Responsabilità condivisa sicurezza e modello operativo

Adobe Commerce sull’infrastruttura cloud è un’offerta PaaS (Platform-as-a-Service) che si basa su un modello operativo e di sicurezza con responsabilità condivisa. Queste responsabilità sono condivise tra Adobe, l’esercente, il provider di servizi cloud e il provider di rete per la distribuzione di contenuti (CDN, Content Delivery Network). Ciascuna parte ha la responsabilità distinta di proteggere e gestire l’applicazione Adobe Commerce e il codice specifico del commerciante e le estensioni implementate sull’infrastruttura cloud.

Questo modello condiviso consente ai commercianti di progettare e implementare una soluzione altamente flessibile, personalizzabile e scalabile per soddisfare i requisiti aziendali, riducendo al contempo le responsabilità e i costi operativi.

In generale, Adobe è responsabile di quanto segue:

  • Sviluppo e manutenzione del codice dell'applicazione di base protetto
  • Mantenimento della sicurezza della piattaforma
  • Garanzia che la piattaforma sia compatibile con SOC 2 e PCI e compatibile con i componenti della tecnologia PCI (ad esempio, PHP, Redis)
  • Risposta alle questioni di sicurezza relative alla piattaforma principale
  • Collaborazione con i provider di servizi cloud e i partner CDN per risolvere eventuali problemi

I commercianti sono responsabili di quanto segue:

  • Mantenimento della sicurezza per codice personalizzato e integrazioni con applicazioni di terze parti
  • Garanzia di uno sviluppo sicuro delle applicazioni
  • Ottenimento della certificazione PCI se richiesto dal servizio di elaborazione dei pagamenti dell'esercente
  • Reazione e risposta agli incidenti di sicurezza

Adobe di responsabilità

Adobe è responsabile della sicurezza e della disponibilità dell’ambiente Adobe Commerce sull’infrastruttura cloud e del codice della soluzione di base. Inoltre, Adobe è responsabile delle attività e dei meccanismi necessari per mantenere la sicurezza della soluzione Adobe Commerce sull’infrastruttura cloud, tra cui:

  • Applicazione di patch e sicurezza a livello di server per le applicazioni supportate da Adobe Commerce sull'infrastruttura cloud, ad esempio l'archiviazione dei dati cloud e le funzionalità di ricerca
  • Esecuzione di test di penetrazione e scansione del codice principale dell’infrastruttura Adobe Commerce su cloud
  • Effettuare revisioni e audit semestrali delle soluzioni di gestione dell'identità e degli accessi (IAM) dei fornitori di servizi cloud pubblici e della gestione delle autorizzazioni (requisiti di conformità PCI)
  • Effettuare revisioni e audit semestrali degli utenti autorizzati, compresi i dipendenti Adobi e i contraenti (requisito di conformità PCI)
  • Esecuzione di test annuali e documentazione delle funzionalità di backup e ripristino
  • Configurazione dei firewall server e perimetrali
  • Connessione e configurazione dell’archivio dell’infrastruttura cloud di Adobe Commerce
  • Definizione, test, implementazione e documentazione dei piani di disaster recovery (DR) per le aree che rientrano nell'ambito di responsabilità dell'Adobe
  • Definizione delle regole del firewall per le applicazioni Web della piattaforma globale (WAF)
  • Protezione avanzata del sistema operativo
  • Implementazione e manutenzione dell’integrazione delle soluzioni CDN (Content Distribution Network) e APM (Application Performance Management) con Adobe Commerce sull’infrastruttura cloud
  • Rilascio periodico di aggiornamenti di sicurezza e di altro tipo per il codice principale dell’infrastruttura cloud di Adobe Commerce (l’applicazione di patch è responsabilità del commerciante)
  • Gestione del supporto per gli esercenti e dei controlli di accesso al supporto (ad esempio, Zendesk)
  • Monitoraggio, registrazione e risoluzione degli incidenti di sicurezza relativi all’infrastruttura della piattaforma Adobe Commerce su infrastruttura cloud
  • Monitoraggio delle operazioni della piattaforma e fornitura di supporto 24 ore su 24, 7 giorni su 7 per Adobe Commerce sui commercianti di infrastrutture cloud
  • Provisioning degli ambienti di produzione e staging
  • Valutazione delle potenziali minacce per la sicurezza delle operazioni e dell'infrastruttura della piattaforma
  • Scalabilità di risorse informatiche, di storage, di grid computing e di altro tipo, come descritto nell'accordo sul livello di servizio (SLA) con il commerciante
  • Configurazione del DNS (solo Adobe Commerce su infrastruttura cloud e infrastruttura di piattaforma)
  • Test della piattaforma per individuare vulnerabilità di sicurezza

Adobe mantiene la certificazione PCI per l’infrastruttura e i servizi utilizzati per la soluzione Adobe Commerce. Gli esercenti sono responsabili della conformità del codice personalizzato, dei processi di sistema e di rete e dell’organizzazione.

Adobe garantisce inoltre la disponibilità dell'infrastruttura del commerciante come concordato nella SLA applicabile.

Responsabilità del commerciante

L’esercente è responsabile del rispetto delle best practice di sicurezza per la propria istanza specifica e personalizzata di Adobe Commerce sulla soluzione di infrastruttura cloud:

  • Aggiunta all’archivio dei file di configurazione dell’infrastruttura cloud di Adobe Commerce on

  • Applicazione di patch di sicurezza e di altro tipo alla soluzione personalizzata Adobe Commerce on cloud infrastructure subito dopo il rilascio per Adobe

  • Applicazione di patch di sicurezza e di altro tipo a tutte le estensioni personalizzate e al codice, subito dopo il rilascio da parte del fornitore

  • Creazione, distribuzione e test di file VCL di vernice personalizzati

  • Progettazione, definizione di temi, installazione, integrazione e protezione della soluzione personalizzata Adobe Commerce on cloud infrastructure, incluse tutte le estensioni e il codice personalizzati

  • Concessione e revoca dell’accesso utente all’istanza dell’esercente di Adobe Commerce su configurazione, applicazione e piattaforma dell’infrastruttura cloud

  • Gestione dei problemi di sicurezza relativi alla rete interna del commerciante, ai server, all’infrastruttura e a qualsiasi applicazione personalizzata basata su Adobe Commerce sulla piattaforma di infrastruttura cloud

  • Installazione dello strumento di integrazione della riga di comando (CLI) di Adobe Commerce su infrastruttura cloud

  • Mantenimento del livello richiesto di conformità PCI dell'applicazione personalizzata e di altri processi interni, come definito dalle linee guida PCI-DSS

    note note
    NOTE
    Per ridurre al minimo le aree da rivedere, la conformità PCI per l’esercente si basa sulle certificazioni PCI di Adobe Commerce e del provider di hosting cloud.
  • Esecuzione di analisi ASV PCI e risoluzione dei problemi nel codice e nella piattaforma principali di Adobe Commerce su infrastruttura cloud

  • Monitoraggio di tutte le attività dell’applicazione che potrebbero rivelare una potenziale minaccia per la sicurezza, inclusi test di penetrazione, scansioni di vulnerabilità e registri

  • Monitoraggio e risposta agli incidenti di sicurezza, inclusi analisi legali, monitoraggio e reporting relativi alla soluzione Adobe Commerce on Cloud Infrastructure e agli account utente del commerciante

  • Ottenere un provider DNS e configurare e gestire tutti i record DNS specifici del commerciante

  • Esecuzione dei test delle prestazioni sull'applicazione personalizzata

  • Protezione dell’accesso agli account della piattaforma, dell’accesso alle istanze e alle applicazioni

  • Test e controllo qualità dell’applicazione personalizzata

  • Mantenere la sicurezza di tutti i sistemi o reti che l’esercente si connette all’applicazione Adobe Commerce su infrastruttura cloud

Responsabilità del fornitore del Cloud Service

Adobe si avvale di provider di servizi cloud consolidati per ospitare l’infrastruttura del server cloud per Adobe Commerce sull’infrastruttura cloud. Questi provider sono responsabili della sicurezza della rete, inclusi routing, switching e sicurezza della rete perimetrale tramite sistemi firewall e sistemi di rilevamento delle intrusioni (IDS). I fornitori di servizi cloud sono anche responsabili della sicurezza fisica dei centri dati che ospitano la soluzione Adobe Commerce su infrastruttura cloud e della sicurezza ambientale dei centri dati.

I fornitori di servizi cloud sono anche responsabili di:

  • Mantenimento delle certificazioni PCI DSS, SOC 2 e ISO 27001 per i servizi cloud
  • Protezione dell'hypervisor
  • Protezione del centro dati, compreso l'accesso fisico e di rete

Responsabilità del provider CDN

La soluzione Adobe Commerce per l’infrastruttura cloud utilizza i provider CDN per velocizzare il caricamento delle pagine, memorizzare in cache i contenuti ed eliminare immediatamente quelli obsoleti. Questi provider sono anche responsabili dei problemi di sicurezza direttamente correlati o che influiscono sulla rete CDN e della definizione e manutenzione delle regole di WAF della rete CDN.

Riepilogo responsabilità di sicurezza

recommendation-more-help

La tabella di riepilogo seguente utilizza il modello RACI per mostrare le responsabilità di sicurezza condivise tra Adobe, l’esercente e il provider di servizi Cloud:

R - Responsabile
A — Responsabile
C — Consultato
I - Informato

Attività
Adobe
Commerciante
Provider di servizi cloud
Provider CDN
Applicazione di Adobe Commerce sulle patch dell’infrastruttura cloud
C
R
Applicazione delle patch ai servizi di supporto
(ad esempio, Nginx o MySQL).
R
I
Definizione delle regole WAF di origine
R
Definizione delle regole di CDN WAF
A
R
Distribuzione delle regole di Platform WAF
R
I
Distribuzione delle regole di WAF CDN
A
I
R
Correzione dei bug principali nel codice dell’infrastruttura cloud di Adobe Commerce
R
I
Rilascio di patch per l’infrastruttura cloud di Adobe Commerce
R
I
Scalabilità (elaborazione e archiviazione)
R
I
Ridimensionamento (PaaS e griglia)
R
Garanzia di accesso al codice sorgente, incluso repo.magento.com
R
I
Installazione di Adobe Commerce sullo strumento CLI dell’infrastruttura cloud
R
Aggiunta dei file di configurazione dell’infrastruttura cloud di Adobe Commerce all’archivio
C
R
Creazione di un progetto per l’esercente (interfaccia utente di onboarding)
R
I
Collegamento degli archivi ad Adobe Commerce sull’infrastruttura cloud
R
I
Configurazione del repository di origine1
R
I
Creazione di un utente per il Release Manager (interfaccia utente di onboarding)
R
Distribuzione del codice in produzione
R
Distribuzione del codice nell’area di gestione temporanea
R
Integrazione di applicazioni ed estensioni esterne
R
Installazione delle estensioni
R
Personalizzazione di Adobe Commerce sull’infrastruttura cloud
R
Test delle prestazioni di Adobe Commerce personalizzato sull’infrastruttura cloud
R
Verifica dell’applicazione personalizzata
R
Tema e progettazione dell’applicazione personalizzata
R
Creazione, distribuzione e test di VCL vernicianti personalizzati
C
R
Configurazione di DNS (solo infrastruttura della piattaforma)
R
C
Sviluppo dell’estensione CDN e correzione di bug
A
C
R
CDN di onboarding
R
I
CDN di supporto2
R
I
C
Configurazione delle applicazioni New Relic APM e Infrastructure
R
Installazione delle applicazioni New Relic APM e Infrastructure
R
I
Supporto delle applicazioni New Relic APM e Infrastructure
R
C
Configurazione Di Nginx3
R
R
Ottenimento di un provider DNS (solo Pro)
C
R
Protezione avanzata del sistema operativo
R
Provisioning degli ambienti di produzione e staging
R
I
Accesso a Zendesk per Adobe Commerce sull’infrastruttura cloud
R
C
Risoluzione dei problemi di sicurezza degli esercenti
C
R
C
Risoluzione dei problemi di sicurezza dell’infrastruttura cloud in Adobe Commerce
R
Risoluzione dei problemi di sicurezza CDN
A
R
Risoluzione dei problemi di sicurezza APM
A
Assistere gli Adobi nella ricerca sulla sicurezza (software)
R
C
Assistere gli Adobi nella ricerca sulla sicurezza (scansioni/audit)
R
C
Esecuzione di scansioni PCI ASV
R
Correzione delle scansioni PCI di Adobe Commerce sull'infrastruttura cloud4
R
R
Correzione delle scansioni PCI PaaS
R
Gestione dei segreti del sistema operativo e della piattaforma
R
Gestione delle chiavi di crittografia dell’infrastruttura cloud di Adobe Commerce
R
Scansione di Adobe Commerce personalizzato sulle istanze dell’infrastruttura cloud
R
Monitoraggio dei registri di sicurezza
R
Gestione di IAM e autorizzazioni per Adobe Commerce sull’infrastruttura cloud
R
Gestione dei controlli di accesso al supporto (Teleport)
R
Controllo del supporto e dell'accesso per gli esercenti
R
I
Test e documentazione annuali del piano di ripristino di emergenza Adobe e backup e ripristino
R
Test annuali e documentazione del piano di ripristino di emergenza
R

1 Solo se l'archivio dell'infrastruttura cloud di Adobe Commerce è utilizzato come archivio principale. L’utilizzo di altri archivi esterni è di esclusiva responsabilità dell’esercente.

L'Adobe di 2 fornisce il supporto di livello 1 per i problemi con i provider CDN.

3 Il commerciante è responsabile di tutti i controlli Ngnix configurati per le proprie applicazioni.

4 Per PCI, i requisiti dei test di penetrazione sono condivisi tra Adobe e il commerciante.

Riepilogo delle responsabilità operative

Le tabelle di riepilogo seguenti illustrano le responsabilità operative di Adobe e Merchants per lo sviluppo, la distribuzione, la manutenzione e la protezione di Adobe Commerce sull’infrastruttura cloud.

Codifica e sviluppo

Codice core di Adobe Commerce

Adobe
Commerciante
Pubblicazione di aggiornamenti e patch nella versione di base di Adobe Commerce
R
Disponibilità e applicazione di patch al file system
R
Pubblicazione di aggiornamenti e patch in ECE-Tools
R
Qualità applicazione Adobe Commerce di base
R

Archivio del codice

Adobe
Commerciante
Disponibilità di repo.magento.com
R
Disponibilità di Adobe Commerce sul server Git cloud
R
Altri archivi di codice selezionati dal commerciante (GitHub, Bitbucket, server Git ospitato)
R

Docker cloud

Adobe
Commerciante
Come rendere disponibili per il download i contenitori Docker Cloud
R
Distribuzione e configurazione di Cloud Docker (facoltativo)
R
Qualsiasi altra configurazione di sviluppo locale
R

COMMERCE CLOUD CLI

Adobe
Commerciante
Qualità costante e aggiornamento degli strumenti ECE
R
Installazione della versione più recente degli strumenti ECE
R

Personalizzazioni

Adobe
Commerciante
Moduli e codice personalizzati di Adobe Commerce
R
Estensioni
R
Integrazioni personalizzate
R

Distribuzioni

Adobe
Commerciante
Disponibilità dell'infrastruttura per la generazione e l'implementazione del codice
R
Qualità continua della pipeline di configurazione per la creazione e l'implementazione dell'infrastruttura
R
Configurazione della distribuzione di build e contenuti statici
R
Creazione ed esecuzione del processo di governance della distribuzione: criteri e gestione delle modifiche
R
Implementazione nell’ambiente di staging
R
Implementazione nell’ambiente di produzione
R
Rollback di produzione
R

Sincronizzazione degli ambienti

I commercianti sono responsabili della sincronizzazione dei dati tra ambienti diversi.

Applicazione di patch

Adobe
Commerciante
Installazione di aggiornamenti e patch in ECE-Tools
R
Installazione di aggiornamenti e patch per Adobe Commerce Core
R

Disponibilità del sito web

Adobe
Commerciante
Applicazione Adobe Commerce personalizzata e siti web associati
R

Prestazioni

Adobe
Commerciante
Ottimizzazione e tuning delle applicazioni di base
R
Ottimizzazione e tuning del codice personalizzato
R
Codice Adobe Commerce personalizzato
R
Test di carico
R
Test delle prestazioni
R

Registri e monitoraggio

Adobe
Commerciante
Rotazione dei registri
R
Applicazione Adobe Commerce personalizzata
R
Disponibilità dei servizi New Relic:
Integrazione di agenti e applicazioni APM, applicazione di infrastruttura,
Registrazione e integrazione
R
Configurazione degli avvisi di New Relic
R
Distribuzione dell'agente New Relic sui server PaaS
R

Debug e isolamento dei problemi

Adobe
Commerciante
Debug e isolamento dei problemi
R
R
Supporto tempestivo del processo di debug e isolamento dei problemi
R

Configurazione di applicazioni e servizi

applicazione Commerce

Adobe
Commerciante
Configurazione dell’applicazione
R
Aggiunta di domini all’applicazione Adobe Commerce (URL di base)
R
Configurazione di PaaS per l'utilizzo delle versioni dei servizi supportate dalla versione distribuita di Adobe Commerce

Ad esempio, versioni diverse di Commerce sono compatibili con versioni specifiche di PHP, Redis e così via.
R

Pianificazione attività con processi cron

Adobe
Commerciante
Disponibilità dei processi cron predefiniti
R
Qualità continua dei processi cron personalizzati
R

Gestore messaggi per il framework della coda messaggi

Adobe
Commerciante
Disponibilità del servizio RabbitMQ
R
Configurazione delle impostazioni predefinite di RabbitMQ
R
Qualità continua e applicazione di patch di RabbitMQ
R
Invia una richiesta di servizio per installare una versione di RabbitMQ compatibile con la versione di Adobe Commerce installata
R

servizio PHP

Adobe
Commerciante
Disponibilità di PHP
R
Configurazione delle impostazioni PHP predefinite
R
Configurazione delle impostazioni PHP personalizzate
R
Configurazione del file YAML per allineare le versioni PHP compatibili con la versione di Adobe Commerce installata
R

Servizi di database

Adobe
Commerciante
Disponibilità dei servizi Galera e MariaDB
R
Manutenzione in corso delle impostazioni predefinite del database

(indicizzazione e ottimizzazione delle tabelle principali, ottimizzazione delle impostazioni predefinite sys-admin)
R
Manutenzione continua dei dati dei commercianti e delle impostazioni modificate

(configurazione di tabelle normalizzate e flat, indicizzazione e ottimizzazione di tabelle personalizzate e di terze parti, archiviazione o rimozione di dati, configurazione delle impostazioni di amministrazione del sistema)
R
Configurazione di Galera e MySQL
R
Qualità costante e patch di Galera e MariaDB
R
Ottimizzazione continua dell'infrastruttura
R
Identificazione e correzione di query lente
R
Inviare una richiesta di servizio per installare una versione di MariaDB compatibile con la versione di Adobe Commerce installata
R
Impostazione e gestione di criteri di conservazione dei dati specifici del commerciante (i criteri di conservazione dei dati Adobe sono definiti nell’accordo per il commerciante)
R

Servizio CDN

Adobe
Commerciante
Disponibilità e qualità della rete CDN
R
Configurazione rapida del servizio (tramite estensione/API)
R
Qualità dell’estensione veloce
R
Qualità dei frammenti VCL di integrazione rapida (forniti con l'estensione Fastly)
R
Ottimizzazione della cache delle pagine
R
Aggiunta di domini ai servizi, alla rete CDN e all’infrastruttura
R
Snippet VCL personalizzati
R
Regole di WAF e WAF
R

Servizio cache

Adobe
Commerciante
Disponibilità del servizio Redis
R
Configurazione delle impostazioni predefinite di Redis
R
Qualità continua e applicazione di patch di Redis
R
Inviare una richiesta di servizio per installare una versione di Redis compatibile con la versione di Adobe Commerce installata
R

Servizio di ricerca

Adobe
Commerciante
Disponibilità di Elasticsearch
R
Configurazione delle impostazioni di Elasticsearch predefinite
R
Invia una richiesta di servizio per installare una versione di Elasticsearch compatibile con la versione di Adobe Commerce installata
R

Servizio e-mail

Adobe
Commerciante
Disponibilità del servizio e-mail SendGrid e relativa integrazione
R
Monitorare l’utilizzo di SendGrid da parte del commerciante rispetto ai limiti
R
L'esercente è responsabile dell'utilizzo del servizio solo per le e-mail transazionali in uscita
Il servizio non supporta l'invio di e-mail di marketing.
R
Configurazione dei servizi e-mail di terze parti facoltativi
R

Servizi di terze parti

Adobe
Commerciante
Disponibilità e qualità dei servizi forniti da terzi
R

Estensioni di Commerce Services

Servizio di reporting anticipato

Adobe
Commerciante
Disponibilità di Advanced Reporting Service
R
La configurazione di Advanced Reporting è conforme ai Termini e Condizioni di Advanced Reporting
R

Commerce Intelligence

Adobe
Commerciante
Disponibilità dei servizi di Business Intelligence Adobe Commerce
R
Processi di sincronizzazione dati MBI
R
Rilevamento problemi di sincronizzazione MBI
R
Configurazione della sincronizzazione dei dati MBI con Adobe Commerce Cloud Pro, Starter, On-Premises o non Adobe Commerce
(API, qualità e formattazione dei dati, rete di esercenti,
connessioni DB sia all'interno che all'esterno di Adobe Commerce Cloud DB, oltre le soglie dei dati)
R
Configurazione della sincronizzazione dei dati MBI con Adobe Commerce Cloud Pro
(configurazione del database Adobe Commerce Cloud)
R

Recommendations del prodotto

Adobe
Commerciante
Disponibilità del servizio Recommendations del prodotto
R

Servizi di rete

Ottimizzazione immagine

Adobe
Commerciante
Disponibilità e qualità dell'ottimizzazione delle immagini
R
Configurazione dell’ottimizzazione immagine
R

Certificati SSL

Adobe
Commerciante
Certificato dedicato SSL - scadenza
R
Provisioning dei certificati SSL
R
Acquisto e manutenzione di certificati SSL EV/specifici (diversi dai valori predefiniti forniti) e fornitura all'Adobe
R

Firewall applicazione Web (WAF)

Adobe
Commerciante
Disponibilità e configurazione di WAF
R
Risoluzione dei falsi positivi delle regole di WAF
R
Segnalazione dei falsi positivi delle regole di WAF
R
Ottimizzazione delle regole di WAF (NON SUPPORTATO)
Registri WAF/CDN
R

DDOS

Adobe
Commerciante
Blocco IP proattivo
R
Protezione bot
R
Rilevamento DDOS - Livello 3-4
R
Rilevamento DDOS - livello 7
R
Risposta DDOS
R

Collegamento privato

Adobe
Commerciante
Configurazione e manutenzione delle connessioni PrivateLink (se utilizzate) con un VPC di proprietà di un Adobe
R
Configurazione e manutenzione di connessioni PrivateLink (se utilizzate) con un VPC di proprietà di un esercente
R
Disponibilità di SSH (collegamento non privato)
R
Configurazione di PrivateLink in entrata nell’endpoint del servizio Adobe Commerce Cloud
R
Accettazione di PrivateLink in entrata all’endpoint del servizio Adobe Commerce Cloud
R
Configurazione di PrivateLink in entrata nell’endpoint del servizio VPC dell’esercente
R
Accettazione di PrivateLink in entrata all’endpoint del servizio VPC del commerciante
R
Configurazione delle integrazioni PrivateLink (da endpoint a account)
R
Configurazione di VPC di proprietà del commerciante per l'endpoint PrivateLink

(incluse eventuali connessioni VPN)
R

Sistema e infrastruttura

Server app

Adobe
Commerciante
Disponibilità di Nginx
R
Configurazione di Nginx
R
Qualità costante e applicazione di patch di Nginx
R

Sistema operativo

Adobe
Commerciante
Disponibilità del sistema operativo
R
Qualità costante e applicazione di patch al sistema operativo
R

Backup, elevata disponibilità e failover

Adobe
Commerciante
Disponibilità di copie istantanee e processo di backup
R
Pianificazione dei backup per gli ambienti di staging e produzione di Cloud Pro
R
Pianificazione dei backup per gli ambienti di integrazione di Cloud Starter e Pro
R
Disponibilità di HA/Failover
R

Server cloud e scalabilità

Adobe
Commerciante
Disponibilità di risorse CPU, data center e spazio su disco
R
Disponibilità ed esecuzione di capacità di sovratensione o di sovradimensionamento di emergenza
R
Richiesta della capacità di sovratensione
R
Monitoraggio dell’utilizzo di vCPU rispetto ai limiti
R
6ad2ec8d-4e70-43dd-8640-a894018d6404