Modelo operativo y de seguridad de responsabilidad compartida
Adobe Commerce en la infraestructura en la nube es una oferta de plataforma como servicio (PaaS) que se basa en un modelo operativo y de seguridad de responsabilidad compartida. Estas responsabilidades se comparten entre Adobe, el comerciante, el proveedor de servicios en la nube y el proveedor de la red de entrega de contenido (CDN). Cada parte tiene la responsabilidad distinta de proteger y operar la aplicación de Adobe Commerce y el código específico del comerciante y las extensiones implementadas en la infraestructura en la nube.
Este modelo compartido permite a los comerciantes diseñar e implementar una solución altamente flexible, personalizable y escalable para satisfacer sus necesidades comerciales, al mismo tiempo que minimiza las responsabilidades y los costes operativos.
En general, el Adobe es responsable de lo siguiente:
- Desarrollo y mantenimiento del código de la aplicación principal segura
- Mantenimiento de la seguridad de la plataforma
- Garantizar que la plataforma sea compatible con SOC 2 y PCI y compatible con componentes de tecnología compatibles con PCI (por ejemplo, PHP, Redis)
- Respuesta a los problemas de seguridad relacionados con la plataforma principal
- Trabajar con proveedores de servicios en la nube y socios de CDN para resolver cualquier problema que se produzca
Los comerciantes son responsables de lo siguiente:
- Mantenimiento de la seguridad para el código personalizado y las integraciones con aplicaciones de terceros
- Garantizar el desarrollo seguro de aplicaciones
- Obtención de la certificación PCI si así lo solicita el procesador de pagos del comerciante
- Reacción y respuesta a incidentes de seguridad
responsabilidades de Adobe
El Adobe es responsable de la seguridad y disponibilidad de Adobe Commerce en el entorno de la infraestructura en la nube y del código de la solución principal. Además, el Adobe es responsable de las actividades y mecanismos necesarios para mantener la seguridad de la solución Adobe Commerce en la infraestructura en la nube, lo que incluye:
- Aplicación de parches y seguridad de nivel de servidor para aplicaciones compatibles con Adobe Commerce en infraestructuras en la nube, como almacenamiento de datos en la nube y funciones de búsqueda
- Realizar pruebas de penetración y análisis del código de infraestructura principal de Adobe Commerce en la nube
- Realización de revisiones y auditorías semestrales de las soluciones y la administración de permisos de los proveedores de servicios de nube pública de identidad y acceso (IAM) (requisito de cumplimiento de PCI)
- Realizar revisiones y auditorías semestrales de los usuarios autorizados, incluidos los empleados y contratistas del Adobe (requisito de conformidad con el PCI)
- Realización de pruebas y documentación anuales de la funcionalidad de backup y restauración
- Configuración de servidores de seguridad perimetrales y de servidor
- Conexión y configuración de Adobe Commerce en el repositorio de la infraestructura en la nube
- Definir, probar, implementar y documentar planes de recuperación ante desastres (DR) para las áreas dentro del ámbito de responsabilidad de Adobe
- Definición de reglas de firewall de aplicaciones web de plataforma global (WAF)
- Protección del sistema operativo (SO)
- Implementación y mantenimiento de la integración de soluciones de red de distribución de contenido (CDN) y administración del rendimiento de las aplicaciones (APM) con Adobe Commerce en la infraestructura en la nube
- Emisión de actualizaciones periódicas de seguridad y de otro tipo para el código de infraestructura central de Adobe Commerce en la nube (la aplicación de parches es responsabilidad del comerciante)
- Administración de soporte comercial y control de acceso de soporte (por ejemplo, Zendesk)
- Monitorización, registro y corrección de incidentes de seguridad relacionados con Adobe Commerce en la infraestructura de la plataforma de la nube
- Monitorización de las operaciones de la plataforma y asistencia las 24 horas del día y los 7 días de la semana para Adobe Commerce en comerciantes de infraestructura en la nube
- Aprovisionamiento de los entornos de producción y ensayo
- Evaluación de posibles amenazas de seguridad para las operaciones e infraestructura de la plataforma
- Escalar la computación, el almacenamiento, la red y otros recursos, tal como se describe en el contrato de nivel de servicio (SLA) con el comerciante
- Configuración de DNS (Adobe Commerce solo en la infraestructura de la plataforma de la nube)
- Prueba de la plataforma para detectar vulnerabilidades de seguridad
Adobe mantiene la certificación PCI para la infraestructura y los servicios utilizados para la solución Adobe Commerce. Los comerciantes son responsables de la conformidad de los procesos de código personalizado, sistema y red, y de la organización.
El Adobe también garantiza la disponibilidad de la infraestructura del comerciante según lo acordado en el SLA aplicable.
Responsabilidades del comerciante
El comerciante es responsable de seguir las prácticas recomendadas de seguridad para su instancia específica y personalizada de Adobe Commerce en la solución de infraestructura en la nube:
-
Añadir al repositorio los archivos de configuración de Adobe Commerce en la nube necesarios
-
La aplicación de parches de seguridad y de otro tipo a su solución personalizada de Adobe Commerce en la nube inmediatamente después de su lanzamiento por Adobe.
-
Aplicar parches de seguridad y de otro tipo a todas las extensiones y códigos personalizados, inmediatamente después de su lanzamiento por el proveedor
-
Creación, implementación y prueba de archivos VCL de barniz personalizados
-
Diseñar, asignar temas, instalar, integrar y proteger la solución de Adobe Commerce personalizada en infraestructura en la nube, incluidas todas las extensiones y el código personalizados
-
Concesión y revocación del acceso de usuario a la instancia de Adobe Commerce del comerciante en la configuración, aplicación y plataforma de la infraestructura en la nube
-
Gestión de los problemas de seguridad relacionados con la red interna del comerciante, los servidores, la infraestructura y cualquier aplicación personalizada creada en Adobe Commerce en la plataforma de infraestructura en la nube
-
Instalación de la herramienta de integración de la línea de comandos (CLI) de Adobe Commerce en la infraestructura de la nube
-
Mantener el nivel requerido de conformidad con PCI de la aplicación personalizada y otros procesos internos, según se define en las directrices de PCI-DSS
note note NOTE Para minimizar las áreas que deben revisarse, la conformidad con PCI para el comerciante se basa en las certificaciones PCI de Adobe Commerce y el proveedor de alojamiento en la nube. -
Ejecución de análisis ASV de PCI y corrección de problemas en el Adobe Commerce principal en el código y la plataforma de la infraestructura en la nube
-
Monitorización de todas las actividades de la aplicación que puedan revelar una posible amenaza para la seguridad, incluidas las pruebas de penetración, los análisis de vulnerabilidades y los registros
-
Monitorización y respuesta a incidentes de seguridad, incluidos análisis forenses, corrección y creación de informes relacionados con la solución Adobe Commerce on cloud Infrastructure del comerciante y las cuentas de usuario
-
Obtención de un proveedor de DNS y configuración y mantenimiento de registros DNS específicos del comerciante
-
Ejecución de pruebas de rendimiento en la aplicación personalizada
-
Protección del acceso a las cuentas de plataforma, al acceso a instancias y a la aplicación
-
Pruebas y control de calidad de la aplicación personalizada
-
Mantener la seguridad de cualquier sistema o red que el comerciante conecte con la aplicación de infraestructura en la nube de Adobe Commerce
Responsabilidades del proveedor Cloud Service
Adobe se basa en proveedores de servicios en la nube bien establecidos para alojar la infraestructura de servidores en la nube de Adobe Commerce en la nube. Estos proveedores son responsables de la seguridad de la red, incluido el enrutamiento, la conmutación y la seguridad de la red perimetral a través de sistemas de cortafuegos y sistemas de detección de intrusiones (IDS). Los proveedores de servicios en la nube también son responsables de la seguridad física de los centros de datos que alojan la solución Adobe Commerce en la infraestructura en la nube y de la seguridad medioambiental de los centros de datos.
Los proveedores de servicios en la nube también son responsables de:
- Mantener las certificaciones PCI DSS, SOC 2 e ISO 27001 para sus servicios en la nube
- Fijación del hipervisor
- Protección del centro de datos, incluido el acceso físico y de red
Responsabilidades del proveedor de CDN
La solución de Adobe Commerce en la nube utiliza proveedores de CDN para acelerar el tiempo de carga de página, almacenar en caché el contenido y purgar instantáneamente el contenido obsoleto. Estos proveedores también son responsables de los problemas de seguridad directamente relacionados con su CDN o que afectan a ella, y de definir y mantener las reglas WAF de CDN.
Resumen de responsabilidades de seguridad
La siguiente tabla de resumen utiliza el modelo RACI para mostrar las responsabilidades de seguridad compartidas entre el Adobe, el comerciante y el proveedor de servicios en la nube:
R — Responsable
A — Responsable
C — Consultado
I — Informado
(por ejemplo, Nginx o MySQL).
1 Solo si el repositorio de Adobe Commerce en la nube se usa como repositorio principal. El uso de otros repositorios externos es responsabilidad exclusiva del comerciante.
El Adobe 2 proporciona compatibilidad de nivel 1 para problemas con proveedores CDN.
3 El comerciante es responsable de los controles Ngnix que configure para sus aplicaciones.
4 Para PCI, los requisitos de prueba de penetración se comparten entre el Adobe y el comerciante.
Resumen de responsabilidades operativas
Las siguientes tablas de resumen aclaran las responsabilidades operativas de Adobe y Comerciantes a la hora de desarrollar, implementar, mantener y proteger Adobe Commerce en la infraestructura en la nube.
Codificación y desarrollo
Código principal de Adobe Commerce
Repositorio de códigos
Cloud Docker
CLI DE COMMERCE CLOUD
Personalizaciones
Implementaciones
Sincronización de entornos
Los comerciantes son responsables de sincronizar datos entre entornos.
Parches
Disponibilidad del sitio web
Rendimiento
Registros y monitorización
integración de aplicaciones y agentes de APM, aplicación de infraestructura,
Registro e integración
Depuración y aislamiento de problemas
Configuración de aplicaciones y servicios
aplicación de Commerce
Por ejemplo, las distintas versiones de Commerce son compatibles con versiones específicas de PHP, Redis, etc.
Programación de tareas con trabajos cron
Agente de mensajes para el marco de cola de mensajes
servicio PHP
Database services
(indexando y optimizando las tablas principales, optimizando la configuración predeterminada de sys-admin)
(configuración de tablas normalizadas frente a tablas planas, indización y optimización de tablas personalizadas y de terceros, archivado o eliminación de datos, configuración de la administración del sistema)
Servicio CDN
Servicio de caché
Servicio de búsqueda
Servicio de correo electrónico
El servicio no admite el envío de correos electrónicos de marketing.
Servicios de terceros
Extensiones de Commerce Services
Servicio de informes avanzados
Commerce Intelligence
(API, calidad y formato de datos, red comercial,
conexiones de base de datos dentro y fuera de Adobe Commerce Cloud DB, por encima de los umbrales de datos)
(configuración de la base de datos de Adobe Commerce Cloud)
Product Recommendations
Servicios de red
Optimización de imagen
Certificados SSL
Firewall de aplicaciones web (WAF)
DDOS
Vínculo privado
(incluidas las conexiones VPN)