DocumentaciónCommerceSeguridad y cumplimiento

Modelo operativo y de seguridad de responsabilidad compartida

Last update: Fri Sep 06 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Temas:

Creado para:

  • Experimentado
  • Administrador
  • Desarrollador

Adobe Commerce en la infraestructura en la nube es una oferta de plataforma como servicio (PaaS) que se basa en un modelo operativo y de seguridad de responsabilidad compartida. Estas responsabilidades se comparten entre Adobe, el comerciante, el proveedor de servicios en la nube y el proveedor de la red de entrega de contenido (CDN). Cada parte tiene la responsabilidad distinta de proteger y operar la aplicación de Adobe Commerce y el código específico del comerciante y las extensiones implementadas en la infraestructura en la nube.

Este modelo compartido permite a los comerciantes diseñar e implementar una solución altamente flexible, personalizable y escalable para satisfacer sus necesidades comerciales, al mismo tiempo que minimiza las responsabilidades y los costes operativos.

En general, el Adobe es responsable de lo siguiente:

  • Desarrollo y mantenimiento del código de la aplicación principal segura
  • Mantenimiento de la seguridad de la plataforma
  • Garantizar que la plataforma sea compatible con SOC 2 y PCI y compatible con componentes de tecnología compatibles con PCI (por ejemplo, PHP, Redis)
  • Respuesta a los problemas de seguridad relacionados con la plataforma principal
  • Trabajar con proveedores de servicios en la nube y socios de CDN para resolver cualquier problema que se produzca

Los comerciantes son responsables de lo siguiente:

  • Mantenimiento de la seguridad para el código personalizado y las integraciones con aplicaciones de terceros
  • Garantizar el desarrollo seguro de aplicaciones
  • Obtención de la certificación PCI si así lo solicita el procesador de pagos del comerciante
  • Reacción y respuesta a incidentes de seguridad

responsabilidades de Adobe

El Adobe es responsable de la seguridad y disponibilidad de Adobe Commerce en el entorno de la infraestructura en la nube y del código de la solución principal. Además, el Adobe es responsable de las actividades y mecanismos necesarios para mantener la seguridad de la solución Adobe Commerce en la infraestructura en la nube, lo que incluye:

  • Aplicación de parches y seguridad de nivel de servidor para aplicaciones compatibles con Adobe Commerce en infraestructuras en la nube, como almacenamiento de datos en la nube y funciones de búsqueda
  • Realizar pruebas de penetración y análisis del código de infraestructura principal de Adobe Commerce en la nube
  • Realización de revisiones y auditorías semestrales de las soluciones y la administración de permisos de los proveedores de servicios de nube pública de identidad y acceso (IAM) (requisito de cumplimiento de PCI)
  • Realizar revisiones y auditorías semestrales de los usuarios autorizados, incluidos los empleados y contratistas del Adobe (requisito de conformidad con el PCI)
  • Realización de pruebas y documentación anuales de la funcionalidad de backup y restauración
  • Configuración de servidores de seguridad perimetrales y de servidor
  • Conexión y configuración de Adobe Commerce en el repositorio de la infraestructura en la nube
  • Definir, probar, implementar y documentar planes de recuperación ante desastres (DR) para las áreas dentro del ámbito de responsabilidad de Adobe
  • Definición de reglas de cortafuegos de aplicaciones web de plataforma global (WAF)
  • Protección del sistema operativo (SO)
  • Implementación y mantenimiento de la integración de soluciones de red de distribución de contenido (CDN) y administración del rendimiento de las aplicaciones (APM) con Adobe Commerce en la infraestructura en la nube
  • Emisión de actualizaciones periódicas de seguridad y de otro tipo para el código de infraestructura central de Adobe Commerce en la nube (la aplicación de parches es responsabilidad del comerciante)
  • Administración de soporte comercial y control de acceso de soporte (por ejemplo, Zendesk)
  • Monitorización, registro y corrección de incidentes de seguridad relacionados con Adobe Commerce en la infraestructura de la plataforma de la nube
  • Monitorización de las operaciones de la plataforma y asistencia las 24 horas del día y los 7 días de la semana para Adobe Commerce en comerciantes de infraestructura en la nube
  • Aprovisionamiento de los entornos de producción y ensayo
  • Evaluación de posibles amenazas de seguridad para las operaciones e infraestructura de la plataforma
  • Escalar la computación, el almacenamiento, la cuadrícula y otros recursos, tal como se describe en el acuerdo de nivel de servicio (SLA) con el comerciante
  • Configuración de DNS (Adobe Commerce solo en la infraestructura de la plataforma de la nube)
  • Prueba de la plataforma para detectar vulnerabilidades de seguridad

Adobe mantiene la certificación PCI para la infraestructura y los servicios utilizados para la solución Adobe Commerce. Los comerciantes son responsables de la conformidad de los procesos de código personalizado, sistema y red, y de la organización.

El Adobe también garantiza la disponibilidad de la infraestructura del comerciante según lo acordado en la SLA aplicable.

Responsabilidades del comerciante

El comerciante es responsable de seguir las prácticas recomendadas de seguridad para su instancia específica y personalizada de Adobe Commerce en la solución de infraestructura en la nube:

  • Añadir al repositorio los archivos de configuración de Adobe Commerce en la nube necesarios

  • La aplicación de parches de seguridad y de otro tipo a su solución personalizada de Adobe Commerce en la nube inmediatamente después de su lanzamiento por Adobe.

  • Aplicar parches de seguridad y de otro tipo a todas las extensiones y códigos personalizados, inmediatamente después de su lanzamiento por el proveedor

  • Creación, implementación y prueba de archivos VCL de barniz personalizados

  • Diseñar, asignar temas, instalar, integrar y proteger la solución de Adobe Commerce personalizada en infraestructura en la nube, incluidas todas las extensiones y el código personalizados

  • Concesión y revocación del acceso de usuario a la instancia de Adobe Commerce del comerciante en la configuración, aplicación y plataforma de la infraestructura en la nube

  • Gestión de los problemas de seguridad relacionados con la red interna del comerciante, los servidores, la infraestructura y cualquier aplicación personalizada creada en Adobe Commerce en la plataforma de infraestructura en la nube

  • Instalación de Adobe Systems Commerce en infraestructura en la nube herramienta de integración de línea de comandos (CLI)

  • Mantener el nivel requerido de cumplimiento de PCI del aplicación personalizado y otros procesos internos, según lo definido por las directrices de PCI-DSS

    note note
    NOTE
    Para minimizar las áreas que deben revisarse, PCI cumplimiento de la comerciante se basa en las certificaciones PCI de Adobe Systems Commerce y del proveedor de alojamiento en la nube.

  • Ejecución de análisis ASV de PCI y corrección de problemas en el Adobe Commerce principal en el código y la plataforma de la infraestructura en la nube

  • Monitorización de todas las actividades de la aplicación que puedan revelar una posible amenaza para la seguridad, incluidas las pruebas de penetración, los análisis de vulnerabilidades y los registros

  • Monitorización y respuesta a incidentes de seguridad, incluidos análisis forenses, corrección y creación de informes relacionados con la solución Adobe Commerce on cloud Infrastructure del comerciante y las cuentas de usuario

  • Obtención de un proveedor de DNS y configuración y mantenimiento de registros DNS específicos del comerciante

  • Ejecución de pruebas de rendimiento en la aplicación personalizada

  • Protección del acceso a las cuentas de plataforma, al acceso a instancias y a la aplicación

  • Pruebas y control de calidad de la aplicación personalizada

  • Mantener la seguridad de cualquier sistema o red que el comerciante conecte con la aplicación de infraestructura en la nube de Adobe Commerce

Responsabilidades del proveedor Cloud Service

Adobe se basa en proveedores de servicios en la nube bien establecidos para alojar la infraestructura de servidores en la nube de Adobe Commerce en la nube. Estos proveedores son responsables de la seguridad de la red, incluido el enrutamiento, la conmutación y la seguridad de la red perimetral a través de sistemas de cortafuegos y sistemas de detección de intrusiones (IDS). Los proveedores de servicios en la nube también son responsables de la seguridad física de los centros de datos que alojan la solución Adobe Commerce en la infraestructura en la nube y de la seguridad medioambiental de los centros de datos.

Los proveedores de servicios en la nube también son responsables de:

  • Mantener las certificaciones PCI DSS, SOC 2 e ISO 27001 para sus servicios en la nube
  • Fijación del hipervisor
  • Protección del centro de datos, incluido el acceso físico y de red

Responsabilidades del proveedor de CDN

La solución de Adobe Commerce en la nube utiliza proveedores de CDN para acelerar el tiempo de carga de página, almacenar en caché el contenido y purgar instantáneamente el contenido obsoleto. Estos proveedores también son responsables de los problemas de seguridad directamente relacionados con su CDN o que afectan a ella, y de definir y mantener las reglas de WAF de CDN.

Resumen de responsabilidades de seguridad

recommendation-more-help

La siguiente tabla de resumen utiliza el modelo RACI para mostrar las responsabilidades de seguridad compartidas entre el Adobe, el comerciante y el proveedor de servicios en la nube:

R — Responsable
A — Responsable
C — Consultado
I — Informado

style
shade-box
Tarea
Adobe
Comerciante
Proveedor de servicios en la nube
Proveedor de CDN
Aplicación de Adobe Commerce en parches de infraestructura en la nube
C
R
Aplicando parches a los servicios compatibles
(por ejemplo, Nginx o MySQL).
R
I
Definición de reglas WAF de origen
R
Definición de reglas de CDN WAF
A
R
Implementación de reglas de Platform WAF
R
I
Implementación de reglas WAF de CDN
A
I
R
Corrección de errores principales en Adobe Commerce en el código de infraestructura de la nube
R
I
Lanzamiento de Adobe Commerce en parches de infraestructura en la nube
R
I
Escalado (computación y almacenamiento)
R
I
Escala (PaaS y cuadrícula)
R
Garantizar el acceso al código fuente, incluido repo.magento.com
R
I
Instalación de Adobe Systems Commerce en infraestructura en la nube herramienta CLI
R
Agregar Adobe Systems Commerce en infraestructura en la nube archivos de configuración a repositorio
C
R
Creación de un proyecto para el comerciante (IU de incorporación)
R
I
Conexión de repositorios a Adobe Commerce en la infraestructura de la nube
R
I
Configurando el repositorio de origen1
R
I
Creación de un usuario para el administrador de versiones (IU de incorporación)
R
Implementación del código en producción
R
Implementar el código en el ensayo
R
Integración de aplicaciones y extensiones externas
R
Instalación de extensiones
R
Personalización de Adobe Commerce en la infraestructura en la nube
R
Prueba del rendimiento de Adobe Commerce personalizado en la infraestructura en la nube
R
Prueba de la aplicación personalizada
R
Temática y diseño de la aplicación personalizada
R
Creación, implementación y prueba de VCL de barniz personalizados
C
R
Configuración de DNS (solo infraestructura de plataforma)
R
C
Desarrollo de la extensión de CDN y corrección de errores
A
C
R
Incorporación de CDN
R
I
Admitiendo CDN2
R
I
C
Configuración de aplicaciones de infraestructura y APM de New Relic
R
Instalación de aplicaciones de infraestructura y APM de New Relic
R
I
Compatibilidad con aplicaciones de infraestructura y APM de New Relic
R
C
Configurando Nginx3
R
R
Obtención de un proveedor de DNS (solo Pro)
C
R
Endurecimiento del sistema operativo
R
Aprovisionamiento de los entornos de producción y ensayo
R
I
Acceder a Zendesk para Adobe Commerce en la infraestructura en la nube
R
C
Resolviendo problemas de seguridad del comerciante
C
R
C
Solución de problemas de seguridad de Adobe Commerce en la nube
R
Solución de problemas de seguridad de CDN
A
R
Resolver problemas de seguridad de APM
A
Asistencia al Adobe en la investigación de seguridad (software)
R
C
Asistencia al Adobe en la investigación de seguridad (análisis/auditorías)
R
C
Realización de exploraciones ASV PCI
R
Remediando Adobe Commerce en exploraciones PCI de infraestructura en la nube4
R
R
Corrección de exploraciones PCI PaaS
R
Administración de secretos de plataforma y sistema operativo
R
Administración de Adobe Commerce en claves de cifrado de infraestructura en la nube
R
Análisis de Adobe Commerce personalizado en instancias de infraestructura en la nube
R
Monitorización de registros de seguridad
R
Administración de IAM y permisos para Adobe Commerce en la infraestructura en la nube
R
Administración de los controles de acceso de soporte (Teleport)
R
Control del soporte y acceso del comerciante
R
I
Pruebas anuales y documentación del plan de recuperación ante desastres de Adobe y backup y restauración
R
Pruebas y documentación anuales del plan de recuperación ante desastres
R

1 Solo si el repositorio de Adobe Commerce en la nube se usa como repositorio principal. El uso de otros repositorios externos es responsabilidad exclusiva del comerciante.

El Adobe 2 proporciona compatibilidad de nivel 1 para problemas con proveedores CDN.

3 El comerciante es responsable de los controles Ngnix que configure para sus aplicaciones.

4 Para PCI, los requisitos de prueba de penetración se comparten entre el Adobe y el comerciante.

Resumen de responsabilidades operativas

Las siguientes tablas resumen aclaran las responsabilidades operativas de Adobe Systems y comerciantes al desarrollar, implementar, mantener y asegurar Adobe Systems Commerce en infraestructura en la nube.

style
shade-box

Codificación y desarrollo

Código de Core Adobe Systems Commerce

Adobe
Comerciante
Publicación de actualizaciones y parches en Adobe Commerce Core
R
Disponibilidad y aplicación de parches al sistema de archivos
R
Publicación de actualizaciones y parches en ECE-Tools
R
Calidad de aplicación principal de Adobe Commerce
R

Repositorio de códigos

Adobe
Comerciante
Disponibilidad de repo.magento.com
R
Disponibilidad de Adobe Commerce en el servidor Git de Cloud
R
Otros repositorios de código seleccionados por el comerciante (GitHub, Bitbucket, servidor Git alojado)
R

Cloud Docker

Adobe
Comerciante
Hacer que los contenedores de Cloud Docker estén disponibles para descargar
R
Implementación y configuración de Cloud Docker (opcional)
R
Cualquier otra configuración de desarrollo local
R

CLI DE COMMERCE CLOUD

Adobe
Comerciante
Calidad y actualización continuas de las herramientas ECE
R
Instalación de la última versión de herramientas ECE
R

Personalizaciones

Adobe
Comerciante
Módulos y código personalizados de Adobe Commerce
R
Extensiones
R
Integraciones personalizadas
R

Implementaciones

Adobe
Comerciante
Disponibilidad de la infraestructura para generar e implementar el código
R
Calidad continua de la canalización de configuración de creación e implementación de infraestructura
R
Configuración de la compilación y la implementación de contenido estático
R
Creación y ejecución de un proceso de gobernanza de implementación: criterios y administración de cambios
R
Implementación en el entorno de ensayo
R
Implementación en el entorno de producción
R
Reversiones de producción
R

Sincronización de entornos

Los comerciantes son responsables de sincronizar datos entre entornos.

Parches

Adobe
Comerciante
Instalación de actualizaciones y parches en ECE-Tools
R
Instalación de actualizaciones y parches en Adobe Commerce Core
R

Disponibilidad del sitio web

Adobe
Comerciante
Aplicación de Adobe Commerce personalizada y sitios web asociados
R

Rendimiento

Adobe
Comerciante
Optimización y ajuste de aplicaciones principales
R
Optimización y ajuste del código personalizado
R
Código Adobe Commerce personalizado
R
Pruebas de carga
R
Pruebas de rendimiento
R

Registros y monitorización

Adobe
Comerciante
Rotación de registros
R
Aplicación de Adobe Commerce personalizada
R
Disponibilidad de los servicios de New Relic:
integración de aplicaciones y agentes de APM, aplicación de infraestructura,
Registro e integración
R
Configuración de alertas de New Relic
R
Implementación del agente de New Relic en servidores PaaS
R

Depuración y aislamiento de problemas

Adobe
Comerciante
Depuración y aislamiento de problemas
R
R
Compatibilidad oportuna con la depuración y el proceso de aislamiento de problemas
R

Configuración de aplicaciones y servicios

aplicación de Commerce

Adobe
Comerciante
Configuración de aplicación
R
Adición de dominios a la aplicación de Adobe Commerce (URL base)
R
Configuración de PaaS para utilizar versiones de servicios compatibles con la versión implementada de Adobe Commerce

Por ejemplo, las distintas versiones de Commerce son compatibles con versiones específicas de PHP, Redis, etc.
R

Programación de tareas con trabajos cron

Adobe
Comerciante
Disponibilidad de trabajos cron predeterminados
R
Calidad continua de los trabajos personalizados de cron
R

Agente de mensajes para el marco de cola de mensajes

Adobe
Comerciante
Disponibilidad del servicio RabbitMQ
R
Configuración de los ajustes predeterminados de RabbitMQ
R
Calidad y parches continuos de RabbitMQ
R
Envíe una solicitud de servicio para instalar una versión de RabbitMQ compatible con la versión de Adobe Commerce instalada
R

servicio PHP

Adobe
Comerciante
Disponibilidad de PHP
R
Configuración de la configuración predeterminada de PHP
R
Configuración de ajustes personalizados de PHP
R
Configuración del archivo YAML para alinear las versiones de PHP compatibles con la versión de Adobe Commerce instalada
R

Database services

Adobe
Comerciante
Disponibilidad de los servicios de Galera y MariaDB
R
Mantenimiento continuo de la configuración predeterminada de la base de datos

(indexando y optimizando las tablas principales, optimizando la configuración predeterminada de sys-admin)
R
Mantenimiento continuo de los datos del comerciante y de la configuración modificada

(configuración de tablas normalizadas frente a tablas planas, indización y optimización de tablas personalizadas y de terceros, archivado o eliminación de datos, configuración de la administración del sistema)
R
Configuración de Galera y MySQL
R
Calidad y parches continuos de Galera y MariaDB
R
Optimización de la infraestructura en curso
R
Identificación y corrección de consultas lentas
R
Envíe una solicitud de servicio para instalar una versión de MariaDB compatible con la versión de Adobe Commerce instalada
R
Establecer y mantener políticas de retención de datos específicas del comerciante (las políticas de retención de datos del Adobe se definen en el acuerdo del comerciante)
R

Servicio CDN

Adobe
Comerciante
Disponibilidad y calidad de CDN
R
Configuración del servicio rápida (mediante extensión/API)
R
Calidad de extensión de Fastly
R
Fragmentos VCL de integración rápida (incluidos en la extensión Fastly) Calidad
R
Optimización de caché de página
R
Adición de dominios a servicios, a CDN y a infraestructura
R
Fragmentos de VCL personalizados
R
Reglas de WAF y WAF
R

Servicio de caché

Adobe
Comerciante
Disponibilidad del servicio Redis
R
Configuración de las opciones predeterminadas de Redis
R
Calidad continua y parches de Redis
R
Envíe una solicitud de servicio para instalar una versión de Redis compatible con la versión de Adobe Commerce instalada
R

Servicio de búsqueda

Adobe
Comerciante
Disponibilidad del Elasticsearch
R
Configuración de los ajustes de Elasticsearch predeterminados
R
Envíe una solicitud de servicio para instalar una versión de Elasticsearch compatible con la versión de Adobe Commerce instalada
R

Servicio de correo electrónico

Adobe
Comerciante
Disponibilidad del servicio de correo electrónico SendGrid y su integración
R
Monitorización del uso de SendGrid del comerciante con respecto a los límites
R
El comerciante es responsable de usar el servicio solamente para correos electrónicos transaccionales salientes
El servicio no admite el envío de correos electrónicos de marketing.
R
Configuración de servicios de correo electrónico opcionales de terceros
R

Servicios de terceros

Adobe
Comerciante
Disponibilidad y calidad de servicios de terceros
R

Extensiones de Commerce Services

Servicio de informes avanzados

Adobe
Comerciante
Disponibilidad del servicio de informes avanzados
R
La configuración de los informes avanzados cumple con los términos y condiciones de los informes avanzados
R

Commerce Intelligence

Adobe
Comerciante
Disponibilidad de los servicios de Business Intelligence de Adobe Commerce
R
Procesos de sincronización de datos MBI
R
Detectando problemas de sincronización de MBI
R
Configuración de la sincronización de datos de MBI para Adobe Commerce Cloud Pro, Starter, On-Premies o non-Adobe Commerce
(API, calidad y formato de datos, red comercial,
conexiones de base de datos dentro y fuera de Adobe Commerce Cloud DB, por encima de los umbrales de datos)
R
Configuración de la sincronización de datos de MBI para Adobe Commerce Cloud Pro
(configuración de la base de datos de Adobe Commerce Cloud)
R

Product Recommendations

Adobe
Comerciante
Disponibilidad del servicio Product Recommendations
R

Servicios de red

Optimización de imagen

Adobe
Comerciante
Disponibilidad y calidad de la optimización de imágenes
R
Configuración de la optimización de imágenes
R

Certificados SSL

Adobe
Comerciante
Certificado dedicado SSL: caducidad
R
Aprovisionamiento de certificados SSL
R
Compras y mantenimiento de certificados SSL específicos/EV (distintos de los valores por defecto proporcionados) y proporcionar al Adobe
R

Firewall de aplicaciones web (WAF)

Adobe
Comerciante
Disponibilidad y configuración de WAF
R
Direccionamiento de falsos positivos para reglas de WAF
R
Falsos positivos en la regla WAF de informes
R
Ajuste de reglas de WAF (NO COMPATIBLE)
Registros de WAF/CDN
R

DDOS

Adobe
Comerciante
Bloqueo proactivo de IP
R
Protección de bots
R
Detección de DDOS: capa 3-4
R
Detección de DDOS: capa 7
R
Respuesta de DDOS
R

Vínculo privado

Adobe
Comerciante
Configuración y mantenimiento de conexiones PrivateLink (si se utilizan) con un VPC propiedad del Adobe
R
Configuración y mantenimiento de conexiones de PrivateLink (si se utilizan) con un VPC de propiedad del comerciante
R
Disponibilidad de SSH (vínculo no privado)
R
Configuración de PrivateLink entrante al extremo del servicio Adobe Commerce Cloud
R
Aceptación de PrivateLink entrante al extremo del servicio Adobe Commerce Cloud
R
Configuración de PrivateLink entrante al extremo del servicio VPC del comerciante
R
Aceptación de PrivateLink entrante al extremo del servicio VPC del comerciante
R
Configuración de integraciones de PrivateLink (extremo a cuenta)
R
Configuración de VPC propiedad del comerciante para el extremo PrivateLink

(incluidas las conexiones VPN)
R

Sistema e infraestructura

Servidor de aplicaciones

Adobe
Comerciante
Disponibilidad de Nginx
R
Configuración de Nginx
R
Calidad continua y parches de Nginx
R

Sistema operativo

Adobe
Comerciante
Disponibilidad del sistema operativo
R
Calidad continua y parches del sistema operativo
R

Copia de seguridad, alta disponibilidad y failover

Adobe
Comerciante
Disponibilidad de la instantánea y proceso de copia de seguridad
R
Programación de copias de seguridad para entornos de ensayo y producción de Cloud Pro
R
Programación de copias de seguridad para entornos de integración de Cloud Starter y Pro
R
Disponibilidad de alta disponibilidad/failover
R

Servidores y escalado en la nube

Adobe
Comerciante
Disponibilidad de recursos de CPU, centro de datos, espacio en disco
R
Disponibilidad y ejecución de capacidad de sobretensión o de ampliación de emergencia
R
Solicitando capacidad de sobretensión
R
Monitorización del uso de vCPU con respecto a los límites
R
6ad2ec8d-4e70-43dd-8640-a894018d6404