HCL Commerce modèle de sécurité

Le processus d'authentification des utilisateurs est configuré par défaut pour s'exécuter sous SSL. Cela permet de s'assurer qu'une tierce personne utilisant des programmes de reniflage de réseau ne peut pas espionner le réseau lorsqu'un utilisateur envoie un mot de passe. Les mots de passe ne sont jamais déchiffrés lors du processus d'authentification. Il est généralement recommandé de conserver les mots de passe chiffrés lors de la procédure d'authentification. Tous les mots de passe utilisateur ont un sel de cryptage spécifique d'un utilisateur. Ils sont hachés unidirectionnellement selon la fonction SHA-256 et chiffrés à l'aide d'une clé de chiffrement basée sur la merchant key. Le hachage unidirectionnel garantit que les mots de passe utilisateur ne peuvent être déchiffrés par personne, y compris l'administrateur de site ou du système. La merchant key qui est spécifiée lors de l'installation et la configuration du système HCL Commerce, et peuvent être modifiés aussi souvent que nécessaire afin d'assurer la sécurité du site.

Le chiffrement AES 128 bits est utilisé pour chiffrer les données dans HCL Commerce. Le chiffrement, dans la base de données, d'informations sensibles telles que les données de carte de crédit (si elles sont conservées dans la base de données) et les mots de passe, s'effectue à l'aide de la clé de chiffrement fournie par le client (32 caractères hexadécimaux). Cette clé de chiffement est appelée « clé de commerçant ». Le chiffrement des données de session, telles que les cookies, utilise la clé de session que le client fournit à titre de clé de chiffrement. Le chiffrement des données contenues dans les fichiers de configuration et dans Vault utilise une clé de chiffrement interne.

Qu'est-ce que l'autorisation ?

L'autorisation est le processus visant à déterminer si un utilisateur peut exécuter une opération spécifique sur une ressource. L'autorisation est déterminée à partir des stratégies de contrôle d'accès régissant les ressources de HCL Commerce. Dans un système HCL Commerce, le contrôle d'accès est nécessaire pour s'assurer que seules les parties autorisées peuvent exécuter différents groupes de commandes HCL Commerce.

Que sont les stratégies de contrôle d'accès ?

Supposons que vous ayez terminé de définir les organisations et les utilisateurs qui participeront à votre site de commerce électronique. Vous pouvez maintenant gérer leurs activités via un groupe de stratégies.

Une stratégie de contrôle d'accès est une règle qui décrit quel groupe d'utilisateurs est autorisé à exécuter des activités données sur votre site. Ces activités peuvent aller de l'enregistrement à la mise à jour du catalogue de produits, l'octroi d'approbations pour des commandes, ainsi que l'une des centaines d'autres activités requises pour faire fonctionner et gérer un site de commerce électronique.

Les stratégies permettent aux utilisateurs d'accéder à votre site. A moins qu'une ou plusieurs stratégies de contrôle d'accès ne les autorisent à exercer leurs responsabilités, les utilisateurs n'ont pas accès à toutes les fonctions de votre site.

Le modèle d'autorisation de HCL Commerce est basé sur l'application de stratégies de contrôle d'accès. Les stratégies de contrôle d'accès sont mises en application par le gestionnaire des stratégies de contrôle d'accès. En règle générale, lorsqu'un utilisateur tente d'accéder à une ressource protégeable, le gestionnaire des stratégies de contrôle d'accès détermine d'abord les stratégies de contrôle d'accès qui s'appliquent à l'utilisateur. Puis, en fonction de ces stratégies, il détermine si l'utilisateur est autorisé à effectuer l'opération demandée sur la ressource concernée.

Qu'est-ce qu'un fichier d'audit ?

En informatique, un fichier d'audit fait référence à des journaux électroniques ou imprimés qui sont utilisés pour suivre l'activité de l'ordinateur. Par exemple, un employé peut avoir accès à une partie d'un réseau d'une entreprise, telle que les comptes client. Même si un employé a accès aux comptes clients, l'employé peut ne pas être autorisé à accéder à d'autres parties du système, telles que la paie. Si cet employé tente d'accéder à une section non autorisée en tapant des mots de passe, cette activité non autorisée est enregistrée dans le fichier d'audit.

Dans les systèmes de commerce électronique, les fichiers d'audit sont utilisés pour enregistrer l'activité des clients. Un fichier d'audit enregistre le contact initial d'un client avec le système, ainsi que les actions suivantes telles que le paiement et la livraison du produit ou service. Les entreprises peuvent utiliser le fichier d'audit pour répondre à des interrogations ou plaintes. Elles peuvent également s'en servir pour synchroniser des comptes, offrir une analyse et des informations historiques en vue de l'établissement de plans et d'un budget, et fournir un enregistrement des ventes dans un audit des taxes.

Les fichiers d'audit peuvent également permettre d'enquêter sur des délits informatiques commis dans le cyberespace et sur Internet. Pour démasquer un individu perpétrant des attaques malveillantes sur un système, les enquêteurs peuvent suivre la trace laissée par le malfaiteur dans le fichier d'audit. Les auteurs de cyber-forfaits laissent parfois malgré eux des fichiers d'audit dans les journaux d'activité de leurs fournisseurs d'accès à Internet ou peut-être dans les journaux de forums de discussion.

Qu'est-ce que la confidentialité ?

La confidentialité est le processus qui permet d'empêcher que des informations sensibles soient déchiffrées par des personnes autres que leurs destinataires. Dans le système HCL Commerce, la confidentialité est requise lorsque des informations sensibles circulent du navigateur de l'utilisateur vers le Transaction server, et du Transaction server vers le navigateur de l'utilisateur. SSL (Secure Sockets Layer) assure la confidentialité de ce scénario.

La confidentialité est également très importante dans la gestion de session. Etant donné que le protocole HTTP (Hypertext Transfer Protocol) est sans état, un cookie est généralement utilisé pour identifier continuellement l'utilisateur auprès du Transaction server. Le vol de ce cookie peut compromettre le compte utilisateur et entraîner ce que l'on appelle communément un « piratage de session ». HCL Commerce empêche le piratage de session par le biais de fonctionnalités uniques des spécifications des cookies, comme indiqué dans Gestion de session.