Segurança

Com a Adobe Commerce, viabilizada pela Magento, sua empresa controla a segurança dos dados financeiros e dos consumidores.


Todos os seus dados fora de perigo

Os consumidores e os compradores B2B esperam que você saiba o suficiente sobre eles para oferecer experiências inesquecíveis. Mas eles também confiam em você para proteger seus dados mais confidenciais. Com as constantes ameaças cibernéticas, é mais fácil manter os dados seguros na teoria do que na prática.

 

O Adobe Commerce possui certificação PCI como um provedor de soluções de nível 1. Ou seja, os comerciantes que usarem nossa solução poderão usar o Attestation of Compliance (Atestado de Conformidade) do PCI para auxiliar seus próprios processos de certificação PCI. Com a Adobe, você pode conduzir negócios online com confiança usando ferramentas como a varredura de segurança, que permite acompanhar seus sites e receber atualizações sobre riscos de segurança, malware e acesso não autorizado. Com nossa comunidade ativa de desenvolvedores do mundo todo, você pode ter a certeza de que suas defesas de segurança estão sempre atualizadas contra ameaças existentes e novas.

Faça um tour pela Adobe Commerce

Saiba como nossa tecnologia de última geração, nosso ecossistema de parceiros globais e nosso marketplace de extensões podem dar vida ao seu site de comércio eletrônico.

Crie sites seguros

Os clientes ficam mais protegidos quando você usa HTTPS no seu site. Páginas de finalização da compra e de conta são sempre protegidas por HTTPS, no entanto recomendamos proteger todas as páginas do site com HTTPS (usando ou uma certificação SSL compartilhada ou o próprio certificado SSL dos clientes por uma taxa adicional).

A Fastly fornece CDN e proteção contra DDoS da camada 3 à 7. O CDN da Fastly ajuda a isolar o acesso direto ao servidor de origem, e o DNS público aponta somente para sua rede. A solução de DDOS da Fastly protege contra ataques altamente disruptivos das camadas 3 e 4 e ataques mais complexos da camada 7. Os ataques da camada 7 podem ser bloqueados usando regras personalizadas com base em toda a solicitação HTTP/HTTPS e critérios de cliente e de solicitação, como cabeçalhos, cookies, caminho de solicitação e IP do cliente, ou indicadores como localização geográfica.

O firewall de aplicativos Web (WAF) da Fastly é usado para fornecer proteção adicional. O WAF na nuvem da Fastly utiliza regras de terceiros de fontes comerciais e de código aberto, incluindo o conjunto de regras principais do OWASP e regras específicas de comércio. Os clientes são protegidos de ataques chave na camada de aplicação, incluindo ataques conhecidos de injeção e comandos maliciosos, criação de script entre sites, exfiltração de dados, violações do protocolo HTTP e outras ameaças principais do OWASP. As regras do WAF são atualizadas na medida em que vulnerabilidades são identificadas. Em seguida, o Commerce pode “corrigir virtualmente” problemas de segurança antes de correções do software.

O ambiente de produção do Adobe Commerce Cloud Pro é configurado como uma nuvem privada virtual (VPC), assim todos os três servidores de produção são isolados e têm capacidade limitada para conexões dentro e fora do ambiente na nuvem. Apenas conexões seguras com os servidores na nuvem são permitidos. Protocolos seguros. como SFTP ou rsync, podem ser usados para transferências de arquivo. Os clientes podem usar túneis SSH para proteger as comunicações com o aplicativo. Todas as conexões a esses servidores são controladas por meio de grupos de segurança na nuvem, um firewall virtual que limita as conexões ao ambiente. Os recursos técnicos dos clientes podem acessar esses servidores usando SSH.


Teste e criptografia

A Adobe realiza testes de penetração regulares da principal instância do Adobe Commerce no aplicativo na nuvem. No caso de aplicativos ou extensões personalizados, o comerciante ou parceiro é responsável pelo próprio teste de penetração.

O Adobe Commerce requer integrações com gateways de pagamento, em que os dados de cartão de crédito são transmitidos diretamente do navegador do cliente para o gateway de pagamento. Para essa extensão de pagamento, os dados do cartão não são armazenados no ambiente de produção do Commerce.

O Adobe Commerce testa regularmente o código do aplicativo principal para verificar se há vulnerabilidades de segurança. Correções de defeitos e problemas de segurança são fornecidos aos clientes. A equipe de segurança de produtos do Commerce valida os produtos do Commerce conforme as diretrizes de segurança de aplicativo do OWASP. Várias ferramentas de avaliação de vulnerabilidade de segurança e fornecedores externos são usados para testar e verificar a conformidade. Toda a base de códigos é examinada periodicamente com essas ferramentas.

Os clientes são notificados sobre correções de segurança por meio de emails diretos, notificações no aplicativo e pela Central de segurança do Commerce e devem instalar essas correções em seus aplicativo personalizados em até 30 dias após o lançamento de acordo com as diretrizes do PCI. O Commerce também fornece uma ferramenta de análise de segurança que permite aos comerciantes monitorar regularmente seus sites e receber atualizações sobre riscos de segurança conhecidos, malware e acesso não autorizado. A Verificação de segurança é um serviço gratuito e pode ser executado em qualquer versão do Adobe Commerce.

Usamos o Amazon Elastic Block Store (EBS) para o armazenamento. Todos os volumes de EBS são criptografados usando o algoritmo AES-265. Isso significa que os dados permanecem criptografados quando estão em repouso. O sistema também criptografa os dados em trânsito entre a CDN e a origem, e entre os servidores de origem. As senhas de clientes são armazenadas como hashes. Informações credenciais confidenciais, incluindo as do gateway de pagamento, são criptografadas usando o algoritmo SHA-256. O aplicativo Adobe Commerce não permite a criptografia no nível de coluna ou de linha ou a criptografia de dados que não estão em repouso ou em trânsito entre servidores.


Crie sites seguros

Todo o código executável é implantado como uma imagem Squash FS somente leitura para impedir ataques ao ambiente. E como o sistema de arquivos é somente leitura, isso reduz consideravelmente as oportunidades de injetar código PHP ou JavaScript no sistema ou modificar os arquivos do aplicativo Commerce.

A única maneira de inserir código executável no ambiente de produção do Adobe Commerce é executando-o por meio de um processo de provisionamento. Isso envolve enviar código fonte do seu repositório de origem para um repositório remoto, que inicia um processo de implantação. O acesso ao destino de implantação é controlado para que você tenha controle completo sobre quem pode acessar esse destino. Todas as implantações de código de aplicativos no ambiente de produção são controladas pelo cliente.

Entenda melhor os KPIs mais importantes para o sucesso e alinhe sua organização a eles.

Todas as atividades na nuvem do Linux, servidor de aplicativos e registros de banco de dados são armazenados nos servidores de produção e em backups. Todas as alterações de código fonte são registradas em um repositório Git. O histórico de implantação está disponível na interface de usuário do Adobe Commerce Cloud. Todos os acessos e sessões de suporte são registrados.

Conteúdo relacionado

Saiba o que a Adobe Commerce pode fazer pela sua empresa.