Vous consultez la documentation d'Apigee Edge.
Accédez à la documentation sur Apigee X. info
Pour qu'un client soit conforme à la norme PCI sur le cloud public Apigee Edge, il existe des actions et des processus dont le client est propriétaire dans le cadre du "modèle de responsabilité partagée". Les éléments suivants doivent être examinés par les clients qui ont acheté le pack de conformité PCI et qui sont tenus de se conformer à la norme PCI. Ces éléments sont en libre-service dans Edge et doivent être traités pour que l'organisation cliente (org) soit conforme à la norme PCI. Le concept global est "Google sécurise la plate-forme, le client sécurise ses données".
Tableau de responsabilité du client
Les clients doivent se référer à la matrice de responsabilité Google Apigee PCI-DSS 3.2.1 et la partager avec leur évaluateur de sécurité qualifié PCI lorsqu'ils effectuent leur propre audit PCI.
Mappage des exigences PCI
| Exigences PCI | Section |
|---|---|
| Exigence 7 : Restreindre l'accès aux données des titulaires de cartes sur la base du besoin de connaître | |
| Exigence 3 : Protéger les données stockées des titulaires de cartes | |
| Exigence 10: Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes | |
| Exigence 8 : Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur | |
| Exigence 11 : Tester régulièrement les systèmes et les processus de sécurité | |
| Exigence 4: Chiffrer la transmission des données des titulaires de cartes sur les réseaux ouverts et publics | |
| Exigence 3 : Protéger les données stockées des titulaires de cartes | |
| Exigence 4: Chiffrer la transmission des données des titulaires de cartes sur les réseaux ouverts et publics |
Pour obtenir une Attestation de Conformité (AOC) à la Norme de Sécurité des Données PCI, ouvrez une demande auprès de l'assistance Apigee ou contactez votre équipe commerciale Apigee.
Trace / Débogage
La fonctionnalité Trace/Debug est un outil de dépannage qui permet à l'utilisateur d'afficher l'état et le contenu d'un appel d'API au cours de son traitement via le processeur de messages Apigee. Trace et débogage sont deux noms désignant le même service, mais auxquels on accède via des mécanismes différents. "Trace" est le nom de ce service dans l'UI Edge. "Debug" est le nom du même service lorsqu'il est utilisé via des appels d'API. L'utilisation du terme "trace" dans ce document s'applique à la fois au traçage et au débogage.
Lors d'une session de trace, le "Masquage des données" est appliqué. Cet outil peut empêcher l'affichage des données lors d'une analyse. Consultez la section Masquage des données ci-dessous.
Les mappages clé-valeur (KVM) chiffrés peuvent être utilisés pour les clients PCI. Si un KVM chiffré est utilisé, la fonctionnalité de suivi peut toujours être utilisée, mais certaines variables ne seront pas visibles sur l'écran de suivi. Vous pouvez prendre des mesures supplémentaires pour afficher également ces variables lors d'une trace.
Pour obtenir des instructions détaillées sur l'utilisation de Trace, consultez la page Utiliser l'outil Trace.
Pour en savoir plus sur les KVM, y compris les KVM chiffrés, consultez la section Utiliser des mappages clé-valeur.
Utilisation/Autorisations
L'accès à la trace est géré via le système RBAC (Contrôle des accès basé sur les rôles) pour les comptes utilisateur dans Edge. Des instructions détaillées sur l'utilisation du système RBAC pour accorder et révoquer les privilèges de traçage sont disponibles sur les pages Attribuer des rôles et Créer des rôles personnalisés dans l'interface utilisateur. Les autorisations de traçage permettent à l'utilisateur de lancer une trace, de l'arrêter et d'accéder à la sortie d'une session de traçage.
Puisque Trace a accès à la charge utile des appels d'API (anciennement appelée "corps du message"), il est important de déterminer qui a accès à l'exécution d'une trace. Le client étant responsable de la gestion des utilisateurs, il est également responsable de l'attribution des autorisations de traçage. En tant que propriétaire de la plate-forme, Apigee peut ajouter un utilisateur à une organisation cliente et lui attribuer des droits. Cette fonctionnalité n'est utilisée que lorsque le client demande de l'aide, dans une situation où il semble que le service client ne fonctionne pas et que l'examen d'une session de suivi est censé fournir les meilleures informations sur l'origine du problème.
Masquage des données
Le masquage des données empêche l'affichage des données sensibles au cours d'une session de trace/débogage uniquement, à la fois dans l'outil de trace (UI Edge) et dans le backend par le débogage (API Edge). Pour savoir comment configurer le masquage, consultez la section Masquer et cacher des données. Le masquage des données sensibles fait partie de l'Exigence PCI 3 : Protéger les données stockées des titulaires de cartes.
Le masquage des données n'empêche PAS les données d'être visibles dans les fichiers journaux, le cache, les analyses, etc. Pour obtenir de l'aide concernant le masquage des données dans les journaux, envisagez d'ajouter un format d'expression régulière au fichier logback.xml. Les données sensibles ne doivent généralement pas être écrites dans le cache ou dans les analyses sans justification valable de l'entreprise et un examen par les équipes juridiques et de sécurité du client.
Caches L1 et L2
Le cache est disponible pour les clients PCI uniquement pour les données non réglementées. Le cache ne doit pas être utilisé pour les données de titulaire de carte (CHD, Card Holder Data) PCI. Il n'est pas approuvé par l'audit de conformité PCI Apigee comme emplacement de stockage des CHD. Conformément aux consignes de la norme PCI (Exigence 3: Protéger les données stockées des titulaires de cartes) , les données PCI ne doivent être stockées que dans un emplacement conforme à la norme PCI. L'utilisation du cache L1 utilise également automatiquement le cache L2. Le cache L1 est "en mémoire uniquement", tandis que le cache L2 écrit des données sur le disque pour se synchroniser sur plusieurs caches L1. C'est le cache L2 qui synchronise plusieurs processeurs de messages au sein d'une région et à l'échelle mondiale. Il n'est actuellement pas possible d'activer le cache L1 sans cache L2 en arrière-plan. Le cache L2 écrit les données sur le disque afin qu'elles puissent être synchronisées avec d'autres processeurs de messages pour l'organisation cliente. Étant donné que le cache L2 écrit les données sur le disque, l'utilisation du cache pour les données CHD ou d'autres données limitées n'est pas prise en charge.
Les clients sont autorisés à utiliser le cache pour les données autres que les données de santé et les données non restreintes. Nous ne désactivons pas le cache par défaut pour les clients PCI, car certains d'entre eux exécutent à la fois des appels d'API PCI et non PCI via une seule organisation. Étant donné que cette fonctionnalité est toujours activée pour les clients PCI, il est de leur responsabilité d'utiliser le service de manière appropriée et de former leurs utilisateurs à ne pas utiliser le cache lorsque des données PCI sont susceptibles d'être présentes dans l'appel d'API. L'audit de conformité PCI Apigee n'est pas compatible avec les CHD stockées dans le cache.
Pour obtenir des instructions détaillées sur l'utilisation du cache, consultez Ajouter la mise en cache et la persistance.
Piste d'audit
Les clients ont la possibilité d'examiner la piste d'audit de toutes les activités d'administration effectuées dans l'organisation du client, y compris l'utilisation de Trace. Pour obtenir des instructions détaillées, consultez cette page et Utiliser l'outil de suivi. (Exigence PCI 10: Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes)
Exigences relatives aux mots de passe complexes ou SAML
Les clients ayant des exigences de mot de passe spécifiques doivent utiliser SAML pour répondre à leurs exigences individuelles. Consultez Activer l'authentification SAML pour Edge. Edge propose également une authentification multifacteur (Exigence PCI 8: Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur). Consultez Activer l'authentification à deux facteurs pour votre compte Apigee.
Sécurité des points de terminaison
Analyse des points de terminaison
L'analyse et les tests des hôtes sont requis pour assurer la conformité PCI (exigence 11: Tester régulièrement les systèmes et les processus de sécurité). Pour Edge Cloud, les clients sont responsables de l'analyse et du test de leurs points de terminaison d'API (parfois appelés "composants d'exécution") dans Edge. Les tests clients doivent couvrir les services de proxy d'API réels hébergés sur Edge, où le trafic d'API est envoyé à Edge avant d'être traité, puis transmis au centre de données client. Les tests de ressources partagées, comme l'UI du portail de gestion, ne sont pas approuvés pour chaque client (un rapport tiers portant sur les tests des services partagés est mis à disposition des clients selon un accord de non-divulgation et sur demande).
Le test des points de terminaison d'API par les clients est vivement conseillé. Votre contrat avec Apigee n'interdit pas les tests de vos points de terminaison d'API, mais vous ne pouvez pas tester l'UI de gestion partagée. Toutefois, si des précisions supplémentaires sont nécessaires, veuillez ouvrir une demande d'assistance en faisant référence aux tests que vous prévoyez de réaliser. Une notification adressée à l'avance à Apigee est appréciée pour nous informer du trafic de test.
Les clients qui testent leurs points de terminaison doivent rechercher tout problème spécifique à l'API, tout problème lié aux services Apigee, et également contrôler le TLS et d'autres éléments configurables. Tous les éléments liés aux services Apigee doivent être communiqués à Apigee via une demande d'assistance.
La plupart des éléments liés au point de terminaison sont des éléments de libre-service client et peuvent être corrigés en examinant la documentation Edge. Si la façon de corriger certains éléments n'est pas claire, veuillez ouvrir une demande d'assistance.
Configuration TLS
Conformément aux normes PCI, SSL et les premiers TLS doivent être migrés vers des versions sécurisées. Il incombe aux clients de définir et de configurer leurs propres points de terminaison TLS pour les proxys d'API. Il s'agit d'une fonctionnalité en libre-service dans Edge. Les exigences des clients en matière de chiffrement, de protocole et d'algorithmes sont très variables et spécifiques aux cas d'utilisation individuels. Étant donné qu'Apigee ne connaît pas les détails de conception d'API et de charges utiles de chaque client, les clients ont la responsabilité de déterminer le chiffrement approprié pour les données en transit. Des instructions détaillées sur la configuration TLS sont disponibles dans la section TLS/SSL.
Stockage de données
Le stockage de données au sein d'Edge n'est pas nécessaire au bon fonctionnement d'Edge. Toutefois, des services sont disponibles pour le stockage de données dans Edge. Les clients peuvent choisir de stocker des données à l'aide du cache, de mappages clé-valeur ou d'analyses. Aucun de ces services n'est autorisé à stocker des Données de Titulaire de Carte (CHD, Card Holder Data) conformément à l'audit PCI Apigee. Conformément à l'Exigence 3 (Protéger les données stockées des titulaires de cartes), les données PCI doivent être stockées uniquement dans des emplacements conformes à la norme PCI. L'utilisation de ces services est proposée aux clients pour stocker des données ne relevant pas de la norme PCI ou d'autres données non restreintes, conformément aux exigences légales et de sécurité du client. Ces services sont des éléments en libre-service client. Par conséquent, il incombe au client de les configurer de manière à ne pas capturer ni stocker des Données de Titulaire de Carte. Les vérifications de la configuration, des stratégies et des déploiements par les administrateurs du client sont recommandées pour éviter toute utilisation accidentelle ou malveillante des services de stockage de données dans Edge de manière non conforme .
Chiffrement des données
Les outils de chiffrement des données ne sont pas proposés aux clients pour leur utilisation dans Edge. Toutefois, les clients sont libres de chiffrer leurs données PCI avant de les envoyer à Edge. Exigence PCI 4: (Chiffrer la transmission des données des titulaires de cartes sur les réseaux ouverts et publics) recommande de chiffrer les données de titulaire de carte sur les réseaux ouverts et publics. Les données chiffrées dans la charge utile (ou le corps du message) n'empêchent pas Edge de fonctionner. Certaines règles Edge peuvent ne pas pouvoir interagir avec les données si elles sont reçues chiffrées par le client. Par exemple, une transformation n'est pas possible si les données elles-mêmes ne peuvent pas être modifiées par Edge. Toutefois, d'autres règles ainsi que des groupes et des règles créés par le client fonctionneront même si la charge utile de données est chiffrée.