Beveiliging
Met Adobe Commerce, aangestuurd door Magento, heeft je bedrijf controle over consumentendata en financiële gegevens.
Al je data beveiligd
Consumenten en B2B-kopers verwachten dat je genoeg over hen weet om hun winkelervaringen onvergetelijk te maken. Maar ze vertrouwen er ook op dat je hun meest gevoelige data beschermt. Met de alomtegenwoordige cyberbedreigingen, is het gemakkelijker gezegd dan gedaan om je verkoopdata veilig te houden.
Adobe Commerce is PCI-gecertificeerd als een Solution Provider van niveau 1. Dat betekent dat verkopers die onze oplossing gebruiken de PCI Attestation of Compliance (PCI-getuigenis van compliance) kunnen benutten ter ondersteuning van hun eigen PCI-certificatieproces. Met Adobe kun je vol vertrouwen online zakendoen met tools zoals beveiligingsscanning, waarmee je jouw sites kunt volgen en updates kunt krijgen over beveiligingsrisico’s, malware en ongeautoriseerde toegang. Dankzij onze actieve, wereldwijde community van ontwikkelaars, kun je er zeker van zijn dat je beveiligingsverdediging altijd up-to-date is met betrekking tot bedreigingen.
Volg een rondleiding van Adobe Commerce
Ontdek hoe onze geavanceerde technologie, wereldwijde partnerecosysteem en marktplaats met uitbreidingen jouw e-commercewebsite nieuw leven kunnen inblazen.
Maak veilige websites
Consumenten zijn beter beschermd met HTTPS op je site. Betalings- en accountpagina's worden altijd beveiligd met HTTPS, maar we raden je aan om alle pagina's op je site te beveiligen met HTTPS (met een gedeeld SSL-certificaat of een eigen SSL-certificaat voor de klant tegen aanvullende kosten.)
Fastly biedt CDN- en DDoS-bescherming van laag 3 tot en met laag 7. Het CDN van Fastly voorkomt directe toegang tot de oorspronkelijke server en de openbare DNS verwijst alleen naar het eigen netwerk. De DDOS-oplossing van Fastly beschermt tegen zeer verstorende laag 3- en laag 4-aanvallen, evenals complexere laag 7-aanvallen. Layer 7-aanvallen kunnen worden geblokkeerd met aangepaste regels die zijn gebaseerd op de hele HTTP-/HTTPS-aanvraag en zijn gebaseerd op de client- en aanvraagcriteria, waaronder headers, cookies, aanvraagpad en client-IP, of indicatoren zoals geolocatie.
De webapplicatiefirewall (WAF) van Fastly wordt gebruikt om aanvullende bescherming te bieden. De cloudgebaseerde WAF van Fastly gebruikt regels uit externe opensource- en commerciële bronnen, zoals de OWASP Core Rule Set en specifieke regels voor commerce. Klanten worden beschermd tegen cruciale aanvallen op de applicatielaag, zoals bekende injectieaanvallen en kwaadwillige invoer, cross-site scripts, data-exfiltratie, HTTP-protocolschendingen en andere dreigingen uit de top 10 van OWASP. WAF-regels worden bijgewerkt wanneer nieuwe kwetsbaarheden worden geïdentificeerd. Commerce kan beveiligingsrisico's 'virtueel patchen' voordat er softwarepatches verschijnen.
De productieomgeving van Adobe Commerce Cloud Pro is geconfigureerd als een virtuele privécloud (VPC) zodat al de 3 productieservers worden geïsoleerd en slechts in beperkte mate inkomende en uitgaande verbindingen met de cloudomgeving kunnen maken. Alleen beveiligde verbindingen met cloudservers zijn toegestaan. Veilige protocollen zoals SFTP of rsync kunnen worden gebruikt voor bestandsoverdrachten. Klanten kunnen SSH-tunnels gebruiken om de communicatie met de applicatie te beveiligen. Alle verbindingen met deze servers worden beheerd met cloudbeveiligingsgroepen, een virtuele firewall die de verbindingen met de omgeving beperkt. Technische medewerkers van klanten kunnen via SSH toegang krijgen tot deze servers.
Tests en versleuteling
Adobe voert regelmatig penetratietests uit op de Adobe Commerce-kerninstantie in de cloudapplicatie. Bij aangepaste applicaties of uitbreidingen is de handelaar of partner verantwoordelijk voor het uitvoeren van penetratietests.
Adobe vereist integraties van de betalingsgateway waarbij creditcarddata rechtstreeks vanuit de browser van de klant wordt doorgegeven aan de betalingsgateway. Voor een dergelijke betalingsuitbreiding wordt de data van de kaart niet opgeslagen in de productieomgeving van Commerce.
Adobe Commerce test de kernapplicatiecode regelmatig op kwetsbaarheden. Er worden patches voor defecten en beveiligingsproblemen geleverd aan klanten. Het Commerce Product Security Team valideert Commerce-producten volgens de applicatiebeveiligingsrichtlijnen van OWASP. Diverse tools voor het evalueren van kwetsbaarheden en externe leveranciers worden ingezet om de conformiteit te testen en te verifiëren. De volledige codebasis wordt periodiek gescand met deze tools.
Klanten worden via rechtstreekse e-mailberichten en meldingen in de applicatie en in het Commerce Security Center op de hoogte gesteld van beveiligingspatches en moeten zorgen dat deze patches binnen 30 dagen na de release volgens de PCI-richtlijnen worden toegepast op hun aangepaste applicatie. Commerce biedt ook een beveiligingsscantool waarmee handelaren hun sites regelmatig kunnen monitoren en updates kunnen ontvangen over bekende beveiligingsrisico's, malware en ongeautoriseerde toegang. Security Scan is en gratis service die kan worden uitgevoerd op elke versie van Adobe Commerce.
Voor opslag wordt Amazon Elastic Block Store (EBS) gebruikt. Alle EBS-volumes worden versleuteld met het AES-265-algoritme. Dit betekent dat opgeslagen data wordt versleuteld. Gegevens die worden overgebracht tussen de CDN en de oorsprong, en tussen de oorspronkelijke servers ('origin servers') worden ook versleuteld. Wachtwoorden van klanten worden gehasht opgeslagen. Gevoelige referenties, waaronder referenties voor de betalingsgateway, worden versleuteld met het SHA-256-algoritme. De Adobe Commerce-applicatie biedt geen ondersteuning voor versleuteling op kolom- of rijniveau voor data die niet is opgeslagen of niet wordt overgebracht tussen servers.
Maak veilige websites
Alle uitvoerbare code wordt geïmplementeerd als een alleen-lezen Squash FS-image om aanvallen op de omgeving te voorkomen. En omdat het bestandssysteem alleen-lezen is, nemen de mogelijkheden om PHP- of JavaScript-code in het systeem te injecteren of de Commerce-applicatiebestanden te wijzigen enorm af.
De enige manier om uitvoerbare code in de Adobe Commerce-productieomgeving te krijgen is via een provisioningproces. Hierbij wordt de broncode uit je bronrepository naar een externe repository gepusht om een implementatieproces te starten. De toegang tot het implementatiedoel wordt zodanig beheerd dat je volledige controle daarover hebt. Elke implementatie van applicatiecode in de productieomgeving wordt beheerd door de klant.
Vergroot je inzicht en breng je organisatie op één lijn voor de KPI's die essentieel zijn voor succes.
Alle cloudactiviteiten van Linux en applicatieserver- en databaselogboeken worden opgeslagen op de productieservers en in back-ups. Alle broncodewijzigingen worden vastgelegd in een Git-repository. De implementatiehistorie is beschikbaar in de Adobe Commerce Cloud-gebruikersinterface. Alle ondersteuningstoegang wordt geregistreerd en ondersteuningssessies worden vastgelegd.