni genere, mantenere al sicuro i tuoi dati commerciali è più facile a dirsi che a farsi.

 

Adobe Commerce ha ottenuto la certificazione PCI come fornitore di soluzioni di livello 1. Ciò significa che i commercianti che usano la nostra soluzione possono utilizzare l'attestato di conformità PCI per supportare il proprio processo di certificazione agli standard PCI. Con Adobe, puoi svolgere le tue attività online in tutta sicurezza utilizzando strumenti come la scansione di sicurezza, che ti consente di tenere sotto controllo i tuoi siti e ricevere aggiornamenti su eventuali rischi a livello di sicurezza, malware e accessi non autorizzati. Grazie alla nostra community di sviluppatori attiva a livello globale, puoi stare certo che le tue difese di sicurezza saranno sempre aggiornate per contrastare le minacce correnti ed emergenti.

Segui una presentazione guidata di Adobe Commerce

Scopri come la nostra tecnologia di prossima generazione, il nostro ecosistema di partner globali e il marketplace delle estensioni possono contribuire alla realizzazione del tuo sito web di e-commerce.

Creazione di siti web sicuri

I consumatori sono più protetti sui siti che usano il protocollo HTTPS. Le pagine di check-out e degli account sono sempre protette tramite HTTPS, ma noi ti consigliamo di usare questo protocollo per proteggere tutte le pagine del tuo sito (utilizzando una certificazione SSL condivisa o il certificato SSL del cliente a un costo aggiuntivo).

Fastly offre CDN e protezione DDoS dal livello 3 al livello 7. La CDN di Fastly contribuisce a isolare l'accesso diretto al server di origine, e il DNS pubblico punta solo alla sua rete. La soluzione DDOS di Fastly fornisce protezione da attacchi altamente destabilizzanti di livello 3 e 4 e da attacchi più complessi di livello 7. Gli attacchi di livello 7 possono essere bloccati utilizzando regole personalizzate basate sull'intera richiesta HTTP/HTTPS, nonché basate su criteri riferibili al client e alla richiesta, tra cui intestazioni, cookie, percorso della richiesta e IP del client, o a indicatori come la posizione geografica.

Il web application firewall (WAF) di Fastly viene utilizzato per fornire una protezione aggiuntiva. È basato su cloud e utilizza regole di terze parti da fonti commerciali e open source, tra cui il set di regole principali OWASP e regole specifiche di Commerce. I clienti sono protetti da attacchi chiave a livello di applicazione, tra cui input dannosi e attacchi injection noti, cross-site scripting, esfiltrazione di dati, violazioni del protocollo HTTP e altre minacce incluse nell’elenco delle 10 principali vulnerabilità stilato dall’OWASP. Le regole WAF vengono aggiornate man mano che vengono identificate nuove vulnerabilità. Commerce può quindi “riparare virtualmente” i problemi di sicurezza prima delle patch software.

L'ambiente di produzione Adobe Commerce Cloud Pro è configurato come cloud privato virtuale (VPC) in modo che tutti e 3 i server di produzione siano isolati e abbiano una capacità limitata di connettersi all'interno e all'esterno dell'ambiente cloud. Sono consentite solo connessioni sicure ai server cloud. Per i trasferimenti di file, è possibile utilizzare protocolli sicuri come SFTP o rsync. I clienti possono utilizzare i tunnel SSH per proteggere le comunicazioni con l'applicazione. Tutte le connessioni a questi server sono controllate tramite i gruppi di sicurezza cloud, un firewall virtuale che limita le connessioni all'ambiente. Il personale tecnico dei clienti può accedere a questi server utilizzando il tunneling SSH.


Test e crittografia

Adobe conduce test di penetrazione regolari dell'istanza principale di Adobe Commerce sull'applicazione cloud. Per tutte le applicazioni o le estensioni personalizzate, il merchant o il partner è responsabile dei propri test di penetrazione.

Adobe Commerce richiede integrazioni con servizi di pagamento in cui i dati delle carte di credito vengono trasmessi direttamente dal browser del consumatore al gateway di pagamento. Per via di questo processo di pagamento, i dati della carta non vengono archiviati nell'ambiente di produzione di Commerce.

Adobe Commerce testa regolarmente il codice core dell'applicazione per rilevare eventuali vulnerabilità di sicurezza, fornendo ai clienti le patch per correggere difetti e problemi di sicurezza. Il Commerce Product Security Team convalida i prodotti Commerce seguendo le linee guida sulla sicurezza delle applicazioni emanate dall’OWASP. Per i test e le verifiche di conformità, ricorriamo a diversi fornitori esterni e strumenti di valutazione delle vulnerabilità di sicurezza che ci consentono di esaminare periodicamente l’intera base di codice.

La disponibilità di patch di sicurezza viene comunicata tramite e-mail dirette, notifiche nell'applicazione e nel Commerce Security Center, e i clienti, in base alle linee guida del PCI, devono assicurarsi di installarle nella propria applicazione personalizzata entro 30 giorni dal rilascio. Commerce fornisce anche uno strumento di scansione di sicurezza che consente ai commercianti di monitorare regolarmente i propri siti e ricevere aggiornamenti su rischi di sicurezza noti, malware e accessi non autorizzati. Security Scan è un servizio gratuito e può essere utilizzato su tutte le versioni di Adobe Commerce.

Per l'archiviazione viene utilizzato Amazon Elastic Block Store (EBS). Tutti i volumi EBS sono crittografati con l'algoritmo AES-265, quindi tutti i dati saranno cifrati a riposo. Il sistema esegue anche la cifratura dei dati in transito tra la rete di distribuzione dei contenuti (CDN) e l'origine, nonché tra i server di origine. Le password dei clienti sono memorizzate come identificatori anonimizzati. Le credenziali riservate, comprese quelle per il gateway di pagamento, sono cifrate con l'algoritmo SHA-256. L’applicazione Adobe Commerce non supporta la crittografia a livello di riga o colonna, né la crittografia di dati non a riposo o non in transito tra server.


Creazione di siti web sicuri

Tutto il codice eseguibile viene distribuito come immagine Squash FS di sola lettura per prevenire attacchi all'ambiente. Il fatto che il file system sia in sola lettura riduce drasticamente le opportunità di iniettare codice PHP o JavaScript nel sistema o di modificare i file dell'applicazione Commerce.

L'unico modo per inserire codice eseguibile nell'ambiente di produzione di Adobe Commerce è eseguirlo tramite un processo di provisioning. Ciò comporta l'invio del codice sorgente dal repository di origine a un repository remoto che avvia un processo di distribuzione. L'accesso a tale destinazione di distribuzione è controllato ed è quindi possibile esercitare un controllo completo su chi può accedervi. Tutte le distribuzioni del codice dell'applicazione nell'ambiente di produzione sono controllate dal cliente.

Comprendi meglio i KPI più importanti per il successo e allinea la tua organizzazione di conseguenza.

Tutte le attività cloud dei registri di Linux, dell’application server e dei database sono archiviate sui server di produzione e nei backup. Tutte le modifiche del codice sorgente vengono registrate in un archivio Git. La cronologia della distribuzione è disponibile nell'interfaccia utente di Adobe Commerce Cloud. Viene mantenuta anche una cronologia di tutti gli accessi al supporto e le sessioni di supporto vengono registrate.

Contenuti correlati

Parliamo di cosa può fare Adobe Commerce per il tuo business.