Accueil
Documentation
HCL Commerce est une plateforme de commerce électronique haute disponibilité, hautement évolutive et personnalisable. Capable de prendre en charge des centaines de milliers de transactions par jour, HCL Commerce vous permet de faire des affaires avec les consommateurs (B2C) ou directement avec les entreprises (B2B). HCL Commerce utilise une technologie conviviale pour faciliter et rendre le déploiement et le fonctionnement à la fois faciles et efficaces. Il fournit des outils faciles à utiliser permettant aux professionnels de créer et gérer des campagnes marketing de précision, des promotions, des catalogues et du marchandisage sur tous les canaux de vente, Les professionnels peuvent créer et gérer des campagnes de marketing de précision, des promotions, des catalogues et du merchandising à travers tous les canaux de distribution. Les professionnels peuvent également utiliser des fonctionnalités de gestion de contenu activées par intelligence artificielle (IA).
Sécurisation
Ces rubriques décrivent les fonctions de sécurité de HCL Commerce et leur mode de configuration.
Considérations sur la sécurité du site
Pour améliorer la sécurité de votre site HCL Commerce, vous pouvez activer diverses fonctionnalités dans la console d'administration ou dans le fichier de configuration HCL Commerce.
Considérations sur la sécurité du serveur Web
Soyez attentif aux considérations de sécurité suivantes pour votre serveur Web et prenez les mesures recommandées pour minimiser toute exposition de sécurité.

Documentation
HCL Commerce est une plateforme de commerce électronique haute disponibilité, hautement évolutive et personnalisable. Capable de prendre en charge des centaines de milliers de transactions par jour, HCL Commerce vous permet de faire des affaires avec les consommateurs (B2C) ou directement avec les entreprises (B2B). HCL Commerce utilise une technologie conviviale pour faciliter et rendre le déploiement et le fonctionnement à la fois faciles et efficaces. Il fournit des outils faciles à utiliser permettant aux professionnels de créer et gérer des campagnes marketing de précision, des promotions, des catalogues et du marchandisage sur tous les canaux de vente, Les professionnels peuvent créer et gérer des campagnes de marketing de précision, des promotions, des catalogues et du merchandising à travers tous les canaux de distribution. Les professionnels peuvent également utiliser des fonctionnalités de gestion de contenu activées par intelligence artificielle (IA).
- Mise en route
  HCL Commerce possède différents avantages pour les utilisateurs professionnels, les administrateurs et les développeurs. HCL Commerce cible chacun de ces rôles avec un ensemble personnalisé d'offres, afin que chaque utilisateur puisse en tirer le meilleur parti.
- Installation et déploiement
  Découvrez comment installer et déployer des environnements de production HCL Commerce development environment et HCL Commerce.
- Migration
  Avant d'effectuer une migration vers HCL Commerce Version 9.1, consultez les informations ci-après pour vous aider à planifier et exécuter votre migration.
- Exploitation
  Les sujets de la catégorie Exploitation mettent en évidence les tâches généralement effectuées par les utilisateurs professionnels et les représentants du support client pour effectuer leurs tâches quotidiennes dans le cadre de l'exploitation du site HCL Commerce.
- Intégration
  Les rubriques de la catégorie Intégration mettent en évidence les tâches couramment effectuées pour l'utilisation de HCL Commerce en association avec d'autres produits.
- Administration
  Les rubriques de la catégorie Administration traitent des tâches généralement effectuées par l'administrateur de site pour prendre en charge les opérations quotidiennes du site HCL Commerce.
- Personnalisation
  Les rubriques de la section Personnalisation décrivent les tâches réalisées par un développeur d'applications pour personnaliser HCL Commerce.
- Tutoriels
  HCL Commerce fournit de nombreux tutoriels pour vous aider à personnaliser et à comprendre votre instance et vos magasins HCL Commerce.
- Exemples
  Les sujets de la catégorie Exemples illustrent différents exemples fournis avec HCL Commerce.
- Conformité
  La section suivante décrit comment vous pouvez tirer parti des fonctions et fonctionnalités d'HCL Commerce pour que votre site soit conforme aux différentes normes de sécurité et de protection de la vie privée.
- Sécurisation
  Ces rubriques décrivent les fonctions de sécurité de HCL Commerce et leur mode de configuration.
  - HCL Commerce modèle de sécurité
    L'authentification est le processus de vérification de l'identité des utilisateurs ou des applications. Dans un système HCL Commerce, l'authentification est requise pour tous les utilisateurs et toutes les applications qui accèdent au système, à l'exception des visiteurs.
  - HCL Commerce modèle d'authentification
    Le modèle d'authentification HCL Commerce est basé sur les concepts suivants : mécanismes de confirmation d'identité, mécanismes d'authentification et registres d'utilisateurs.
  - Autorisation
    HCL Commerce considère le contrôle d'accès ou l'autorisation comme le processus de vérification permettant de déterminer que des utilisateurs ou des applications disposent des droits suffisants pour accéder à une ressource. Cette section décrit en détail les divers aspects du contrôle d'accès HCL Commerce.
  - Liste de contrôle de renforcement de la sécurité du site
    Pour renforcer la sécurité de votre site HCL Commerce, vous pouvez activer et configurer diverses fonctions de sécurité. En outre, les personnalisations de site doivent toujours être effectuées pour se conformer aux bonnes pratiques décrites dans le présent document.
  - Considérations sur la sécurité du site
    Pour améliorer la sécurité de votre site HCL Commerce, vous pouvez activer diverses fonctionnalités dans la console d'administration ou dans le fichier de configuration HCL Commerce.
    - Activation de l'invalidation du mot de passe
      Lorsqu'elle est activée, cette fonction demande aux utilisateurs de HCL Commerce de changer leur mot de passe si celui-ci a expiré. Dans ce cas, l'utilisateur est redirigé vers la page de modification de mot de passe. Les utilisateurs ne peuvent accéder à aucune page sécurisée du site tant qu'ils n'ont pas changé leur mot de passe.
    - Chiffrement des données
      Cette section contient des informations sur les étapes importantes impliquées lors de l'implémentation de la sécurité de votre site. Il existe différentes options de chiffrement disponibles, y compris des informations sur Key Locator Framework (KLF), où vous chiffrez vos données, comment modifier vos clés de chiffrement de session et comment développer un code personnalisé à l'aide d'EncryptionFactory.
    - Application de TLS version 1.2
      Nécessite l'utilisation de la dernière version du protocole de sécurité TLS pour la communication sur votre site. Ce processus garantit que toute faiblesse dans les versions précédentes, ou les protocoles plus anciens et moins sûrs, ne peut pas être utilisée par des parties malveillantes pour obtenir des données sensibles.
    - Activation de la sécurité avec les en-têtes HTTP
      Vous pouvez utiliser des en-têtes HTTP pour transmettre des informations orientées sécurité entre le serveur et le client. Les en-têtes sont disponibles pour empêcher les attaques de type homme du milieu, par script intersite, de reniflage de contenu et par détournement de clic.
    - Activation de la protection des scripts intersite
      Lorsqu'elle est activée, cette fonction rejette toutes les demandes de l'utilisateur contenant des attributs (paramètres) ou des chaînes déclarés comme non admissibles. Vous pouvez également exclure des instructions de la fonction de protection des scripts intersite en autorisant les valeurs des attributs spécifiés pour une instruction donnée à contenir des chaînes non admises. La protection des scripts intersite est désactivée par défaut.
    - Activation de la falsification de requêtes intersite dans Spring
      La falsification de requête intersite est un type d'attaque malveillante qui amène l'utilisateur à envoyer des requêtes non intentionnelles. Par exemple, un agresseur informatique peut amener un utilisateur authentifié à cliquer sur un lien pour mettre à jour ses informations personnelles. HCL Commerce accepte cette requête comme étant valide, dans la mesure où des cookies de session appropriés existent dans le cadre de la requête.
    - Désactivation de la protection des scripts intersite pour le Centre de gestion
      Lorsqu'elle est activée, cette fonction rejette toutes les demandes de l'utilisateur contenant des attributs (paramètres) ou des chaînes déclarés comme non admissibles. Vous pouvez également exclure des instructions de la fonction de protection des scripts intersite en autorisant les valeurs des attributs spécifiés pour une instruction donnée à contenir des chaînes non admises. La protection des scripts intersite est activée par défaut, mais vous pouvez la désactiver en fonction de vos exigences en matière de sécurité.
    - Activation de la validation de données en liste blanche
      Lorsqu'elle est activée, la validation de données en liste blanche permet de faire en sorte que lors de l'exécution d'une commande ou vue URL, les valeurs de paramètre sont conformes à une expression régulière spécifiée. Par exemple, vous pouvez la configurer de façon à ce que storeId soit obligatoirement un entier. Lorsqu'une violation de liste blanche est détectée, la demande est modifiée afin d'être transmise à la vue ProhibCharEncodingErrorView. La validation de données en liste blanche est désactivée par défaut.
    - Activation de la protection de contrefaçon de demande intersites en code Struts
      La falsification de requête intersite est un type d'attaque malveillante qui amène l'utilisateur à envoyer des requêtes non intentionnelles. Par exemple, un agresseur informatique peut amener un utilisateur authentifié à cliquer sur un lien pour mettre à jour ses informations personnelles. HCL Commerce accepte cette requête comme étant valide, dans la mesure où des cookies de session appropriés existent dans le cadre de la requête.
    - Activation de la protection de falsification de requêtes intersite dans REST
      L'activation de la protection contre la falsification de requête intersites (CSRF) est recommandée lors de l'utilisation d'API REST avec des cookies pour l'authentification. Si votre API REST utilise les jetons WCToken ou WCTrustedToken pour l'authentification, une protection CSRF supplémentaire n'est pas nécessaire.
    - Activation du filtrage de réacheminement d'URL
      Lorsque vous activez le filtrage de redirection d'URL, HCL Commerce rejette les demandes qui tentent d'effectuer une redirection vers un site non autorisé. Cette fonction permet d'empêcher les attaques d'hameçonnage au cours desquelles un lien présent sur un site HCL Commerce envoie le client vers un autre site.
    - Activation de la journalisation des accès
      Lorsqu'elle est activée, la fonction de journalisation des accès consigne soit toutes les demandes entrantes dans le Transaction server, soit uniquement les demandes qui entraînent des violations d'accès. par exemple, l'échec d'une authentification, des droits insuffisants pour exécuter une commande. Lorsque cette fonction est active, l'administrateur HCL Commerce peut rapidement identifier les risques pour la sécurité du système HCL Commerce.
    - Activation de la couche SSL pour les services Web sortants
      Vous pouvez activer SSL pour les services Web en utilisant la console d'administration WebSphere Application Server pour le développement et le test, et à l'aide des commandes Run Engine pour les modifications de configuration permanentes.
    - Chiffrement des données en code personnalisé avec EncryptionFactory
      EncryptionFactory est une classe de fabrique qui initialise l'ensemble des classes du fournisseur de chiffrement qui sont utilisées au moment de l'exécution pour chiffrer et déchiffrer les données. Tous les fournisseurs de chiffrement doivent implémenter l'interface com.ibm.commerce.foundation.common.util.encryption.EncryptionProvider.
    - Considérations sur la sécurité du serveur Web
      Soyez attentif aux considérations de sécurité suivantes pour votre serveur Web et prenez les mesures recommandées pour minimiser toute exposition de sécurité.
    - Mise en place de stratégies liées aux comptes
      Afin de renforcer la sécurité de votre site, assurez-vous que vous êtes au courant et à jour de toutes les stratégies liées aux comptes.
    - Activation d'instructions protégées par mot de passe
      Lorsque cette fonction est activée, HCL Commerce demande aux utilisateurs enregistrés connectés à HCL Commerce d'entrer leur mot de passe avant de poursuivre une demande qui utilise des instructions précises de HCL Commerce. Lorsque vous configurez des instructions protégées par mot de passe, soyez conscients des conséquences inhérentes à la spécification d'une instruction exécutable par des utilisateurs génériques ou invités. La protection de ces instructions par mot de passe empêche les utilisateurs génériques et les visiteurs de les exécuter.
    - Configuration de Réinitialiser le mot de passe pour utiliser des codes de validation longs
      Lorsqu'un utilisateur enregistré demande la réinitialisation d'un mot de passe oublié, vous pouvez configurer l'URL de mot de passe de réinitialisation pour envoyer un code de validation généré au hasard au lieu d'un mot de passe temporaire. Par défaut, ce code peut faire jusqu'à 100 caractères.
    - Configuration de Réinitialiser le mot de passe pour utiliser des codes de validation courts
      Lorsqu'un client demande une modification de mot de passe, vous pouvez configurer la fonction Réinitialiser le mot de passe pour lui envoyer un code de validation numérique court. Avant la version 9.1.7.0, le code de validation était long, jusqu'à 100 caractères. Vous pouvez toujours utiliser le code de validation de code long, mais cette approche est obsolète et sera abandonnée dans une édition ultérieure.
    - Empêcher les utilisateurs privilégiés de se connecter en externe
      Le fichier wc-server.xml inclut un en-tête de serveur Web personnalisable. Vous pouvez modifier cet en-tête pour contrôler si les utilisateurs privilégiés peuvent se connecter au magasin à partir de réseaux externes. Cette infrastructure réduit la possibilité d'une attaque externe si un compte avec un accès de niveau administratif, comme un représentant du service à la clientèle ou un administrateur du site, est compromis.
  - Gestion des sessions
    Les navigateurs et les sites de commerce électronique utilisent le protocole HTTP pour communiquer. Etant donné qu'HTTP est un protocole sans état (ce qui signifie que chaque instruction est exécutée indépendamment sans aucune connaissance des instructions qui l'ont précédée), un mode de gestion des sessions entre le navigateur et le serveur doit être mis en place car il s'agit d'un protocole sans état.
  - Aide-mémoire sur les ID utilisateur, les mots de passe et les adresses Web
    L'administration dans l'environnement HCL Commerce requiert tout un ensemble d'ID utilisateur. Ces ID utilisateur, ainsi que leurs droits d'accès, sont décrits dans la liste ci-après. Pour les ID utilisateur HCL Commerce, les mots de passe par défaut sont identifiés.
  - Activation de la sécurité WebSphere Application Server
    Vous pouvez activer la sécurité WebSphere Application Server, qui inclut deux composants orthogonaux : Sécurité globale de WebSphere et Java 2.
- Performances
  Les rubriques de la section Performances décrivent les moyens par lesquels vous pouvez planifier, implémenter, tester et revoir l'optimisation des performances du site HCL Commerce.
- Identification des incidents
  Les rubriques de la section Résolution des problèmes mettent en évidence les problèmes courants rencontrés HCL Commerce et comment ils peuvent être traités ou atténués.
- Référence
  Les rubriques de la section Référence contiennent toute la documentation de référence HCL Commerce.

Considérations sur la sécurité du serveur Web

Soyez attentif aux considérations de sécurité suivantes pour votre serveur Web et prenez les mesures recommandées pour minimiser toute exposition de sécurité.

Suivez les bulletins de sécurité de votre serveur Web pour vous assurer que vous connaissez tous les problèmes potentiels qui sont considérés comme étant des vulnérabilités de sécurité. Les bulletins de sécurité IBM fournissent des informations d'évaluation des risques de sécurité pour vous aider à évaluer si un problème particulier peut affecter votre organisation.
Désactivez les protocoles SSL faibles. Par exemple, SSLv2 et SSLv3.
Désactivez les chiffrements SSL faibles. Par exemple, RC4.
Utilisez TLSv1.2 avec une suite de chiffrement AEAD pour maximiser la sécurité de la couche de transport et atténuer une attaque POODLE potentielle. Pour plus d'informations sur la façon d'imposer l'utilisation de TLSv1.2 avec WebSphere Commerce, reportez-vous à Application de TLS version 1.2.
Remarque : Les anciens navigateurs peuvent ne pas prendre en charge TLSv1.2 par défaut. Vérifiez que vous utilisez un protocole qui garantit la sécurité de votre site, tout en permettant aux clients d'y accéder.
Configurez le traitement des exceptions et désactivez les comportements de serveur Web standard pour bloquer les demandes destinées à sonder votre serveur web. Ces demandes peuvent révéler des informations sur la technologie sous-jacente et la structure de répertoires de votre site.
- Tous les codes d'état 4xx doivent rediriger vers une page d'erreur générique. Pour un traitement d'erreurs personnalisé, voir HCL customized error pages.
- Par défaut, la plupart des serveurs Web s'identifient dans chaque réponse HTTP. Ces informations comprennent le nom et la version des logiciels des serveurs Web. Pour désactiver ce comportement sur IBM HTTP Server, voir AddServerHeader Directive.
Empêchez l'injection d'en-tête d'hôte en implémentant RewriteRules pour autoriser uniquement les hôtes connus. Pour plus d'informations, voir Blocking unrecognized hostnames.
Par exemple,
```
RewriteEngine ON
RewriteCond %{HTTP_HOST} !=www.mycompanyname.com
RewriteCond %{HTTP_HOST} !=mycompanyname.com
  ...
RewriteRule .* - [F]
```