इस पेज का अनुवाद Cloud Translation API से किया गया है.

Edge Public Cloud के लिए पीसीआई कॉन्फ़िगरेशन गाइड

Apigee Edge का दस्तावेज़ देखा जा रहा है.
Apigee X के दस्तावेज़ पर जाएं. जानकारी

Apigee Edge के सार्वजनिक क्लाउड पर पीसीआई का पालन करने के लिए, ग्राहक को कुछ कार्रवाइयां और प्रोसेस पूरी करनी होंगी. ये कार्रवाइयां और प्रोसेस, "शेयर की गई जवाबदेही के मॉडल" के तहत ग्राहक की ज़िम्मेदारी होती हैं. पीसीआई के मुताबिक काम करने वाले पैक को खरीदने वाले ग्राहकों को, यहां दिए गए आइटम की समीक्षा करनी चाहिए. ये आइटम, Edge में सेल्फ़-सर्विस के तौर पर उपलब्ध हैं. ग्राहक के संगठन को पीसीआई के मुताबिक बनाने के लिए, इन आइटम को ठीक करना ज़रूरी है. इसकी मुख्य बात यह है कि "Google, प्लैटफ़ॉर्म को सुरक्षित रखता है और ग्राहक अपना डेटा सुरक्षित रखता है."

ग्राहक की ज़िम्मेदारी मैट्रिक्स

ग्राहकों को Google Apigee पीसीआई-डीएसएस 3.2.1 की ज़िम्मेदारी मैट्रिक का रेफ़रंस देना चाहिए. साथ ही, पीसीआई ऑडिट करते समय, इसे अपने पीसीआई क्वालिफ़ाइड सिक्योरिटी असेसर के साथ शेयर करना चाहिए.

PCI की ज़रूरी शर्तों की मैपिंग

पीसीआई की ज़रूरी शर्त	Section
सातवीं ज़रूरी शर्त: कारोबार की ज़रूरत के हिसाब से, कार्डधारक के डेटा के ऐक्सेस पर पाबंदी लगाना	इस्तेमाल/अनुमतियां
तीसरी ज़रूरी शर्त: कार्डधारक का सेव किया गया डेटा सुरक्षित रखना	डेटा मास्किंग
10वीं ज़रूरी शर्त: नेटवर्क संसाधनों और कार्ड के मालिक के डेटा के सभी ऐक्सेस को ट्रैक और मॉनिटर करना	ऑडिट ट्रेल
आठवीं ज़रूरी शर्त: कंप्यूटर का ऐक्सेस रखने वाले हर व्यक्ति को यूनीक आईडी असाइन करना	पासवर्ड से जुड़ी जटिल ज़रूरी शर्तें या एसएएमएल
11वीं ज़रूरी शर्त: सुरक्षा सिस्टम और प्रोसेस की नियमित तौर पर जांच करना	एंडपॉइंट स्कैनिंग
चौथी ज़रूरी शर्त: कार्ड के मालिक के डेटा को सार्वजनिक और खुले नेटवर्क पर भेजने के लिए, उसे एन्क्रिप्ट करना	टीएलएस कॉन्फ़िगरेशन
तीसरी ज़रूरी शर्त: कार्डधारक का सेव किया गया डेटा सुरक्षित रखना	डेटा स्टोरेज
चौथी ज़रूरी शर्त: सार्वजनिक नेटवर्क पर कार्डहोल्डर के डेटा को एन्क्रिप्ट करना	डेटा एन्क्रिप्ट (सुरक्षित) करने का तरीका

PCI डेटा सुरक्षा मानक के अनुपालन की पुष्टि (एओसी) पाने के लिए, Apigee की सहायता टीम के साथ टिकट खोलें या अपनी Apigee बिक्री टीम से संपर्क करें.

ट्रेस / डीबग

ट्रेस/डीबग, समस्या हल करने वाला टूल है. इसकी मदद से, उपयोगकर्ता किसी एपीआई कॉल की स्थिति और कॉन्टेंट को देख सकता है. ऐसा तब होता है, जब एपीआई कॉल को Apigee मैसेज प्रोसेसर के ज़रिए प्रोसेस किया जाता है. ट्रैक और डीबग, एक ही सेवा के दो नाम हैं. हालांकि, इन्हें अलग-अलग तरीकों से ऐक्सेस किया जाता है. Edge के यूज़र इंटरफ़ेस (यूआई) में, इस सेवा का नाम ट्रैक है. एपीआई कॉल के ज़रिए इस्तेमाल किए जाने पर, डीबग उसी सेवा का नाम होता है. इस दस्तावेज़ में, ट्रेस और डीबग, दोनों के लिए ट्रेस शब्द का इस्तेमाल किया गया है.

ट्रैक सेशन के दौरान, "डेटा मास्किंग" लागू होती है. यह टूल, ट्रैक करने के दौरान डेटा को दिखने से रोक सकता है. नीचे डेटा मास्किंग सेक्शन देखें.

एन्क्रिप्ट (सुरक्षित) किए गए कीवर्ड वैल्यू मैप (KVMs) का इस्तेमाल, पीसीआई (PCI) ग्राहकों के लिए किया जा सकता है. अगर एन्क्रिप्ट (सुरक्षित) किया गया KVM इस्तेमाल किया जा रहा है, तो ट्रैक का इस्तेमाल किया जा सकता है. हालांकि, ट्रैक की डिसप्ले स्क्रीन में कुछ वैरिएबल नहीं दिखेंगे. ट्रैस के दौरान इन वैरिएबल को दिखाने के लिए, कुछ और चरण पूरे किए जा सकते हैं.

ट्रैक करने के टूल के इस्तेमाल के बारे में ज़्यादा जानकारी के लिए, ट्रैक करने के टूल का इस्तेमाल करना लेख पढ़ें.

एन्क्रिप्ट (सुरक्षित) किए गए केवीएम के साथ-साथ, केवीएम के बारे में जानकारी कीवर्ड वैल्यू मैप के साथ काम करना पर उपलब्ध है.

इस्तेमाल/अनुमतियां

Edge में उपयोगकर्ता खातों के लिए, ट्रैक का ऐक्सेस, आरबीएसी (भूमिका के हिसाब से ऐक्सेस कंट्रोल) सिस्टम की मदद से मैनेज किया जाता है. ट्रैक करने के विशेषाधिकार देने और रद्द करने के लिए, आरबीएसी सिस्टम का इस्तेमाल करने के बारे में ज़्यादा जानकारी भूमिकाएं असाइन करना और यूज़र इंटरफ़ेस (यूआई) में कस्टम भूमिकाएं बनाना पर उपलब्ध है. ट्रेस की अनुमतियों की मदद से, उपयोगकर्ता ट्रेस शुरू कर सकता है, ट्रेस को रोक सकता है, और ट्रेस सेशन का आउटपुट ऐक्सेस कर सकता है.

ट्रैक में एपीआई कॉल के पेलोड (जिसे "मैसेज बॉडी" कहा जाता है) का ऐक्सेस होता है. इसलिए, यह जानना ज़रूरी है कि ट्रैक चलाने का ऐक्सेस किसके पास है. उपयोगकर्ता मैनेजमेंट की ज़िम्मेदारी ग्राहक की होती है. इसलिए, ट्रैक करने की अनुमतियां देने की ज़िम्मेदारी भी ग्राहक की होती है. प्लैटफ़ॉर्म के मालिक के तौर पर, Apigee के पास किसी उपयोगकर्ता को ग्राहक के संगठन में जोड़ने और उसे ऐक्सेस की अनुमतियां असाइन करने की सुविधा होती है. इस सुविधा का इस्तेमाल सिर्फ़ तब किया जाता है, जब ग्राहक सहायता के लिए अनुरोध किया जाता है. ऐसा तब होता है, जब ऐसा लगता है कि ग्राहक सेवा काम नहीं कर रही है और ट्रैक सेशन की समीक्षा करने से, समस्या की मुख्य वजह के बारे में सबसे अच्छी जानकारी मिलती है.

डेटा मास्किंग

डेटा मास्किंग की सुविधा, सिर्फ़ ट्रैक/डीबग सेशन के दौरान संवेदनशील डेटा को दिखने से रोकती है. यह सुविधा, ट्रैक (Edge यूज़र इंटरफ़ेस) और डीबग (Edge API) के बैकएंड, दोनों में काम करती है. मास्किंग को सेट अप करने का तरीका जानने के लिए, डेटा को मास्क करना और छिपाना लेख पढ़ें. संवेदनशील डेटा को मास्क करना, पीसीआई की तीसरी ज़रूरी शर्त - कार्ड के मालिक का स्टोर किया गया डेटा सुरक्षित रखना का हिस्सा है

डेटा मास्किंग की सुविधा से, लॉग फ़ाइलों, कैश मेमोरी, आंकड़ों वगैरह में डेटा दिखने से नहीं रोका जा सकता. लॉग में डेटा मास्क करने के लिए, logback.xml फ़ाइल में रेगुलर एक्सप्रेशन पैटर्न जोड़ें. आम तौर पर, संवेदनशील डेटा को कैश मेमोरी या आंकड़ों में तब तक नहीं डाला जाना चाहिए, जब तक कारोबार के लिए ज़रूरी वजह और ग्राहक की सुरक्षा और कानूनी टीम की समीक्षा न हो जाए.

L1 और L2 कैश

कैश मेमोरी का इस्तेमाल, पीसीआई के ग्राहक सिर्फ़ ऐसे डेटा के लिए कर सकते हैं जिस पर नियम लागू न हों. कैश मेमोरी का इस्तेमाल, पीसीआई कार्ड के मालिक के डेटा (सीएचडी) के लिए नहीं किया जाना चाहिए. Apigee पीसीआई के अनुपालन से जुड़े ऑडिट में, सीएचडी के स्टोरेज की जगह के तौर पर कैश मेमोरी को मंज़ूरी नहीं दी गई है. पीसीआई के दिशा-निर्देशों (तीसरी ज़रूरी शर्त: कार्ड के मालिक का सेव किया गया डेटा सुरक्षित रखना) के मुताबिक, पीसीआई डेटा सिर्फ़ पीसीआई के मुताबिक बनाई गई जगह पर सेव किया जाना चाहिए. L1 कैश मेमोरी का इस्तेमाल करने पर, L2 कैश मेमोरी का इस्तेमाल अपने-आप हो जाएगा. L1 कैश "सिर्फ़ मेमोरी" है, जबकि L2 कैश, कई L1 कैश के साथ सिंक करने के लिए, डिस्क पर डेटा लिखता है. एल2 कैश मेमोरी, एक इलाके और दुनिया भर में एक से ज़्यादा मैसेज प्रोसेसर को सिंक रखती है. फ़िलहाल, ऐसा नहीं किया जा सकता कि L1 कैश मेमोरी चालू हो, लेकिन L2 कैश मेमोरी चालू न हो. L2 कैश, डिस्क पर डेटा लिखता है, ताकि ग्राहक के संगठन के लिए, मैसेज प्रोसेस करने वाले अन्य प्रोसेसर के साथ इसे सिंक किया जा सके. L2 कैश, डिस्क पर डेटा सेव करता है. इसलिए, CHD या पाबंदी वाले अन्य डेटा के लिए कैश का इस्तेमाल नहीं किया जा सकता.

ग्राहकों को बिना सीएचडी वाले और बिना पाबंदी वाले अन्य डेटा के लिए, कैश मेमोरी का इस्तेमाल करने की अनुमति है. हम पीसीआई ग्राहकों के लिए, कैश मेमोरी को डिफ़ॉल्ट रूप से बंद नहीं करते, क्योंकि कुछ ग्राहक एक ही संगठन के ज़रिए, पीसीआई और नॉन-पीसीआई, दोनों तरह के एपीआई कॉल चलाते हैं. पीसीआई ग्राहकों के लिए यह सुविधा अब भी चालू है. इसलिए, इस सेवा का सही तरीके से इस्तेमाल करना और अपने उपयोगकर्ताओं को यह ट्रेनिंग देना ग्राहक की ज़िम्मेदारी है कि एपीआई कॉल में पीसीआई डेटा होने पर, कैश मेमोरी का इस्तेमाल न करें. Apigee PCI Compliance audit, कैश मेमोरी में सेव किए गए सीएचडी के साथ काम नहीं करता.

कैश मेमोरी का इस्तेमाल करने के बारे में ज़्यादा जानकारी के लिए, कैश मेमोरी और डेटा को सेव रखने की सुविधा जोड़ना लेख पढ़ें.

ऑडिट ट्रेल

ग्राहक, अपने संगठन में की गई सभी एडमिन ऐक्टिविटी के ऑडिट ट्रेल की समीक्षा कर सकते हैं. इसमें, ट्रैक का इस्तेमाल भी शामिल है. ज़्यादा जानकारी के लिए, यहां जाएं. इसके अलावा, ट्रैक टूल का इस्तेमाल करना लेख पढ़ें. (पीसीआई की 10वीं ज़रूरी शर्त: नेटवर्क रिसॉर्स और कार्ड के मालिक के डेटा के सभी ऐक्सेस को ट्रैक और मॉनिटर करना)

पासवर्ड से जुड़ी जटिल ज़रूरी शर्तें या एसएएमएल

जिन ग्राहकों को पासवर्ड से जुड़ी खास शर्तें पूरी करनी हैं उन्हें अपनी ज़रूरतों के हिसाब से एसएएमएल का इस्तेमाल करना चाहिए. Edge के लिए एसएएमएल पुष्टि करने की सुविधा चालू करना लेख पढ़ें. Edge में कई तरीकों से पुष्टि करने की सुविधा भी उपलब्ध है (पीसीआई की आठवीं ज़रूरी शर्त: कंप्यूटर का ऐक्सेस रखने वाले हर व्यक्ति को एक यूनीक आईडी असाइन करें). अपने Apigee खाते के लिए, दो तरीकों से पुष्टि करने की सुविधा चालू करना लेख पढ़ें.

एंडपॉइंट की सुरक्षा

एंडपॉइंट स्कैनिंग

पीसीआई के नियमों का पालन करने के लिए, होस्ट को स्कैन करना और उनकी जांच करना ज़रूरी है (ज़रूरी शर्त 11: सुरक्षा सिस्टम और प्रोसेस की नियमित तौर पर जांच करना). Edge Cloud के लिए, ग्राहकों को अपने एपीआई एंडपॉइंट (जिन्हें कभी-कभी "रनटाइम कॉम्पोनेंट" भी कहा जाता है) को Edge में स्कैन करने और उनकी जांच करने की ज़िम्मेदारी होती है. ग्राहक की जांच में, Edge पर होस्ट की गई असल एपीआई प्रॉक्सी सेवाएं शामिल होनी चाहिए. यहां एपीआई ट्रैफ़िक को प्रोसेस करने से पहले Edge में भेजा जाता है और फिर ग्राहक के डेटासेंटर में डिलीवर किया जाता है. शेयर किए गए संसाधनों, जैसे कि मैनेजमेंट पोर्टल के यूज़र इंटरफ़ेस (यूआई) की जांच, अलग-अलग ग्राहकों के लिए अनुमति नहीं है. शेयर की गई सेवाओं की जांच से जुड़ी तीसरे पक्ष की रिपोर्ट, ग्राहकों के लिए अनुरोध करने पर और गोपनीयता बनाए रखने के समझौते के तहत उपलब्ध है.

ग्राहकों को अपने एपीआई एंडपॉइंट की जांच करनी चाहिए. Apigee के साथ आपके समझौते में, एपीआई एंडपॉइंट की जांच करने पर पाबंदी नहीं है. हालांकि, हम आपको शेयर किए गए मैनेजमेंट यूज़र इंटरफ़ेस की जांच करने की अनुमति नहीं देते. हालांकि, अगर आपको और जानकारी चाहिए, तो कृपया अपनी टेस्टिंग के प्लान का रेफ़रंस देकर, सहायता टीम से अनुरोध करें. Apigee को पहले से सूचना देने पर हमें खुशी होगी, ताकि हम जांच के ट्रैफ़िक के बारे में जान सकें.

अपने एंडपॉइंट की जांच करने वाले ग्राहकों को एपीआई से जुड़ी समस्याओं और Apigee की सेवाओं से जुड़ी समस्याओं का पता लगाना चाहिए. साथ ही, उन्हें TLS और कॉन्फ़िगर किए जा सकने वाले दूसरे आइटम की जांच भी करनी चाहिए. Apigee की सेवाओं से जुड़े किसी भी आइटम के बारे में, सहायता टीम से अनुरोध करके Apigee को बताया जाना चाहिए.

एंडपॉइंट से जुड़े ज़्यादातर आइटम, ग्राहक के लिए खुद से सेवा देने वाले आइटम होते हैं. इन्हें ठीक करने के लिए, Edge के दस्तावेज़ों की समीक्षा करें. अगर आपको किसी आइटम को ठीक करने का तरीका नहीं पता है, तो कृपया सहायता टीम से संपर्क करें.

TLS कॉन्फ़िगरेशन

पीसीआई के स्टैंडर्ड के मुताबिक, एसएसएल और शुरुआती TLS को सुरक्षित वर्शन पर माइग्रेट करना ज़रूरी है. एपीआई प्रॉक्सी के लिए, अपने TLS एंडपॉइंट तय करने और उन्हें कॉन्फ़िगर करने की ज़िम्मेदारी ग्राहकों की होती है. यह Edge में, खुद से सेवा पाने की सुविधा है. एन्क्रिप्शन, प्रोटोकॉल, और एल्गोरिदम के लिए ग्राहक की ज़रूरतें, अलग-अलग होती हैं. साथ ही, ये इस्तेमाल के अलग-अलग उदाहरणों के हिसाब से तय होती हैं. Apigee को हर ग्राहक के एपीआई डिज़ाइन और डेटा पेलोड की जानकारी नहीं होती. इसलिए, डेटा को एक जगह से दूसरी जगह भेजने के दौरान, उसे एन्क्रिप्ट (सुरक्षित) करने का तरीका तय करने की ज़िम्मेदारी ग्राहकों की होती है. TLS कॉन्फ़िगरेशन के बारे में ज़्यादा जानकारी TLS/SSL पर उपलब्ध है.

डेटा स्टोरेज

Edge के सही तरीके से काम करने के लिए, उसमें डेटा स्टोर करना ज़रूरी नहीं है. हालांकि, Edge में डेटा स्टोर करने के लिए सेवाएं उपलब्ध हैं. ग्राहक, डेटा स्टोरेज के लिए कैश मेमोरी, की वैल्यू मैप या आंकड़ों का इस्तेमाल कर सकते हैं. Apigee PCI ऑडिट के मुताबिक, इनमें से किसी भी सेवा को सीएचडी को स्टोर करने की अनुमति नहीं है. पीसीआई की तीसरी ज़रूरी शर्त (कार्ड के मालिक का सेव किया गया डेटा सुरक्षित रखना) के मुताबिक, पीसीआई डेटा सिर्फ़ उन जगहों पर सेव किया जाना चाहिए जो पीसीआई के मुताबिक हों. ग्राहक, इन सेवाओं का इस्तेमाल करके, पीसीआई डेटा या बिना पाबंदी वाला अन्य डेटा स्टोर कर सकते हैं. हालांकि, इसके लिए ग्राहक की सुरक्षा और कानूनी ज़रूरी शर्तों का पालन करना ज़रूरी है. ये सेवाएं, ग्राहक के लिए सेल्फ़-सर्विस आइटम हैं. इसलिए, यह ग्राहक की ज़िम्मेदारी है कि वह इन सेवाओं को कॉन्फ़िगर करके, सीएचडी को कैप्चर या सेव न करे. हमारा सुझाव है कि ग्राहक के एडमिन, कॉन्फ़िगरेशन, नीतियों, और डिप्लॉयमेंट की समीक्षा करें. इससे, Edge में डेटा स्टोरेज सेवाओं का गलत तरीके से इस्तेमाल होने से बचा जा सकता है.

डेटा एन्क्रिप्ट (सुरक्षित) करने की सुविधा

Edge में डेटा एन्क्रिप्ट (सुरक्षित) करने वाले टूल, ग्राहकों के इस्तेमाल के लिए उपलब्ध नहीं हैं. हालांकि, ग्राहक Edge को भेजने से पहले, अपने पीसीआई डेटा को एन्क्रिप्ट कर सकते हैं. पीसीआई की चौथी ज़रूरी शर्त: (सार्वजनिक नेटवर्क पर कार्डधारक का डेटा एन्क्रिप्ट करना) के मुताबिक, सार्वजनिक नेटवर्क पर कार्डधारक का डेटा एन्क्रिप्ट करना चाहिए. पेलोड (या मैसेज के मुख्य हिस्से) में एन्क्रिप्ट (सुरक्षित) किया गया डेटा, Edge के काम करने में कोई रुकावट नहीं डालता. अगर ग्राहक ने डेटा को एन्क्रिप्ट (सुरक्षित) करके भेजा है, तो हो सकता है कि कुछ Edge नीतियां उस डेटा के साथ इंटरैक्ट न कर पाएं. उदाहरण के लिए, अगर डेटा, Edge में बदलाव करने के लिए उपलब्ध नहीं है, तो ट्रांसफ़ॉर्मेशन नहीं किया जा सकता. हालांकि, डेटा पेलोड एन्क्रिप्ट होने पर भी, अन्य नीतियां और ग्राहक की बनाई गई नीतियां और बंडल काम करेंगे.