Seguridad

Asegura tus datos comerciales con herramientas integradas y prácticas óptimas que facilitan ganar visibilidad, agilizar las operaciones y mantener seguros todos los aspectos de la tienda.


Todos tus datos, a salvo

Los consumidores y los compradores B2B esperan que los conozcas lo suficiente como para hacer que sus experiencias de compra sean inolvidables. Sin embargo, también confían en ti para proteger sus datos confidenciales. Debido a que las ciberamenazas están por todas partes, mantener los datos comerciales seguros es algo más fácil de decir que de hacer.

 

Adobe Commerce cuenta con la certificación PCI como proveedor de soluciones de nivel 1. Eso significa que los comerciantes que utilicen nuestra solución pueden usar el certificado de conformidad de PCI como ayuda durante su propio proceso de certificación de PCI. Con Adobe, puedes realizar negocios online con confianza utilizando herramientas como el análisis de seguridad, que te permite controlar de cerca tus sitios web y recibir actualizaciones sobre los riesgos de seguridad, el malware y el acceso no autorizado. Gracias a nuestra activa comunidad mundial de desarrolladores, puedes estar tranquilo de que tus defensas de seguridad siempre están actualizadas contra las amenazas actuales y las que van apareciendo.

Haz un recorrido guiado por Adobe Commerce

Descubre cómo pueden la tecnología de última generación, el ecosistema global de partners y la tienda de extensiones insuflarle vida a tu sitio web de comercio electrónico.

Crea sitios web seguros

Los consumidores están mejor protegidos mediante el uso de HTTPS en tu sitio. Las páginas de pago y de las cuentas están siempre seguras con HTTPS; sin embargo, te recomendamos que asegures todas las páginas de tu sitio con HTTPS (mediante una certificación SSL compartida o mediante un certificado SSL que posean tus clientes con una cuota adicional).

Fastly ofrece protección CDN y DDoS desde la capa 3 a la 7. El CDN de Fastly ayuda a aislar el acceso directo al servidor de origen, y la CDN pública solo apunta a su red. La solución DDoS de Fastly protege contra ataques a las capas 3 y 4 altamente disruptivos, y contra los ataques más complejos a la capa 7. Los ataques contra la capa 7 pueden bloquearse con reglas personalizadas basadas en la solicitud HTTP/HTTPS completa y con criterios de clientes y solicitudes, entre los que se incluyen las cabeceras, las cookies, la ruta de la solicitud y el IP del cliente, o bien indicadores como la geolocalización.

El cortafuegos de aplicaciones web (WAF) de Fastly sirve como protección adicional. El WAF basado en la nube de Fastly usa reglas de terceros de fuentes comerciales y de código abierto, incluidos el conjunto de normas fundamentales de OWASP y las específicas de Commerce. Los clientes están protegidos contra los ataques más importantes de la capa de aplicaciones, incluidos ataques conocidos de fraude y entradas malintencionadas, secuencias de comandos en varios sitios, exfiltración de datos, violaciones del protocolo HTTP y las 10 amenazas principales contra OWASP. Las reglas WAF se actualizan a medida que se identifican las nuevas vulnerabilidades. Commerce puede entonces crear “parches virtuales” para los problemas de seguridad anticipándose a los parches de software.

El entorno de producción Adobe Commerce Cloud Pro está configurado como una nube privada virtual (VPC) para que los 3 servidores de producción estén aislados y tengan una capacidad limitada para conectarse al entorno de la nube y desconectarse de él. Solo se permiten las conexiones seguras a los servidores de la nube. Pueden usarse protocolos seguros como SFTP o rsync para las transferencias de archivos. Los clientes pueden usar túneles SSH para asegurar la comunicación con la aplicación. Todos las conexiones a esos servidores se controlan mediante los grupos de seguridad de la nube, un cortafuegos virtual que limita las conexiones al entorno. Los recursos técnicos de los clientes pueden acceder a estos servidores mediante SSH.


Prueba y cifrado

Adobe lleva a cabo con regularidad pruebas de penetración de la instancia principal de Adobe Commerce en la aplicación en la nube. Para cualquier aplicación o extensión personalizada, el comerciante o el partner es responsable de sus propias pruebas de penetración.

Adobe Commerce exige integraciones de plataformas de pago en las que los datos de las tarjetas de crédito se transmiten directamente desde el navegador del cliente a la pasarela de pago. Para dicha extensión de pago, los datos de la tarjeta no se guardan en el entorno de producción de Commerce.

Adobe Commerce prueba con regularidad el código básico de la aplicación en busca de vulnerabilidades de seguridad. A los clientes se les facilitan parches para los defectos y los problemas de seguridad. El equipo de seguridad de productos de Commerce valida los productos de Commerce siguiendo las directrices de seguridad de aplicaciones de OWASP. Se utilizan varias herramientas de evaluación de la vulnerabilidad de la seguridad y proveedores externos para probar y verificar el cumplimiento normativo. Toda la base del código se analiza con estas herramientas de forma periódica.

Los clientes reciben notificaciones sobre los parches de seguridad mediante correos electrónicos directos, notificaciones en la aplicación y en el Centro de Seguridad de Commerce, por lo que deben asegurarse de que estos parches se aplican a su aplicación personalizada en un plazo de 30 días tras su publicación según las directrices PCI. Commerce también ofrece una herramienta de análisis de la seguridad que permite a los comerciantes supervisar con regularidad sus sitios y recibir actualizaciones sobre riesgos conocidos de seguridad, malware y acceso no autorizado. Security Scan es un servicio gratuito que puede ejecutarse en cualquier versión de Adobe Commerce.

Para el almacenamiento, se emplea Amazon Elastic Block Store (EBS). Todos los volúmenes de EBS se cifran utilizando el algoritmo AES-265. Esto quiere decir que los datos se cifrarán en reposo. No obstante, el sistema también cifra los datos en tránsito entre la CDN y el origen, así como entre el origen y los servidores. Las contraseñas de los clientes se almacenan en forma de hashes. Las credenciales confidenciales, incluidas las empleadas en la pasarela de pago, se cifran mediante el algoritmo SHA-256. La aplicación de Adobe Commerce no es compatible con el cifrado de columnas o filas, ni con el cifrado de datos que no estén en reposo o que no estén en tránsito entre servidores.


Crea sitios web seguros

Todo el código ejecutable se implementa como una imagen Squash FS de solo lectura para prevenir ataques al entorno. Además, como el sistema de archivos es de solo lectura, reduce espectacularmente las oportunidades para incluir código PHP o JavaScript en el sistema o modificar los archivos de la aplicación Commerce.

La única forma de incorporar el código ejecutable en el entorno de producción de Adobe Commerce consiste en ejecutarle mediante un proceso de aprovisionamiento. Esto supone traspasar código fuente desde el repositorio de código fuente a un repositorio remoto que inicie un proceso de implementación. El acceso a ese objetivo de implementación está controlado de modo que tienes el control completo sobre quienes puedan acceder al objetivo de implementación. Todas las implementaciones del código de la aplicación en el entorno de producción están controladas por el cliente.

Compréndelo mejor los indicadores clave de rendimiento (KPI) que importan para el éxito y alinéalos con tu organización.

Todas las actividades de la nube procedentes de Linux, servidor de aplicaciones y registros de bases de datos se guardan en los servidores de producción y en copias de seguridad. Todos los cambios en el código fuente se registran en un repositorio Git. El historial de implementaciones se encuentra disponible en la interfaz de usuario de Adobe Commerce Cloud. Se registra todo el acceso de asistencia técnica, así como se graban las sesiones de dicha asistencia.

Contenido relacionado

Hablemos de lo que Adobe Commerce puede hacer por tu organización