أنت تطّلع على مستندات Apigee Edge.
انتقِل إلى
مستندات Apigee X. info
لكي يكون العميل متوافقًا مع معيار أمان بيانات قطاع بطاقات الدفع (PCI DSS) على Apigee Edge Public Cloud، هناك بعض الإجراءات والعمليات التي يملكها العميل بموجب "نموذج المسؤولية المشتركة". على العملاء الذين اشتروا حزمة الامتثال لمعيار PCI مراجعة العناصر التالية وهم ملزمون بالامتثال لمعيار PCI. يمكن تنفيذ هذه الإجراءات بنفسك ضمن Edge، ويجب معالجتها لكي تكون مؤسسة العميل متوافقة مع معيار PCI. ويتمثل المفهوم العام في أنّ "Google تُؤمِّن المنصة، ويُؤمِّن العميل بياناته".
مصفوفة مسؤولية العميل
على العملاء الرجوع إلى Google Apigee PCI-DSS 3.2.1 Responsibility Matrix ومشاركتها مع مقيّم الأمان المؤهَّل لمعايير PCI عند إجراء عملية تدقيق PCI الخاصة بهم.
تعيين متطلبات PCI
| متطلّبات منفذ الملحقات الإضافية (PCI) | Section |
|---|---|
| المتطلّب 7: تقييد الوصول إلى بيانات حامل البطاقة حسب الحاجة إلى المعرفة في النشاط التجاري | |
| المتطلّب 3: حماية بيانات حامل البطاقة المخزّنة | |
| المتطلّب 10: تتبُّع جميع عمليات الوصول إلى موارد الشبكة وبيانات حاملي البطاقة ومراقبتها | |
| المتطلّب 8: منح معرّف فريد لكل شخص لديه إذن الوصول إلى الكمبيوتر | |
| المتطلّب 11: اختبار أنظمة الأمان والعمليات بانتظام | |
| المتطلّب 4: تشفير نقل بيانات حامل البطاقة عبر الشبكات المفتوحة والعامة | |
| المتطلّب 3: حماية بيانات حامل البطاقة المخزّنة | |
| المتطلّب 4: تشفير نقل بيانات حامل البطاقة عبر الشبكات المفتوحة والعامة |
للحصول على شهادة الامتثال لمعيار أمان بيانات قطاع بطاقات الدفع (AOC)، يُرجى فتح طلب دعم لدى فريق دعم Apigee أو التواصل مع فريق مبيعات Apigee.
التتبّع / تصحيح الأخطاء
التتبُّع/التصحيح هو أداة لتحديد المشاكل وحلّها تسمح للمستخدم بعرض حالة طلب بيانات من واجهة برمجة التطبيقات ومحتوياته أثناء معالجته من خلال "معالج رسائل Apigee". التتبُّع وتصحيح الأخطاء هو اسمان للخدمة نفسها، ولكن يتم الوصول إليهما من خلال آليات مختلفة. "التتبُّع" هو اسم هذه الخدمة داخل واجهة مستخدم Edge. Debug هو اسم الخدمة نفسها عند استخدامها من خلال طلبات البيانات من واجهة برمجة التطبيقات. إنّ استخدام مصطلح "التتبّع" في هذا المستند صالح لكلّ من "التتبّع" و"تصحيح الأخطاء".
أثناء جلسة التتبّع، يتم فرض "إخفاء البيانات". يمكن لهذه الأداة منع عرض البيانات أثناء عملية التتبّع. راجِع قسم تصغير البيانات أدناه.
يمكن استخدام "جداول قيم مفاتيح مشفّرة" (KVM) لعملاء PCI. في حال استخدام مبدل KVM مشفَّر، قد يظل بإمكانك استخدام ميزة "التتبّع"، ولكن لن تظهر بعض المتغيّرات في شاشة عرض "التتبّع". من الممكن اتّخاذ خطوات إضافية لعرض هذه المتغيّرات أيضًا أثناء التتبّع.
تتوفّر تعليمات تفصيلية حول استخدام أداة "التتبّع" في مقالة استخدام أداة "التتبّع".
تتوفّر تفاصيل عن خرائط قيم المفاتيح، بما في ذلك خرائط قيم المفاتيح المشفَّرة، في مقالة العمل مع خرائط قيم المفاتيح.
الاستخدام/الأذونات
يتمّ إدارة الوصول إلى "التتبّع" من خلال نظام "التحكم في الوصول المستنِد إلى الدور" (RBAC) لحسابات المستخدِمين ضمن Edge. تتوفّر تعليمات مفصّلة حول استخدام نظام "منح الأدوار بالاستناد إلى الدور" لمنح امتيازات "تتبُّع " وإبطالها في مقالتَي منح الأدوار وإنشاء أدوار مخصّصة في واجهة مستخدم. تسمح أذونات التتبّع للمستخدم ببدء عملية تتبّع وإيقافها والوصول إلى الإخراج من جلسة التتبّع.
بما أنّ ميزة "التتبّع" يمكنها الوصول إلى الحمولة من طلبات بيانات واجهة برمجة التطبيقات (المعروفة رسميًا باسم "نص الرسالة")، من المهم تحديد المستخدمين الذين يمكنهم تنفيذ عملية تتبّع. بما أنّ إدارة المستخدمين هي مسؤولية العميل، فإنّ منح أذونات التتبّع هي أيضًا مسؤولية العميل. يمكن لشركة Apigee، بصفتها مالك المنصة، إضافة مستخدم إلى مؤسسة عميل ومنح العميل الامتيازات. لا يتم استخدام هذه الإمكانية إلا عند طلب العميل الحصول على الدعم في حال تعذّر حلّ المشكلة من خلال خدمة العملاء، ويُعتقد أنّ مراجعة جلسة التتبّع تقدّم أفضل المعلومات عن السبب الأساسي.
إخفاء البيانات
يمنع حجب البيانات عرض البيانات الحسّاسة أثناء جلسة التتبّع/التصحيح فقط، سواء في التتبّع (واجهة مستخدم Edge) أو في الخلفية من خلال التصحيح (Edge API). يمكنك الاطّلاع على تفاصيل حول كيفية إعداد عملية إخفاء البيانات في مقالة إخفاء البيانات وإخفائها. يُعدّ إخفاء البيانات الحسّاسة جزءًا من متطلّبات PCI 3 - حماية بيانات حامل البطاقة المخزّنة.
لا تمنع ميزة إخفاء البيانات ظهور البيانات في ملفات السجلّ وذاكرة التخزين المؤقت والإحصاءات وغيرها. للحصول على مساعدة بشأن إخفاء البيانات في السجلّات، ننصحك بإضافة نمط تعبير عادي إلى ملف logback.xml. يجب عدم كتابة البيانات الحسّاسة عادةً في ذاكرة التخزين المؤقت أو الإحصاءات بدون مبرّر قوي لنشاطك التجاري ومراجعة من قِبل فِرق الأمان والشؤون القانونية للعملاء.
ذاكرة التخزين المؤقت (المستوى 1 و2)
تتوفّر ميزة التخزين المؤقت لعملاء PCI لاستخدامها مع البيانات غير الخاضعة للرقابة فقط. يجب عدم استخدام ذاكرة التخزين المؤقت لبيانات حامل بطاقة PCI (CHD)، لأنّه لم تتم الموافقة عليها من خلال تدقيق امتثال Apigee لمعايير PCI كأحد أماكن تخزين CHD. وفقًا لإرشادات PCI (المتطلب 3: حماية بيانات حاملي البطاقات المخزّنة)، يجب عدم تخزين بيانات PCI إلا في مكان يتوافق مع PCI. سيؤدي استخدام ذاكرة التخزين المؤقت L1 إلى استخدام ذاكرة التخزين المؤقت L2 تلقائيًا أيضًا. ذاكرة التخزين المؤقت L1 هي "ذاكرة فقط"، في حين أنّ ذاكرة التخزين المؤقت L2 تكتب البيانات على القرص للمزامنة على مستوى ذاكرات تخزين مؤقت متعددة من النوع L1. ذاكرة التخزين المؤقت من المستوى الثاني هي ما يحافظ على مزامنة معالجات الرسائل المتعددة داخل منطقة وبشكلٍ عام. ليس من الممكن حاليًا تفعيل ذاكرة التخزين المؤقت L1 بدون ذاكرة تخزين مؤقت L2. تُسجِّل ذاكرة التخزين المؤقت من المستوى الثاني البيانات على القرص حتى يمكن مزامنتها مع معالجات الرسائل الأخرى لمؤسّسة العميل. بما أنّه تُسجِّل ذاكرة التخزين المؤقت من المستوى الثاني البيانات على القرص، لا يُسمَح باستخدام ذاكرة التخزين المؤقت لبيانات CHD أو البيانات الأخرى المحظورة.
يُسمح للعملاء باستخدام ذاكرة التخزين المؤقت للبيانات غير المشمولة في "البيانات الوصفية للعملاء" والبيانات الأخرى غير المقيّدة. لا نُطفئ ملف التخزين المؤقت تلقائيًا لعملاء PCI، لأنّ بعض العملاء يُجريان كلّ من طلبات بيانات PCI وطلبات بيانات واجهات برمجة التطبيقات غير المرتبطة بPCI من خلال مؤسسة واحدة. ولأنّ هذه الميزة لا تزال مفعّلة لعملاء PCI، تقع على عاتق العميل مسؤولية استخدام الخدمة بشكلٍ مناسب وتدريب المستخدمين على عدم استخدام ذاكرة التخزين المؤقت عندما يُحتمَل أن تكون بيانات PCI في طلب البيانات من واجهة برمجة التطبيقات. لا تتوافق عملية تدقيق الامتثال لمعايير PCI في Apigee مع CHD المخزّنة في ذاكرة التخزين المؤقت.
تتوفّر تعليمات مفصّلة حول استخدام ميزة "التخزين المؤقت" في مقالة إضافة ميزة التخزين المؤقت والاحتفاظ بالبيانات.
مسار التدقيق
يمكن للعملاء مراجعة مسار التدقيق لجميع الأنشطة الإدارية التي تم إجراؤها في مؤسسة العميل، بما في ذلك استخدام ميزة "التتبّع". تتوفّر تعليمات تفصيلية هنا وفي مقالة استخدام أداة التتبّع. (معيار أمان بيانات قطاع بطاقات الدفع المتطلّب 10: تتبُّع جميع عمليات الوصول إلى موارد الشبكة وبيانات حاملي البطاقات ومراقبتها)
متطلبات كلمة المرور المعقّدة أو SAML
على العملاء الذين لديهم متطلبات معيّنة لكلمات المرور استخدام SAML لتلبية متطلباتهم الفردية. راجِع مقالة تفعيل مصادقة SAML في Edge. يوفّر Edge أيضًا مصادقة متعدّدة العوامل (PCI المتطلّب 8: منح رقم تعريف فريد لكل شخص لديه إذن الوصول إلى الكمبيوتر). راجِع مقالة تفعيل المصادقة الثنائية لحسابك على Apigee.
أمان نقاط النهاية
مسح نقاط النهاية
يجب فحص المضيفين واختبارهم للامتثال لمعيار PCI (المتطلب 11: اختبار أنظمة الأمان والعمليات بانتظام). بالنسبة إلى Edge Cloud، يتحمّل العملاء مسؤولية فحص نقاط نهاية واجهة برمجة التطبيقات واختبارها (يُشار إليها أحيانًا باسم "مكونات وقت التشغيل") في Edge. يجب أن يشمل اختبار العميل خدمات الوكيل الفعلية لواجهة برمجة التطبيقات المستضافة على Edge، حيث يتم إرسال طلبات واجهة برمجة التطبيقات إلى Edge قبل معالجتها ثم تسليمها إلى مركز بيانات العميل. لا تتم الموافقة على اختبار الموارد المشتركة، مثل واجهة مستخدم بوابة الإدارة، للعملاء الفرديين (يتوفر تقرير تابع لجهة خارجية يغطي اختبار الخدمات المشتركة للعملاء الفرديين بموجب اتفاقية عدم الإفصاح وعند الطلب).
على العملاء اختبار نقاط نهاية واجهة برمجة التطبيقات، ونشجّعهم على ذلك. لا تحظر اتفاقية Apigee اختبار نقاط نهاية واجهة برمجة التطبيقات، ولكن لا نسمح لك باختبار واجهة مستخدم إدارة المشترَكة. إذا كنت بحاجة إلى مزيد من التوضيح، يُرجى فتح طلب دعم مع الإشارة إلى الاختبار المخطَّط. نشكرك على إرسال إشعار إلى Apigee مسبقًا حتى نتمكّن من معرفة عدد زيارات الاختبار.
على العملاء الذين يختبِرون نقاط النهاية البحث عن أي مشاكل متعلّقة بواجهة برمجة التطبيقات أو أي مشاكل متعلّقة بخدمات Apigee، والتحقّق أيضًا من بروتوكول أمان طبقة النقل والعناصر الأخرى القابلة للضبط. يجب إبلاغ Apigee بأي عناصر يتم العثور عليها ذات صلة بخدمات Apigee من خلال طلب دعم.
إنّ معظم العناصر ذات الصلة بنقطة النهاية هي عناصر خدمة ذاتية للعملاء ويمكن حلّها من خلال مراجعة مستندات Edge. إذا كانت هناك عناصر غير واضحة كيفية حلّها، يُرجى فتح طلب دعم.
إعداد بروتوكول أمان طبقة النقل (TLS)
وفقًا لمعيار PCI، يجب نقل طبقة المقابس الآمنة وطبقة النقل الآمنة في الإصدارات القديمة إلى الإصدارات الآمنة. يتحمّل العملاء مسؤولية تحديد نقاط نهاية بروتوكول TLS وضبطها لخوادم الوكيل لواجهات برمجة التطبيقات. هذه ميزة ذاتية الخدمة في Edge. متطلبات العميل المتعلقة بالتشفير والبروتوكول والخوارزمية: تختلف الخيارات على نطاق واسع وترتبط بحالات الاستخدام الفردية. بما أنّ Apigee لا تعرف تفاصيل تصميم واجهة برمجة التطبيقات وحمولات البيانات لكل عميل، يتحمّل العملاء مسؤولية تحديد التشفير المناسب للبيانات أثناء نقلها. تتوفّر تعليمات تفصيلية حول ضبط بروتوكول أمان طبقة النقل (TLS) على TLS/SSL.
تخزين البيانات
لا يُشترط تخزين البيانات داخل Edge لكي يعمل بشكل صحيح. ومع ذلك، هناك خدمات متاحة لتخزين البيانات في Edge. يمكن للعملاء اختيار استخدام ذاكرة التخزين المؤقت أو خرائط قيم المفتاح أو الإحصاءات لتخزين البيانات. لا يُسمح لأيّ من هذه الخدمات ب تخزين CHD وفقًا لتدقيق Apigee PCI. وفقًا لمتطلبات PCI 3 (حماية بيانات حامل البطاقة المخزّنة)، يجب عدم تخزين بيانات PCI إلا في المواقع التي تتوافق مع PCI. يتوفّر استخدام هذه الخدمات للعملاء لتخزين بيانات غير بيانات بطاقات PCI أو بيانات أخرى غير مقيّدة تخضع لمتطلبات الأمان والقانونية للعميل. هذه الخدمات هي عناصر خدمة ذاتية للعملاء، لذا تقع على عاتق العميل مسؤولية ضبطها لعدم تسجيل بيانات CHD أو تخزينها. ننصح المشرفين لدى العميل بالاطّلاع على عمليات الضبط والسياسات وعمليات النشر لتجنّب الاستخدام غير المتوافق لخدمات تخزين البيانات في Edge بشكل عرضي أو ضار .
تشفير البيانات
لا يتم تقديم أدوات تشفير البيانات للعملاء لاستخدامها داخل Edge. ومع ذلك، يحق للعملاء تشفير بيانات PCI قبل إرسالها إلى Edge. PCI المتطلّب 4: (تشفير نقل بيانات حامل البطاقة عبر الشبكات المفتوحة والعامة) ننصح بتشفير بيانات حامل البطاقة عبر الشبكات المفتوحة والعامة. لا تمنع البيانات المشفَّرة في الحمولة (أو نص الرسالة) عمل Edge. قد لا تتمكّن بعض سياسات Edge من التفاعل مع البيانات إذا تلقّاها العميل مشفّرة. على سبيل المثال، لا يمكن إجراء عملية تحويل إذا لم تكن البيانات نفسها متاحة لخدمة Edge لتغييرها. أمّا السياسات الأخرى والسياسات والحِزم التي ينشئها العملاء، فستعمل حتى إذا كانت الحمولة من البيانات مشفَّرة.