DocumentationCommerceSécurité et conformité

Sécurité de la responsabilité partagée et modèle opérationnel

Last update: Fri Sep 06 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Rubriques :

Créé pour :

  • Expérimenté
  • Administration
  • Développeur

Adobe Commerce sur l’infrastructure cloud est une offre de plateforme en tant que service (PaaS) qui repose sur une sécurité de responsabilité partagée et un modèle opérationnel. Ces responsabilités sont partagées entre l’Adobe, le commerçant, le fournisseur de services cloud et le fournisseur de réseau de diffusion de contenu (CDN). Chaque partie a une responsabilité distincte pour la sécurisation et l’exploitation de l’application Adobe Commerce ainsi que du code et des extensions spécifiques au marché déployés sur l’infrastructure cloud.

Ce modèle partagé permet aux commerçants de concevoir et de mettre en oeuvre une solution hautement flexible, personnalisable et évolutive pour répondre aux besoins de leur entreprise tout en réduisant au minimum les responsabilités et les coûts opérationnels.

En règle générale, l’Adobe est responsable des éléments suivants :

  • Développement et maintenance d’un code d’application principal sécurisé
  • Maintenir la sécurité de la plateforme
  • S’assurer que la plate-forme est conforme à la norme SOC 2 et PCI et compatible avec les composants de technologie compatibles PCI (par exemple, PHP, Redis)
  • Réagir aux problèmes de sécurité de la plateforme principale
  • Utilisation des fournisseurs de services cloud et des partenaires CDN pour résoudre les problèmes qui se produisent

Les commerçants sont responsables des éléments suivants :

  • Maintenance de la sécurité pour le code personnalisé et les intégrations avec des applications tierces
  • Assurer le développement sécurisé des applications
  • Obtention de la certification PCI si le responsable du paiement du site commercial le demande
  • Réagir et réagir aux incidents de sécurité

Responsabilités d’Adobe

Adobe est responsable de la sécurité et de la disponibilité d’Adobe Commerce dans l’environnement d’infrastructure cloud et du code de la solution principale. En outre, Adobe est responsable des activités et mécanismes nécessaires pour maintenir la sécurité d’Adobe Commerce sur la solution d’infrastructure cloud, notamment :

  • Application de correctifs et de sécurité au niveau du serveur pour les applications prises en charge par Adobe Commerce sur l’infrastructure cloud, telles que le stockage des données dans le cloud et les fonctionnalités de recherche
  • Test de pénétration et analyse du code d’infrastructure cloud de base d’Adobe Commerce
  • Réaliser des révisions et des audits semestriels des solutions de gestion des identités et des accès des fournisseurs de services cloud publics (IAM) et de la gestion des autorisations (exigences de conformité PCI)
  • Réaliser des révisions et des audits semestriels des utilisateurs autorisés, y compris les employés et les entrepreneurs Adobes (exigence de conformité PCI)
  • Exécution de tests annuels et de documentation sur les fonctionnalités de sauvegarde et de restauration
  • Configuration des pare-feu du serveur et du périmètre
  • Connexion et configuration d’Adobe Commerce dans le référentiel d’infrastructure cloud
  • Définir, tester, mettre en oeuvre et documenter les plans de reprise après sinistre pour les zones relevant de la responsabilité de l'Adobe
  • Définition des règles de pare-feu d’application web de plateforme globale (WAF)
  • Renforcement du système d’exploitation
  • Mise en oeuvre et maintenance de l’intégration des solutions CDN (Content Distribution Network) et de gestion des performances des applications (APM) avec Adobe Commerce sur l’infrastructure cloud
  • Emission de mises à jour de sécurité périodiques et autres pour le code principal d’Adobe Commerce sur l’infrastructure cloud (l’application de correctifs est de la responsabilité du commerçant)
  • Gestion de l’assistance et des contrôles d’accès du commerce (Zendesk, par exemple)
  • Surveillance, journalisation et correction des incidents de sécurité concernant l’infrastructure de la plateforme d’infrastructure cloud d’Adobe Commerce
  • Surveillance des opérations de la plateforme et prise en charge 24/7 d’Adobe Commerce sur les marchands d’infrastructure cloud
  • Mise en service des environnements de production et d’évaluation
  • Évaluation des menaces potentielles pour la sécurité des opérations et de l’infrastructure de la plateforme
  • Mise à l’échelle de l’informatique, du stockage, de la grille et des autres ressources, comme décrit dans l’accord de niveau de service (SLA) avec le marchand
  • Configuration du DNS (Adobe Commerce sur l’infrastructure de la plateforme d’infrastructure cloud uniquement)
  • Test de la plateforme pour détecter des failles de sécurité

Adobe gère la certification PCI pour l’infrastructure et les services utilisés pour la solution Adobe Commerce. Les commerçants sont responsables de la conformité du code personnalisé, des processus système et réseau, ainsi que de l’organisation.

L’Adobe assure également la disponibilité de l’infrastructure du marchand, comme convenu dans le SLA applicable.

Responsabilités du marché

Le marchand est responsable des bonnes pratiques de sécurité suivantes pour son instance personnalisée spécifique d’Adobe Commerce sur la solution d’infrastructure cloud :

  • Ajout des fichiers de configuration d’Adobe Commerce nécessaires sur l’infrastructure cloud au référentiel

  • Application de correctifs de sécurité et autres à leur Adobe Commerce personnalisé sur la solution d’infrastructure cloud immédiatement après leur publication par Adobe

  • Application de correctifs de sécurité et autres à toutes les extensions et codes personnalisés, immédiatement après leur publication par le fournisseur

  • Création, déploiement et test de fichiers VCL Varnish personnalisés

  • Conception, mise en page, installation, intégration et sécurisation d’Adobe Commerce personnalisé sur la solution d’infrastructure cloud, y compris toutes les extensions personnalisées et le code

  • Octroi et révocation de l’accès de l’utilisateur à l’instance du commerçant d’Adobe Commerce sur la configuration, l’application et la plateforme de l’infrastructure cloud

  • Gestion des problèmes de sécurité liés au réseau interne, aux serveurs, à l’infrastructure et à toute application personnalisée du site commercial créée sur Adobe Commerce sur la plateforme d’infrastructure cloud

  • Installation de l’outil d’intégration de ligne de commande d’Adobe Commerce on Cloud Infrastructure

  • Maintenir le niveau requis de conformité PCI de l’application personnalisée et d’autres processus internes, tel que défini par les directives PCI-DSS

    note note
    NOTE
    Afin de minimiser les zones à examiner, la conformité PCI du commerçant est basée sur les certifications PCI d’Adobe Commerce et du fournisseur d’hébergement dans le cloud.

  • Exécution d’analyses ASV PCI et résolution de problèmes dans le noyau d’Adobe Commerce sur le code et la plateforme d’infrastructure cloud

  • Surveillance de toutes les activités d’application susceptibles de révéler une menace potentielle pour la sécurité, y compris les tests de pénétration, les analyses des vulnérabilités et les journaux

  • Surveillance des incidents de sécurité et intervention en cas d’incident, y compris la médecine légale, la correction et la création de rapports liés à Adobe Commerce du commerçant sur la solution d’infrastructure cloud et les comptes d’utilisateurs

  • Obtention d’un fournisseur DNS et configuration et maintenance de tout enregistrement DNS spécifique au détaillant

  • Exécution de tests de performance sur l’application personnalisée

  • Sécurisation de l’accès aux comptes de la plateforme, à l’accès aux instances et aux applications

  • Test et contrôle qualité de l’application personnalisée

  • Maintien de la sécurité de tous les systèmes ou réseaux que le commerçant se connecte à Adobe Commerce sur l’application d’infrastructure cloud

Responsabilités du fournisseur Cloud Service

Adobe s’appuie sur des fournisseurs de services cloud bien établis pour héberger l’infrastructure de serveur cloud pour Adobe Commerce sur l’infrastructure cloud. Ces fournisseurs sont chargés de la sécurité du réseau, notamment le routage, le changement et la sécurité du réseau de périmètre par le biais de systèmes de pare-feu et de systèmes de détection d’intrusion (IDS). Les fournisseurs de services cloud sont également responsables de la sécurité physique des centres de données qui hébergent Adobe Commerce sur la solution d’infrastructure cloud et de la sécurité environnementale des centres de données.

Les fournisseurs de services cloud sont également responsables des éléments suivants :

  • Maintenance des certifications PCI DSS, SOC 2 et ISO 27001 pour leurs services cloud
  • Sécurisation de l’hyperviseur
  • Sécurisation du centre de données, y compris l’accès physique et réseau

Responsabilités du fournisseur CDN

La solution d’infrastructure cloud d’Adobe Commerce utilise les fournisseurs CDN pour accélérer le temps de chargement des pages, mettre en cache le contenu et purger instantanément le contenu obsolète. Ces fournisseurs sont également responsables des problèmes de sécurité directement liés à leur réseau de diffusion de contenu ou affectant celui-ci, ainsi que de la définition et de la maintenance des règles WAF de réseau de diffusion de contenu.

Résumé des responsabilités de sécurité

recommendation-more-help

Le tableau récapitulatif suivant utilise le modèle RACI pour afficher les responsabilités de sécurité partagées entre l’Adobe, le commerçant et le fournisseur de services Cloud :

R — Responsable
A — Approbateur
C — Consulté
I — Informé

style
shade-box
Tâche
Adobe
Marchand
Fournisseur de services cloud
fournisseur CDN
Application d’Adobe Commerce aux correctifs d’infrastructure cloud
C
R
Application de correctifs aux services de prise en charge
(par exemple, Nginx ou MySQL).
R
I
Définition des règles WAF d’origine
R
Définition des règles WAF CDN
A
R
Déploiement des règles WAF de la plateforme
R
I
Déploiement de règles CDN WAF
A
I
R
Correction de bogues principaux dans Adobe Commerce sur le code d’infrastructure cloud
R
I
Mise à jour d’Adobe Commerce sur les correctifs d’infrastructure cloud
R
I
Mise à l’échelle (calcul et stockage)
R
I
Mise à l’échelle (PaaS et grille)
R
Garantir l’accès au code source, y compris repo.magento.com
R
I
Installation d’Adobe Commerce sur l’outil d’interface de ligne de commande de l’infrastructure cloud
R
Ajout de fichiers de configuration d’infrastructure cloud à Adobe Commerce dans le référentiel
C
R
Création d’un projet pour le marchand (interface utilisateur d’intégration)
R
I
Connexion de référentiels à Adobe Commerce sur l’infrastructure cloud
R
I
Configuration du référentiel source1
R
I
Création d’un utilisateur pour le gestionnaire de versions (interface utilisateur d’intégration)
R
Déploiement du code en production
R
Déploiement du code dans l’évaluation
R
Intégration d’applications et d’extensions externes
R
Installation d’extensions
R
Personnalisation d’Adobe Commerce sur l’infrastructure cloud
R
Test des performances d’Adobe Commerce personnalisé sur l’infrastructure cloud
R
Test de l’application personnalisée
R
Thème et conception d’une application personnalisée
R
Création, déploiement et test de VCL Varnish personnalisées
C
R
Configuration du DNS (infrastructure de plateforme uniquement)
R
C
Développement de l’extension CDN et résolution de bogues
A
C
R
Intégration au réseau CDN
R
I
Support du CDN2
R
I
C
Configuration des applications New Relic APM et d’infrastructure
R
Installation des applications New Relic APM et d’infrastructure
R
I
Prise en charge des applications New Relic APM et d’infrastructure
R
C
Configuration de Nginx3
R
R
Obtention d’un fournisseur DNS (pour uniquement)
C
R
Renforcement du système d’exploitation
R
Mise en service des environnements de production et d’évaluation
R
I
Accès à Zendesk pour Adobe Commerce sur l’infrastructure cloud
R
C
Résolution des problèmes de sécurité du commerce
C
R
C
Résolution des problèmes de sécurité de l’infrastructure cloud d’Adobe Commerce
R
Résolution des problèmes de sécurité du réseau CDN
A
R
Résolution des problèmes de sécurité d’APM
A
Aider l'Adobe à la recherche sur la sécurité (logiciel)
R
C
Aider l'Adobe à la recherche sur la sécurité (analyses/audits)
R
C
Exécution de scanners PCI ASV
R
Correction d’Adobe Commerce sur les scans PCI d’infrastructure cloud4
R
R
Correction des scans PCI PaaS
R
Gestion des secrets de système d’exploitation et de plateforme
R
Gestion d’Adobe Commerce sur les clés de chiffrement de l’infrastructure cloud
R
Analyse d’Adobe Commerce personnalisé sur les instances d’infrastructure cloud
R
Surveillance des logs de sécurité
R
Gestion de l’IAM et des autorisations pour Adobe Commerce sur l’infrastructure cloud
R
Gestion des contrôles d'accès de l'assistance (Teleport)
R
Contrôle de l’assistance et de l’accès du commerce
R
I
Tests annuels et documentation du plan de sauvegarde et de restauration de l’Adobe DR
R
Test annuel et documentation du plan de reprise sur sinistre
R

1 Uniquement si le référentiel Adobe Commerce sur l’infrastructure cloud est utilisé comme référentiel principal. L'utilisation d'autres référentiels externes est la seule responsabilité du marchand.

L’Adobe 2 fournit une prise en charge de niveau 1 pour les problèmes avec les fournisseurs de réseau de diffusion de contenu.

3 Le commerçant est responsable de tous les contrôles Ngnix qu’il configure pour ses applications.

4 Pour PCI, les exigences de test de pénétration sont partagées entre l’Adobe et le commerçant.

Résumé des responsabilités opérationnelles

Les tableaux de synthèse ci-après clarifient les responsabilités opérationnelles d’Adobe et de Merchants lors du développement, du déploiement, de la maintenance et de la sécurisation d’Adobe Commerce sur l’infrastructure cloud.

style
shade-box

Codage et développement

Code Adobe Commerce principal

Adobe
Marchand
Publication de mises à jour et de correctifs sur Adobe Commerce core
R
Disponibilité et correction du système de fichiers
R
Publication de mises à jour et de correctifs dans les outils de la CEE
R
Qualité de l’application Adobe Commerce principale
R

Référentiel de code

Adobe
Marchand
Disponibilité de repo.magento.com
R
Disponibilité d’Adobe Commerce sur le serveur Cloud Git
R
Autres référentiels de code sélectionnés par le marché (GitHub, Bitbucket, serveur Git hébergé)
R

Cloud Docker

Adobe
Marchand
Mise à disposition des conteneurs Cloud Docker pour téléchargement
R
Déploiement et configuration de Cloud Docker (facultatif)
R
Toute autre configuration de développement local
R

CLI COMMERCE CLOUD

Adobe
Marchand
Qualité et mise à jour continues des outils de la CEE
R
Installation de la dernière version des outils CEE
R

Personnalisations

Adobe
Marchand
Modules et code Adobe Commerce personnalisés
R
Extensions
R
Intégrations personnalisés
R

Déploiements

Adobe
Marchand
Disponibilité de l’infrastructure pour créer et déployer le code
R
Qualité continue du pipeline de configuration de création et de déploiement de l’infrastructure
R
Configuration de la création et du déploiement de contenu statique
R
Création et exécution du processus de gouvernance du déploiement : critères et gestion du changement
R
Déploiement dans l’environnement d’évaluation
R
Déploiement dans l’environnement de production
R
Restaurations de production
R

Synchronisation des environnements

Les commerçants sont chargés de synchroniser les données entre les environnements.

Patching

Adobe
Marchand
Installation de mises à jour et de correctifs dans les outils de la CEE
R
Installation de mises à jour et de correctifs sur Adobe Commerce core
R

Disponibilité du site web

Adobe
Marchand
Application Adobe Commerce personnalisée et sites Web associés
R

Performances

Adobe
Marchand
Optimisation et optimisation des applications principales
R
Optimisation et réglage du code personnalisé
R
Code Adobe Commerce personnalisé
R
Test de charge
R
Test de performance
R

Journaux et surveillance

Adobe
Marchand
Rotation des journaux
R
Application Adobe Commerce personnalisée
R
Disponibilité des services New Relic :
intégration de l’application et de l’agent APM, application d’infrastructure,
Journalisation et intégration
R
Configuration des alertes New Relic
R
Déploiement de l’agent New Relic sur les serveurs PaaS
R

Débogage et isolation des problèmes

Adobe
Marchand
Débogage et isolation des problèmes
R
R
Prise en charge rapide du processus de débogage et d’isolation des problèmes
R

Configuration des applications et des services

application Commerce

Adobe
Marchand
Configuration des applications
R
Ajout de domaines à l’application Adobe Commerce (URL de base)
R
Configuration de PaaS pour utiliser les versions de services prises en charge par la version déployée d’Adobe Commerce

Par exemple, différentes versions de Commerce sont compatibles avec des versions spécifiques de PHP, Redis, etc.
R

Planification des tâches avec des tâches cron

Adobe
Marchand
Disponibilité des tâches cron par défaut
R
Qualité continue des tâches cron personnalisées
R

courtier de messages pour la structure de la file d’attente des messages

Adobe
Marchand
Disponibilité du service RabbitMQ
R
Configuration des paramètres RabbitMQ par défaut
R
Qualité et correction continues de RabbitMQ
R
Soumettre une demande de service pour installer une version RabbitMQ compatible avec la version Adobe Commerce installée
R

service PHP

Adobe
Marchand
Disponibilité de PHP
R
Configuration des paramètres PHP par défaut
R
Configuration des paramètres PHP personnalisés
R
Configuration du fichier YAML pour aligner les versions PHP compatibles avec la version Adobe Commerce installée
R

Services de base de données

Adobe
Marchand
Disponibilité des services Galera et MariaDB
R
Maintenance en cours des paramètres par défaut de la base de données

(indexation et optimisation des tables principales, optimisation des paramètres par défaut de sys-admin)
R
Maintenance en cours des données commerciales et des paramètres modifiés

(configuration des tables normalisées ou plates, indexation et optimisation des tables tierces et personnalisées, archivage ou suppression des données, configuration des paramètres d’administration du système)
R
Configuration de Galera et MySQL
R
Qualité et correction continues de Galera et MariaDB
R
Optimisation continue de l’infrastructure
R
Identification et correction de requêtes lentes
R
Envoyez une demande de service pour installer une version MariaDB compatible avec la version Adobe Commerce installée.
R
Définition et gestion de politiques de conservation des données spécifiques au marché (les politiques de conservation des données de l’Adobe sont définies dans l’accord commercial)
R

Service CDN

Adobe
Marchand
Disponibilité et qualité du réseau de diffusion de contenu
R
Configuration de service rapide (via Extension/API)
R
Qualité d’extension rapide
R
Qualité des fragments VCL d’intégration rapide (groupés avec l’extension Fastly)
R
Optimisation du cache de page
R
Ajout de domaines aux services, au réseau de diffusion de contenu et à l’infrastructure
R
Fragments de code VCL personnalisés
R
Règles WAF et WAF
R

Cache Service

Adobe
Marchand
Disponibilité du service Redis
R
Configuration des paramètres Redis par défaut
R
Qualité et correction continues des Redis
R
Envoyez une demande de service pour installer une version de Redis compatible avec la version d’Adobe Commerce installée.
R

Service de recherche

Adobe
Marchand
Disponibilité des Elasticsearch
R
Configuration des paramètres par défaut de l’Elasticsearch
R
Soumettre une demande de service pour installer une version Elasticsearch compatible avec la version Adobe Commerce installée
R

Service Email

Adobe
Marchand
Disponibilité du service de messagerie SendGrid et de son intégration
R
Surveiller l’utilisation de SendGrid du marchand par rapport aux limites
R
Le marchand n'utilise le service que pour les emails transactionnels sortants
Le service ne prend pas en charge l'envoi d'emails marketing.
R
Configuration des services de messagerie tiers facultatifs
R

Services tiers

Adobe
Marchand
Disponibilité et qualité des services tiers
R

Extensions Commerce Services

Service de création de rapports avancée

Adobe
Marchand
Disponibilité du service de création de rapports avancé
R
Configuration des rapports avancés conforme aux conditions générales des rapports avancés
R

Commerce Intelligence

Adobe
Marchand
Disponibilité des services de Business Intelligence Adobe Commerce
R
Processus de synchronisation des données de l’IMS
R
Détection des problèmes de synchronisation des MBI
R
Configuration de la synchronisation des données MBI avec Adobe Commerce Cloud Pro, Starter, On Premise ou non Adobe Commerce
(API, qualité et formatage des données, réseau commercial,
connexions DB à l’intérieur et à l’extérieur de Adobe Commerce Cloud DB, sur les seuils de données)
R
Configuration de la synchronisation des données MBI avec Adobe Commerce Cloud Pro
(configuration de la base de données Adobe Commerce Cloud)
R

Recommendations de produit

Adobe
Marchand
Disponibilité du service Recommendations de produit
R

Services réseau

Optimisation des images

Adobe
Marchand
Disponibilité et qualité de l’optimisation des images
R
Configuration de l’optimisation des images
R

Certificats SSL

Adobe
Marchand
Certificat dédié SSL - Expiration
R
Approvisionnement des certificats SSL
R
Achat et maintenance d’un certificat SSL EV/spécifique (autres que les valeurs par défaut fournies) et fournir à Adobe
R

Pare-feu d’applications web (WAF)

Adobe
Marchand
Disponibilité et configuration de WAF
R
Traitement des faux positifs de la règle WAF
R
Signalement de faux positifs de la règle WAF
R
Réglage des règles WAF (NON PRIS EN CHARGE)
Journaux WAF/CDN
R

DDOS

Adobe
Marchand
Blocage IP proactif
R
Protection des robots
R
Détection DDOS - couche 3-4
R
Détection DDOS - Couche 7
R
Réponse DDOS
R

Lien privé

Adobe
Marchand
Configuration et maintenance des connexions PrivateLink (le cas échéant) avec un VPC détenu par l’Adobe
R
Configuration et maintenance des connexions PrivateLink (le cas échéant) avec un VPC détenu par le détaillant
R
Disponibilité du SSH (lien non privé)
R
Configuration de PrivateLink entrant dans le point d’entrée du service Adobe Commerce Cloud
R
Acceptation de PrivateLink entrant dans le point d’entrée du service Adobe Commerce Cloud
R
Configuration de PrivateLink entrant vers le point d’entrée VPC Service du détaillant
R
Acceptation du lien privé entrant dans le point d’entrée du service VPC du détaillant
R
Configuration des intégrations PrivateLink (point d’entrée vers compte)
R
Configuration de VPC détenu par le commerce pour le point d’entrée PrivateLink

(y compris toute connexion VPN)
R

Système et infrastructure

Serveur d’applications

Adobe
Marchand
Disponibilité de Nginx
R
Configuration de Nginx
R
Qualité et correction continues de Nginx
R

Système d’exploitation

Adobe
Marchand
Disponibilité du système d’exploitation
R
Qualité et correction continues du système d’exploitation
R

Sauvegarde, haute disponibilité et basculement

Adobe
Marchand
Disponibilité de l’instantané et du processus de sauvegarde
R
Planification des sauvegardes pour les environnements d’évaluation et de production de Cloud Pro
R
Planification de sauvegardes pour les environnements Cloud Starter et Pro Integration
R
Disponibilité de l’architecture HA/basculement
R

Serveurs cloud et mise à l’échelle

Adobe
Marchand
Disponibilité des ressources du processeur, centre de données, espace disque
R
Disponibilité et exécution de la capacité de montée en puissance ou redimensionnement d'urgence
R
Demande de capacité de survol
R
Surveillance de l’utilisation du processeur virtuel par rapport aux limites
R
6ad2ec8d-4e70-43dd-8640-a894018d6404