Documentação Commerce Segurança e conformidade

Segurança de responsabilidade compartilhada e modelo operacional

Última atualização: 6 de setembro de 2024

Tópicos:

Criado para:

Experiente
Administrador
Desenvolvedor

O Adobe Commerce na infraestrutura em nuvem é uma oferta de plataforma como serviço (PaaS) que depende de um modelo operacional e de segurança de responsabilidade compartilhada. Essas responsabilidades são compartilhadas entre o Adobe, o comerciante, o provedor de serviços em nuvem e o provedor de rede de entrega de conteúdo (CDN). Cada parte tem uma responsabilidade distinta pela segurança e operação do aplicativo Adobe Commerce e do código e extensões específicos do comerciante implantados na infraestrutura em nuvem.

Esse modelo compartilhado permite que os comerciantes projetem e implementem uma solução altamente flexível, personalizável e dimensionável para atender às suas necessidades de negócios, minimizando as responsabilidades e os custos operacionais.

Em geral, a Adobe é responsável pelo seguinte:

Desenvolvimento e manutenção de um código de aplicativo principal seguro
Manutenção da segurança da plataforma
Assegurar que a plataforma é compatível com SOC 2 e PCI e com componentes de tecnologia compatíveis com PCI (por exemplo, PHP, Redis)
Resposta a problemas de segurança relacionados à plataforma principal
Trabalhar com provedores de serviços de nuvem e parceiros CDN para resolver problemas que ocorram

Os comerciantes são responsáveis pelo seguinte:

Manutenção da segurança para código personalizado e integrações com aplicativos de terceiros
Garantia de desenvolvimento seguro de aplicativos
Obter a certificação PCI, se solicitado pelo processador de pagamento do comerciante
Reagir e responder a incidentes de segurança

responsabilidades do Adobe

O Adobe é responsável pela segurança e disponibilidade do ambiente Adobe Commerce na infraestrutura em nuvem e pelo código da solução principal. Além disso, a Adobe é responsável pelas atividades e mecanismos necessários para manter a segurança da solução Adobe Commerce na infraestrutura em nuvem, incluindo:

Aplicação de segurança no nível do servidor e patches para aplicativos compatíveis com o Adobe Commerce na infraestrutura em nuvem, como armazenamento de dados em nuvem e recursos de pesquisa
Realização de testes de penetração e verificação do Adobe Commerce principal no código de infraestrutura em nuvem
Realização de análises e auditorias semestrais das soluções e do gerenciamento de permissões de gerenciamento de identidade e acesso (IAM) dos provedores de serviços de nuvem pública (requisito de conformidade com o PCI)
Realização de revisões e auditorias semestrais de usuários autorizados, incluindo funcionários e contratados da Adobe (requisito de conformidade com o PCI)
Realização anual de testes e documentação dos recursos de backup e restauração
Configuração de firewalls de servidor e perímetro
Conectar e configurar o repositório do Adobe Commerce na infraestrutura em nuvem
Definir, testar, implementar e documentar planos de recuperação de desastres (DR) para as áreas dentro do escopo de responsabilidade da Adobe
Definição de regras de firewall de aplicativo Web da plataforma global (WAF)
Fortalecimento do sistema operacional (SO)
Implementar e manter a integração das soluções de rede de distribuição de conteúdo (CDN) e de gerenciamento de desempenho de aplicativos (APM) com o Adobe Commerce na infraestrutura em nuvem
Emitir atualizações de segurança periódicas e outras atualizações para o Adobe Commerce principal no código de infraestrutura em nuvem (a aplicação de patches é responsabilidade do comerciante)
Gerenciamento de suporte ao comerciante e controles de acesso de suporte (por exemplo, Zendesk)
Monitoramento, registro e correção de incidentes de segurança relacionados ao Adobe Commerce na infraestrutura da plataforma de infraestrutura em nuvem
Monitoramento de operações de plataforma e fornecimento de suporte 24 horas por dia, 7 dias por semana para o Adobe Commerce em comerciantes de infraestrutura em nuvem
Provisionamento dos ambientes de produção e de preparo
Avaliação de possíveis ameaças à segurança das operações e da infraestrutura da plataforma
Dimensionamento de computação, armazenamento, grade e outros recursos, conforme descrito no contrato de nível de serviço (SLA) com o comerciante
Configuração de DNS (Adobe Commerce somente na infraestrutura da plataforma de infraestrutura em nuvem)
Teste da plataforma para verificar vulnerabilidades de segurança

A Adobe mantém a certificação PCI para a infraestrutura e os serviços usados para a solução da Adobe Commerce. Os comerciantes são responsáveis pela conformidade do código personalizado, dos processos de sistema e rede e da organização.

O Adobe também garante a disponibilidade da infraestrutura do comerciante, conforme acordado no SLA aplicável.

Responsabilidades do comerciante

O comerciante é responsável por seguir as práticas recomendadas de segurança para a instância específica e personalizada da solução Adobe Commerce na infraestrutura em nuvem:

Adicionar o Adobe Commerce necessário nos arquivos de configuração da infraestrutura em nuvem ao repositório
Aplicar patches de segurança e outros à solução personalizada Adobe Commerce on cloud infrastructure imediatamente após o lançamento pelo Adobe
Aplicação de patches de segurança e outros a todas as extensões e códigos personalizados, imediatamente após o lançamento pelo fornecedor
Criação, implantação e teste de arquivos personalizados de VCL do Varnish
Projetar, criar temas, instalar, integrar e proteger a solução personalizada do Adobe Commerce na infraestrutura em nuvem, incluindo todas as extensões e códigos personalizados
Conceder e revogar o acesso do usuário à instância do comerciante do Adobe Commerce na configuração, no aplicativo e na plataforma da infraestrutura em nuvem
Lidar com problemas de segurança relacionados à rede interna, aos servidores, à infraestrutura e a qualquer aplicativo personalizado do comerciante criado na plataforma Adobe Commerce de infraestrutura em nuvem
Instalação da ferramenta de integração de linha de comando (CLI) do Adobe Commerce na infraestrutura em nuvem
Manutenção do nível exigido de conformidade com o PCI do aplicativo personalizado e outros processos internos, conforme definido pelas diretrizes do PCI-DSS

NOTE
Para minimizar as áreas que devem ser analisadas, a conformidade com o PCI para o comerciante é baseada nas certificações PCI da Adobe Commerce e do provedor de hospedagem na nuvem.
Execução de verificações e correção de problemas do PCI ASV no Adobe Commerce principal no código e na plataforma da infraestrutura em nuvem
Monitoramento de todas as atividades do aplicativo que possam revelar uma possível ameaça à segurança, incluindo testes de penetração, verificações de vulnerabilidade e registros
Monitoramento e resposta a incidentes de segurança, incluindo análises jurídicas, correções e relatórios relacionados ao Adobe Commerce do comerciante sobre a solução de infraestrutura em nuvem e contas de usuário
Obtenção de um provedor de DNS e configuração e manutenção de registros de DNS específicos do comerciante
Execução de testes de desempenho no aplicativo personalizado
Proteção do acesso às contas da plataforma, do acesso às instâncias e do aplicativo
Teste e controle de qualidade do aplicativo personalizado
Manutenção da segurança de quaisquer sistemas ou redes que o comerciante conecte à Adobe Commerce no aplicativo de infraestrutura em nuvem

Responsabilidades do provedor de Cloud Service

O Adobe depende de provedores de serviços de nuvem bem estabelecidos para hospedar a infraestrutura do servidor de nuvem do Adobe Commerce na infraestrutura em nuvem. Esses provedores são responsáveis pela segurança da rede, incluindo roteamento, switching e segurança de perímetro da rede através de sistemas de firewall e sistemas de detecção de intrusão (IDS). Os provedores de serviços em nuvem também são responsáveis pela segurança física dos data centers que hospedam a solução Adobe Commerce on cloud infrastructure e pela segurança ambiental dos data centers.

Os provedores de serviços em nuvem também são responsáveis por:

Manutenção das certificações PCI DSS, SOC 2 e ISO 27001 para seus serviços em nuvem
Proteção do hipervisor
Proteção do data center, incluindo acesso físico e de rede

Responsabilidades do provedor de CDN

A solução Adobe Commerce na infraestrutura em nuvem usa provedores de CDN para acelerar o tempo de carregamento de página, armazenar em cache o conteúdo e remover instantaneamente o conteúdo desatualizado. Esses provedores também são responsáveis por problemas de segurança diretamente relacionados ou que afetem a CDN, e por definir e manter regras de WAF da CDN.

Resumo das responsabilidades de segurança

recommendation-more-help

A tabela de resumo a seguir usa o modelo RACI para mostrar as responsabilidades de segurança compartilhadas entre o Adobe, o comerciante e o provedor de serviços na nuvem:

R — Responsável
A — Responsável
C — Consultado
I — Informado

Tarefa

Adobe

Comerciante

Provedor de serviços na nuvem

Provedor de CDN

Aplicação de Adobe Commerce em patches de infraestrutura em nuvem

C

R

Aplicando patches aos serviços de suporte
(Por exemplo, Nginx ou MySQL.)

R

I

Definição das regras de origem do WAF

R

Definição de regras WAF CDN

A

R

Implantação de regras do Platform WAF

R

I

Implantação de regras do WAF CDN

A

I

R

Correção de bugs principais no Adobe Commerce no código de infraestrutura em nuvem

R

I

Lançamento do Adobe Commerce em patches de infraestrutura em nuvem

R

I

Dimensionamento (computação e armazenamento)

R

I

Dimensionamento (PaaS e grade)

R

Garantia de acesso ao código-fonte, incluindo repo.magento.com

R

I

Instalação do Adobe Commerce na ferramenta CLI de infraestrutura em nuvem

R

Adicionar arquivos de configuração do Adobe Commerce na infraestrutura em nuvem ao repositório

C

R

Criação de um projeto para o comerciante (interface de integração)

R

I

Conectar repositórios ao Adobe Commerce na infraestrutura em nuvem

R

I

Configurando o repositório de origem¹

R

I

Criar um usuário para o gerenciador de versões (interface de integração)

R

Implantação de código na produção

R

Implantação de código em preparo

R

Integração de aplicativos e extensões externas

R

Instalação de extensões

R

Personalização do Adobe Commerce na infraestrutura em nuvem

R

Teste do desempenho do Adobe Commerce personalizado na infraestrutura em nuvem

R

Teste do aplicativo personalizado

R

Definição de temas e design do aplicativo personalizado

R

Criação, implantação e teste de VCLs de verniz personalizados

C

R

Configuração de DNS (somente infraestrutura de plataforma)

R

C

Desenvolvimento e correção de bugs na extensão CDN

A

C

R

Integração da CDN

R

I

Suporte à CDN²

R

I

C

Configuração de aplicativos New Relic APM e de infraestrutura

R

Instalando aplicativos do New Relic APM e de infraestrutura

R

I

Suporte a aplicativos New Relic APM e de infraestrutura

R

C

Configurando Nginx³

R

Obter um provedor de DNS (somente Pro)

C

R

Fortalecimento do SO

R

Provisionamento dos ambientes de produção e de preparo

R

I

Acesso ao Zendesk para Adobe Commerce na infraestrutura em nuvem

R

C

Resolução de problemas de segurança do comerciante

C

R

C

Resolução de problemas de segurança da infraestrutura em nuvem do Adobe Commerce

R

Resolução de problemas de segurança da CDN

A

R

Resolução de problemas de segurança APM

A

Auxiliar o Adobe com pesquisa de segurança (software)

R

C

Auxiliar o Adobe na pesquisa de segurança (varreduras/auditorias)

R

C

Executando verificações ASV de PCI

R

Remediando verificações de PCI do Adobe Commerce na infraestrutura em nuvem⁴

R

Remediando verificações de PaaS PCI

R

Gerenciamento de segredos de SO e plataforma

R

Gerenciamento de chaves de criptografia da infraestrutura em nuvem do Adobe Commerce

R

Verificação de Adobe Commerce personalizado em instâncias de infraestrutura em nuvem

R

Monitorar logs de segurança

R

Gerenciamento de IAMs e permissões para Adobe Commerce na infraestrutura em nuvem

R

Gerenciamento de controles de acesso de suporte (Teleport)

R

Controle do suporte e do acesso dos comerciantes

R

I

Teste e documentação anuais do plano de DR de Adobe e backup e restauração

R

Teste e documentação anuais do plano de recuperação de desastres

R

¹ Somente se o repositório do Adobe Commerce na infraestrutura em nuvem for usado como o repositório principal. O uso de outros repositórios externos é de exclusiva responsabilidade do comerciante.

O Adobe ² oferece suporte de Nível 1 para problemas com provedores CDN.

³ O comerciante é responsável por todos os controles Ngnix configurados para seus aplicativos.

⁴ Para o PCI, os requisitos de teste de penetração são compartilhados entre o Adobe e o comerciante.

Resumo das responsabilidades operacionais

As tabelas de resumo a seguir esclarecem as responsabilidades operacionais do Adobe e dos comerciantes ao desenvolver, implantar, manter e proteger o Adobe Commerce na infraestrutura em nuvem.

Codificação e desenvolvimento

Código Adobe Commerce principal

Adobe

Comerciante

Publicação de atualizações e patches no Adobe Commerce Core

R

Disponibilidade e patches do sistema de arquivos

R

Publicação de atualizações e correções no ECE-Tools

R

Qualidade do aplicativo principal do Adobe Commerce

R

Repositório de código

Adobe

Comerciante

Disponibilidade do repo.magento.com

R

Disponibilidade do Adobe Commerce no servidor Git da nuvem

R

Outros repositórios de código selecionados pelo comerciante (GitHub, Bitbucket, servidor Git hospedado)

R

Cloud Docker

Adobe

Comerciante

Disponibilização de contêineres do Cloud Docker para download

R

Implantação e configuração do Cloud Docker (opcional)

R

Qualquer outra configuração de desenvolvimento local

R

CLI do Commerce Cloud

Adobe

Comerciante

Qualidade contínua e atualização das ferramentas ECE

R

Instalação da versão mais recente das ferramentas ECE

R

Personalizações

Adobe

Comerciante

Módulos e código personalizados do Adobe Commerce

R

Extensões

R

Integrações personalizadas

R

Implantações

Adobe

Comerciante

Disponibilidade da infraestrutura para criar e implantar código

R

Pipeline de qualidade contínua de configuração de criação e implantação de infraestrutura

R

Configuração de criação e implantação de conteúdo estático

R

Criação e execução do processo de governança de implantação: critérios e gerenciamento de alterações

R

Implantação no ambiente de preparo

R

Implantação no ambiente de produção

R

Reversões de produção

R

Sincronização de ambientes

Os comerciantes são responsáveis por sincronizar dados entre ambientes.

Patches

Adobe

Comerciante

Instalação de atualizações e correções no ECE-Tools

R

Instalação de atualizações e patches no Adobe Commerce Core

R

Disponibilidade do site

Adobe

Comerciante

Aplicativo Adobe Commerce personalizado e sites associados

R

Desempenho

Adobe

Comerciante

Ajuste e otimização de aplicativos principais

R

Ajuste e otimização de código personalizado

R

Código Adobe Commerce personalizado

R

Teste de carga

R

Teste de desempenho

R

Logs e monitoramento

Adobe

Comerciante

Rotação de logs

R

Aplicativo Adobe Commerce personalizado

R

Disponibilidade de serviços da New Relic:
integração de agente e aplicativo de APM, aplicativo de infraestrutura,
integração e registro

R

Configuração de alertas do New Relic

R

Implantação do agente do New Relic em servidores PaaS

R

Depuração e isolamento de problemas

Adobe

Comerciante

Depuração e isolamento de problemas

R

Suporte oportuno ao processo de depuração e isolamento de problemas

R

Configuração de aplicativos e serviços

aplicativo Commerce

Adobe

Comerciante

Configuração do aplicativo

R

Adicionar domínios ao aplicativo do Adobe Commerce (URLs de base)

R

Configurando PaaS para usar versões de Serviços suportadas pela versão implantada do Adobe Commerce

Por exemplo, versões diferentes do Commerce são compatíveis com versões específicas do PHP, Redis, etc.

R

Agendamento de tarefas com trabalhos cron

Adobe

Comerciante

Disponibilidade de trabalhos cron padrão

R

Qualidade contínua de trabalhos cron personalizados

R

Agente de mensagens para estrutura de fila de mensagens

Adobe

Comerciante

Disponibilidade do serviço RabbitMQ

R

Configuração das configurações padrão do RabbitMQ

R

Qualidade e correção contínuas do RabbitMQ

R

Enviar uma solicitação de serviço para instalar uma versão do RabbitMQ compatível com a versão do Adobe Commerce instalada

R

serviço PHP

Adobe

Comerciante

Disponibilidade do PHP

R

Configuração das configurações padrão do PHP

R

Configuração de definições de PHP personalizadas

R

Configuração do arquivo YAML para alinhar as versões do PHP compatíveis com a versão do Adobe Commerce instalada

R

Serviços de banco de dados

Adobe

Comerciante

Disponibilidade dos serviços Galera e MariaDB

R

Manutenção em andamento das configurações padrão do banco de dados

(indexação e otimização das tabelas principais, otimização das configurações padrão sys-admin)

R

Manutenção contínua de dados de comerciante e configurações modificadas

(configuração de tabelas normalizadas versus planas, indexação e otimização de tabelas personalizadas e de terceiros, arquivamento ou remoção de dados, definição das configurações de administração do sistema)

R

Configuração do Galera e do MySQL

R

Qualidade contínua e patches de Galera e MariaDB

R

Otimização contínua da infraestrutura

R

Identificação e correção de consultas lentas

R

Enviar uma solicitação de serviço para instalar uma versão do MariaDB compatível com a versão instalada do Adobe Commerce

R

Configuração e manutenção de políticas de retenção de dados específicas do comerciante (as políticas de retenção de dados específicas do Adobe são definidas no acordo do comerciante)

R

Serviço CDN

Adobe

Comerciante

Disponibilidade e qualidade da CDN

R

Configuração do serviço Fastly (por meio da Extensão/API)

R

Qualidade da extensão do Fastly

R

Qualidade de snippets de VCL de integração Fastly (empacotados com a extensão Fastly)

R

Otimização do cache da página

R

Adicionar domínios aos serviços, à CDN e à infraestrutura

R

Trechos de VCL Personalizados

R

Regras do WAF e WAF

R

Serviço de cache

Adobe

Comerciante

Disponibilidade do serviço Redis

R

Configuração das configurações padrão de Redis

R

Qualidade contínua e correção de Redis

R

Enviar uma solicitação de serviço para instalar uma versão do Redis compatível com a versão do Adobe Commerce instalada

R

Serviço de pesquisa

Adobe

Comerciante

Disponibilidade do Elasticsearch

R

Configuração de definições de Elasticsearch padrão

R

Enviar uma solicitação de serviço para instalar uma versão do Elasticsearch compatível com a versão do Adobe Commerce instalada

R

Serviço de e-mail

Adobe

Comerciante

Disponibilidade do serviço de e-mail SendGrid e sua integração

R

Monitorar o uso do SendGrid do comerciante em relação aos limites

R

O comerciante é responsável por usar o serviço somente para emails transacionais de saída
O serviço não oferece suporte ao envio de emails de marketing.

R

Configuração de serviços de email opcionais de terceiros

R

Serviços de terceiros

Adobe

Comerciante

Disponibilidade e qualidade de serviços de terceiros

R

Extensões do Commerce Services

Serviço de relatório avançado

Adobe

Comerciante

Disponibilidade do Advanced Reporting Service

R

A configuração do relatório avançado está em conformidade com os termos e condições do relatório avançado

R

Commerce Intelligence

Adobe

Comerciante

Disponibilidade de serviços Adobe Commerce Business Intelligence

R

Processos de Sincronização de Dados do MBI

R

Detecção de problemas de sincronização do MBI

R

Configurando a Sincronização de Dados do MBI para Adobe Commerce Cloud Pro, Starter, No Local ou não-Adobe Commerce
(API, Qualidade e formatação de dados, rede comerciante,
Conexões de BD dentro e fora do Adobe Commerce Cloud, acima dos limites de dados)

R

Configurando a Sincronização de Dados do MBI para o Adobe Commerce Cloud Pro
(configuração do banco de dados Adobe Commerce Cloud)

R

Recommendations do produto

Adobe

Comerciante

Disponibilidade do serviço Product Recommendations

R

Serviços de rede

Otimização de imagem

Adobe

Comerciante

Disponibilidade e qualidade da otimização de imagens

R

Configuração da otimização de imagem

R

Certificados SSL

Adobe

Comerciante

Certificado dedicado SSL - expiração

R

Provisionamento de certificados SSL

R

Compra e manutenção de certificado SSL EV/Específico (além dos padrões fornecidos) e fornecimento ao Adobe

R

Firewall de aplicativo da Web (WAF)

Adobe

Comerciante

Disponibilidade e configuração do WAF

R

Solucionando falsos positivos das regras do WAF

R

Relatórios de falsos positivos de regras do WAF

R

Ajuste de regra do WAF (NÃO SUPORTADO)

Logs do WAF/CDN

R

DDOS

Adobe

Comerciante

Bloqueio pró-ativo de IP

R

Proteção de bot

R

Detecção de DDOS - camada 3-4

R

Detecção de DDOS - camada 7

R

Resposta DDOS

R

Link privado

Adobe

Comerciante

Configurar e manter conexões PrivateLink (se usadas) com um VPC de propriedade do Adobe

R

Configurar e manter conexões PrivateLink (se usadas) com uma VPC de propriedade do comerciante

R

Disponibilidade de SSH (Link não privado)

R

Configuração de entrada de PrivateLink para o ponto de acesso do Adobe Commerce Cloud Service

R

Aceitação de entrada de PrivateLink para o ponto de extremidade do Adobe Commerce Cloud Service

R

Configuração de entrada do PrivateLink para o ponto de acesso do serviço VPC do comerciante

R

Aceitação da entrada do PrivateLink para o ponto de acesso do serviço VPC do comerciante

R

Configuração de integrações de PrivateLink (endpoint para conta)

R

Configuração de VPC de propriedade de comerciante para o ponto de extremidade PrivateLink

(incluindo qualquer conexão VPN)

R

Sistema e infraestrutura

Servidor de aplicativos

Adobe

Comerciante

Disponibilidade do Nginx

R

Configuração do Nginx

R

Qualidade contínua e aplicação de patches no Nginx

R

Sistema operacional

Adobe

Comerciante

Disponibilidade do sistema operacional

R

Qualidade e correção contínuas do sistema operacional

R

Backup, alta disponibilidade e failover

Adobe

Comerciante

Disponibilidade de snapshot e processo de backup

R

Agendando backups para ambientes de preparo e produção do Cloud Pro

R

Agendamento de backups para ambientes de integração Cloud Starter e Pro

R

Disponibilidade de HA/failover

R

Servidores em nuvem e dimensionamento

Adobe

Comerciante

Disponibilidade de recursos da CPU, data center, espaço em disco

R

Disponibilidade e execução de capacidade de sobretensão ou upsizing de emergência

R

Solicitando capacidade de sobretensão

R

Monitoramento do uso da vCPU em relação aos limites

R