Apigee Edge का दस्तावेज़ देखा जा रहा है.
Apigee X के दस्तावेज़ पर जाएं. जानकारी
Apigee Edge के सार्वजनिक क्लाउड पर पीसीआई का पालन करने के लिए, ग्राहक को कुछ कार्रवाइयां और प्रोसेस पूरी करनी होंगी. ये कार्रवाइयां और प्रोसेस, "शेयर की गई जवाबदेही के मॉडल" के तहत ग्राहक के मालिकाना हक में होती हैं. पीसीआई के मुताबिक काम करने वाला पैक खरीदने वाले ग्राहकों को, यहां दिए गए आइटम की समीक्षा करनी चाहिए. ये आइटम, Edge में सेल्फ़-सर्विस के तौर पर उपलब्ध होते हैं. ग्राहक के संगठन (संगठन) को पीसीआई के नियमों का पालन करने के लिए, इन आइटम को ठीक करना ज़रूरी है. इसकी मुख्य बात यह है कि "Google, प्लैटफ़ॉर्म को सुरक्षित रखता है और ग्राहक अपना डेटा सुरक्षित रखता है."
ग्राहक की ज़िम्मेदारी मैट्रिक्स
ग्राहकों को खुद का पीसीआई ऑडिट करते समय, Google Cloud Platform: पीसीआई डीएसएस v4.0.1 शेयर की गई ज़िम्मेदारी मैट्रिक का रेफ़रंस देना चाहिए. साथ ही, इसे अपने पीसीआई क्वालिफ़ाइड सिक्योरिटी असेसर के साथ शेयर करना चाहिए.
PCI की ज़रूरी शर्तों की मैपिंग
| पीसीआई की ज़रूरी शर्त | Section |
|---|---|
| सातवीं ज़रूरी शर्त: कारोबार की ज़रूरत के हिसाब से, सिस्टम कॉम्पोनेंट और कार्ड के मालिक के डेटा के ऐक्सेस पर पाबंदी लगाना | |
| तीसरी ज़रूरी शर्त: खाते में सेव किए गए डेटा की सुरक्षा करना | |
| 10वीं ज़रूरी शर्त: सिस्टम कॉम्पोनेंट और कार्ड के मालिक के डेटा के सभी ऐक्सेस को लॉग और मॉनिटर करना | |
| आठवीं ज़रूरी शर्त: उपयोगकर्ताओं की पहचान करना और सिस्टम के कॉम्पोनेंट के ऐक्सेस की पुष्टि करना | |
| ज़रूरी शर्त 11: सिस्टम और नेटवर्क की सुरक्षा की नियमित तौर पर जांच करना | |
| चौथी ज़रूरी शर्त: सार्वजनिक नेटवर्क पर डेटा ट्रांसफ़र करते समय, कार्ड के मालिक के डेटा को मज़बूत क्रिप्टोग्राफ़ी की मदद से सुरक्षित रखना | |
| तीसरी ज़रूरी शर्त: खाते में सेव किए गए डेटा की सुरक्षा करना | |
| चौथी ज़रूरी शर्त: सार्वजनिक नेटवर्क पर डेटा ट्रांसफ़र करते समय, कार्ड के मालिक के डेटा को मज़बूत क्रिप्टोग्राफ़ी की मदद से सुरक्षित रखना |
PCI डेटा सुरक्षा मानक के अनुपालन की पुष्टि (एओसी) पाने के लिए, Apigee की सहायता टीम से संपर्क करें या अपनी Apigee बिक्री टीम से संपर्क करें.
ट्रेस / डीबग
ट्रेस/डीबग, समस्या हल करने वाला टूल है. इसकी मदद से, उपयोगकर्ता किसी एपीआई कॉल के स्टेटस और कॉन्टेंट को देख सकता है. ऐसा तब होता है, जब एपीआई कॉल को Apigee मैसेज प्रोसेसर के ज़रिए प्रोसेस किया जाता है. ट्रैक और डीबग, एक ही सेवा के दो नाम हैं. हालांकि, इन्हें अलग-अलग तरीकों से ऐक्सेस किया जाता है. Edge के यूज़र इंटरफ़ेस (यूआई) में, इस सेवा का नाम ट्रैक है. एपीआई कॉल के ज़रिए इस्तेमाल किए जाने पर, डीबग उसी सेवा का नाम होता है. इस दस्तावेज़ में, ट्रेस और डीबग, दोनों के लिए ट्रेस शब्द का इस्तेमाल किया गया है.
ट्रैक सेशन के दौरान, "डेटा मास्किंग" लागू होती है. यह टूल, ट्रैक करने के दौरान डेटा को दिखने से रोक सकता है. नीचे डेटा मास्किंग सेक्शन देखें.
एन्क्रिप्ट (सुरक्षित) किए गए की-वैल्यू मैप (KVMs) का इस्तेमाल, पीसीआई (PCI) ग्राहकों के लिए किया जा सकता है. अगर एन्क्रिप्ट (सुरक्षित) किया गया KVM इस्तेमाल किया जा रहा है, तो ट्रैक का इस्तेमाल किया जा सकता है. हालांकि, ट्रैक की डिसप्ले स्क्रीन में कुछ वैरिएबल नहीं दिखेंगे. ट्रैक के दौरान इन वैरिएबल को दिखाने के लिए, कुछ और चरण पूरे किए जा सकते हैं.
ट्रैक करने के टूल के इस्तेमाल के बारे में ज़्यादा जानकारी के लिए, ट्रैक करने के टूल का इस्तेमाल करना लेख पढ़ें.
एन्क्रिप्ट (सुरक्षित) किए गए केवीएम के साथ-साथ, केवीएम के बारे में जानकारी कीवर्ड वैल्यू मैप के साथ काम करना पर उपलब्ध है.
इस्तेमाल/अनुमतियां
Edge में उपयोगकर्ता खातों के लिए, ट्रैक का ऐक्सेस, आरबीएसी (भूमिका के हिसाब से ऐक्सेस कंट्रोल) सिस्टम से मैनेज किया जाता है. ट्रैक करने के विशेषाधिकार देने और रद्द करने के लिए, आरबीएसी सिस्टम का इस्तेमाल करने के बारे में ज़्यादा जानकारी भूमिकाएं असाइन करना और यूज़र इंटरफ़ेस (यूआई) में कस्टम भूमिकाएं बनाना पर उपलब्ध है. ट्रेस की अनुमतियों की मदद से, उपयोगकर्ता ट्रेस शुरू कर सकता है, ट्रेस को रोक सकता है, और ट्रेस सेशन से आउटपुट ऐक्सेस कर सकता है.
ट्रैकिंग टूल के पास एपीआई कॉल के पेलोड (जिसे "मैसेज बॉडी" कहा जाता है) का ऐक्सेस होता है. इसलिए, यह जानना ज़रूरी है कि ट्रैकिंग टूल चलाने का ऐक्सेस किसके पास है. उपयोगकर्ता मैनेजमेंट की ज़िम्मेदारी ग्राहक की होती है. इसलिए, ट्रैक करने की अनुमतियां देने की ज़िम्मेदारी भी ग्राहक की होती है. प्लैटफ़ॉर्म के मालिक के तौर पर, Apigee के पास किसी उपयोगकर्ता को ग्राहक के संगठन में जोड़ने और उसे ऐक्सेस की अनुमतियां असाइन करने की सुविधा होती है. इस सुविधा का इस्तेमाल सिर्फ़ तब किया जाता है, जब ग्राहक सहायता के लिए अनुरोध करता है. ऐसा तब होता है, जब ऐसा लगता है कि ग्राहक सेवा काम नहीं कर रही है और ट्रैक सेशन की समीक्षा करने से, समस्या की मुख्य वजह के बारे में सबसे अच्छी जानकारी मिलती है.
डेटा मास्किंग
डेटा मास्किंग की सुविधा, सिर्फ़ ट्रैक/डीबग सेशन के दौरान संवेदनशील डेटा को दिखने से रोकती है. यह सुविधा, ट्रैक (Edge यूज़र इंटरफ़ेस) और डीबग (Edge एपीआई) के बैकएंड, दोनों में काम करती है. मास्किंग को सेट अप करने का तरीका जानने के लिए, डेटा को मास्क करना और छिपाना लेख पढ़ें. संवेदनशील डेटा को मास्क करना, पीसीआई की तीसरी ज़रूरी शर्त - कार्ड के मालिक का स्टोर किया गया डेटा सुरक्षित रखना का हिस्सा है
डेटा मास्किंग की सुविधा से, लॉग फ़ाइलों, कैश मेमोरी, आंकड़ों वगैरह में डेटा दिखने से नहीं रोका जा सकता. लॉग में डेटा मास्क करने के लिए, logback.xml फ़ाइल में रेगुलर एक्सप्रेशन पैटर्न जोड़ें. आम तौर पर, संवेदनशील डेटा को कैश मेमोरी या आंकड़ों में तब तक नहीं डाला जाना चाहिए, जब तक कि कारोबार के लिए ज़रूरी वजह और ग्राहक की सुरक्षा और कानूनी टीम की समीक्षा न हो जाए.
L1 और L2 कैश
कैश मेमोरी का इस्तेमाल, पीसीआई के ग्राहक सिर्फ़ ऐसे डेटा के लिए कर सकते हैं जिस पर नियम लागू न हों. कैश मेमोरी का इस्तेमाल, पीसीआई कार्ड के मालिक के डेटा (सीएचडी) के लिए नहीं किया जाना चाहिए. Apigee पीसीआई के अनुपालन से जुड़े ऑडिट में, सीएचडी के स्टोरेज की जगह के तौर पर कैश मेमोरी को मंज़ूरी नहीं दी गई है. पीसीआई के दिशा-निर्देशों (तीसरी ज़रूरी शर्त: कार्ड के मालिक का सेव किया गया डेटा सुरक्षित रखना) के मुताबिक, पीसीआई डेटा सिर्फ़ पीसीआई के मुताबिक बनी जगह पर सेव किया जाना चाहिए. L1 कैश मेमोरी का इस्तेमाल करने पर, L2 कैश मेमोरी का इस्तेमाल भी अपने-आप हो जाएगा. एल1 कैश "सिर्फ़ मेमोरी" है, जबकि एल2 कैश, कई एल1 कैश के साथ सिंक करने के लिए, डिस्क पर डेटा लिखता है. एल2 कैश मेमोरी की मदद से, एक ही इलाके और दुनिया भर में कई मैसेज प्रोसेसर सिंक रहते हैं. फ़िलहाल, ऐसा नहीं किया जा सकता कि L1 कैश मेमोरी चालू हो, लेकिन L2 कैश मेमोरी चालू न हो. L2 कैश, डिस्क पर डेटा लिखता है, ताकि ग्राहक के संगठन के लिए, मैसेज प्रोसेस करने वाले अन्य प्रोसेसर के साथ इसे सिंक किया जा सके. L2 कैश, डिस्क पर डेटा सेव करता है. इसलिए, CHD या पाबंदी वाले अन्य डेटा के लिए कैश का इस्तेमाल नहीं किया जा सकता.
ग्राहकों को बिना सीएचडी वाले और बिना पाबंदी वाले अन्य डेटा के लिए, कैश मेमोरी का इस्तेमाल करने की अनुमति है. हम पीसीआई ग्राहकों के लिए, कैश मेमोरी को डिफ़ॉल्ट रूप से बंद नहीं करते, क्योंकि कुछ ग्राहक एक ही संगठन के ज़रिए, पीसीआई और नॉन-पीसीआई, दोनों तरह के एपीआई कॉल चलाते हैं. पीसीआई ग्राहकों के लिए यह सुविधा अब भी चालू है. इसलिए, इस सेवा का सही तरीके से इस्तेमाल करना और अपने उपयोगकर्ताओं को यह ट्रेनिंग देना ग्राहक की ज़िम्मेदारी है कि एपीआई कॉल में पीसीआई डेटा होने पर, कैश मेमोरी का इस्तेमाल न करें. Apigee PCI Compliance audit, कैश मेमोरी में सेव किए गए सीएचडी के साथ काम नहीं करता.
कैश मेमोरी का इस्तेमाल करने के बारे में ज़्यादा जानकारी के लिए, कैश मेमोरी और डेटा को सेव रखने की सुविधा जोड़ना लेख पढ़ें.
ऑडिट ट्रेल
ग्राहक, अपने संगठन में की गई सभी एडमिन ऐक्टिविटी के ऑडिट ट्रेल की समीक्षा कर सकते हैं. इसमें, ट्रैक का इस्तेमाल भी शामिल है. ज़्यादा जानकारी के लिए, यहां जाएं. इसके अलावा, ट्रैक टूल का इस्तेमाल करना लेख पढ़ें. (पीसीआई की 10वीं ज़रूरी शर्त: नेटवर्क रिसॉर्स और कार्ड के मालिक के डेटा के सभी ऐक्सेस को ट्रैक और मॉनिटर करना)
पासवर्ड से जुड़ी जटिल ज़रूरी शर्तें या एसएएमएल
जिन ग्राहकों को पासवर्ड से जुड़ी खास शर्तें पूरी करनी हैं उन्हें अपनी ज़रूरतों के हिसाब से एसएएमएल का इस्तेमाल करना चाहिए. Edge के लिए एसएएमएल पुष्टि करने की सुविधा चालू करना लेख पढ़ें. Edge में कई तरीकों से पुष्टि करने की सुविधा भी उपलब्ध है (पीसीआई की आठवीं ज़रूरी शर्त: कंप्यूटर का ऐक्सेस रखने वाले हर व्यक्ति को एक यूनीक आईडी असाइन करें). अपने Apigee खाते के लिए, दो तरीकों से पुष्टि करने की सुविधा चालू करना लेख पढ़ें.
एंडपॉइंट की सुरक्षा
एंडपॉइंट स्कैनिंग
पीसीआई के नियमों का पालन करने के लिए, होस्ट को स्कैन करना और उनकी जांच करना ज़रूरी है (ज़रूरी शर्त 11: सुरक्षा सिस्टम और प्रोसेस की नियमित तौर पर जांच करना). Edge Cloud के लिए, ग्राहकों को अपने एपीआई एंडपॉइंट (जिन्हें कभी-कभी "रनटाइम कॉम्पोनेंट" भी कहा जाता है) को Edge में स्कैन करने और उनकी जांच करने की ज़िम्मेदारी होती है. ग्राहक की जांच में, Edge पर होस्ट की गई एपीआई प्रॉक्सी सेवाओं को शामिल किया जाना चाहिए. यहां एपीआई ट्रैफ़िक को प्रोसेस करने से पहले Edge में भेजा जाता है और फिर ग्राहक के डेटासेंटर में डिलीवर किया जाता है. शेयर किए गए संसाधनों, जैसे कि मैनेजमेंट पोर्टल के यूज़र इंटरफ़ेस (यूआई) की जांच, अलग-अलग ग्राहकों के लिए अनुमति नहीं है. शेयर की गई सेवाओं की जांच से जुड़ी तीसरे पक्ष की रिपोर्ट, ग्राहकों के लिए अनुरोध करने पर और गोपनीयता बनाए रखने के समझौते के तहत उपलब्ध है.
ग्राहकों को अपने एपीआई एंडपॉइंट की जांच करनी चाहिए. Apigee के साथ आपके समझौते में, एपीआई एंडपॉइंट की जांच करने पर पाबंदी नहीं है. हालांकि, हम आपको शेयर किए गए मैनेजमेंट यूज़र इंटरफ़ेस की जांच करने की अनुमति नहीं देते. अगर आपको कुछ और जानकारी चाहिए, तो कृपया अपनी टेस्टिंग के प्लान का रेफ़रंस देकर, सहायता टीम से अनुरोध करें. Apigee को पहले से सूचना देने पर हमें खुशी होगी, ताकि हम जांच के ट्रैफ़िक के बारे में जान सकें.
अपने एंडपॉइंट की जांच करने वाले ग्राहकों को एपीआई से जुड़ी समस्याओं और Apigee की सेवाओं से जुड़ी समस्याओं का पता लगाना चाहिए. साथ ही, उन्हें TLS और कॉन्फ़िगर किए जा सकने वाले दूसरे आइटम की जांच भी करनी चाहिए. Apigee की सेवाओं से जुड़े किसी भी आइटम के बारे में, सहायता के अनुरोध के ज़रिए Apigee को बताया जाना चाहिए.
एंडपॉइंट से जुड़े ज़्यादातर आइटम, ग्राहक के सेल्फ़-सर्विस आइटम होते हैं. इन्हें ठीक करने के लिए, Edge के दस्तावेज़ की समीक्षा करें. अगर आपको किसी आइटम को ठीक करने का तरीका नहीं पता है, तो कृपया सहायता टीम से संपर्क करें.
TLS कॉन्फ़िगरेशन
पीसीआई के स्टैंडर्ड के मुताबिक, एसएसएल और शुरुआती TLS को सुरक्षित वर्शन पर माइग्रेट करना ज़रूरी है. एपीआई प्रॉक्सी के लिए, अपने TLS एंडपॉइंट तय करने और उन्हें कॉन्फ़िगर करने की ज़िम्मेदारी ग्राहकों की होती है. यह Edge में, खुद से सेवा पाने की सुविधा है. एन्क्रिप्शन, प्रोटोकॉल, और एल्गोरिदम के लिए ग्राहक की ज़रूरतें, अलग-अलग होती हैं. साथ ही, ये अलग-अलग इस्तेमाल के उदाहरणों के हिसाब से भी तय होती हैं. Apigee को हर ग्राहक के एपीआई डिज़ाइन और डेटा पेलोड की जानकारी नहीं होती. इसलिए, ट्रांज़िट में डेटा के लिए सही एन्क्रिप्शन तय करने की ज़िम्मेदारी ग्राहकों की होती है. TLS कॉन्फ़िगरेशन के बारे में ज़्यादा जानकारी TLS/SSL पर उपलब्ध है.
डेटा स्टोरेज
Edge के सही तरीके से काम करने के लिए, उसमें डेटा स्टोर करना ज़रूरी नहीं है. हालांकि, Edge में डेटा स्टोर करने के लिए सेवाएं उपलब्ध हैं. ग्राहक, डेटा स्टोरेज के लिए कैश मेमोरी, की वैल्यू मैप या आंकड़ों का इस्तेमाल कर सकते हैं. Apigee PCI ऑडिट के मुताबिक, इनमें से किसी भी सेवा को सीएचडी को स्टोर करने की अनुमति नहीं है. पीसीआई की तीसरी ज़रूरी शर्त (कार्ड के मालिक का सेव किया गया डेटा सुरक्षित रखना) के मुताबिक, पीसीआई डेटा सिर्फ़ उन जगहों पर सेव किया जाना चाहिए जो पीसीआई के मुताबिक हों. ग्राहक, इन सेवाओं का इस्तेमाल करके, पीसीआई डेटा या बिना पाबंदी वाला अन्य डेटा स्टोर कर सकते हैं. हालांकि, इसके लिए उन्हें सुरक्षा और कानूनी ज़रूरी शर्तों का पालन करना होगा. ये सेवाएं, ग्राहक के लिए सेल्फ़-सर्विस आइटम हैं. इसलिए, यह ग्राहक की ज़िम्मेदारी है कि वह इन सेवाओं को कॉन्फ़िगर करके, सीएचडी को कैप्चर या सेव न करे. हमारा सुझाव है कि ग्राहक के एडमिन, कॉन्फ़िगरेशन, नीतियों, और डिप्लॉयमेंट की समीक्षा करें. इससे, Edge में डेटा स्टोरेज सेवाओं का गलत तरीके से इस्तेमाल होने से बचा जा सकता है.
डेटा एन्क्रिप्ट (सुरक्षित) करने की सुविधा
Edge में डेटा एन्क्रिप्ट (सुरक्षित) करने वाले टूल, ग्राहकों के इस्तेमाल के लिए उपलब्ध नहीं हैं. हालांकि, ग्राहक Edge को भेजने से पहले, अपने पीसीआई डेटा को एन्क्रिप्ट कर सकते हैं. पीसीआई की चौथी ज़रूरी शर्त: (सार्वजनिक नेटवर्क पर कार्डधारक का डेटा एन्क्रिप्ट करना) के मुताबिक, सार्वजनिक नेटवर्क पर कार्डधारक का डेटा एन्क्रिप्ट करना चाहिए. पेलोड (या मैसेज के मुख्य हिस्से) में एन्क्रिप्ट (सुरक्षित) किया गया डेटा, Edge के काम करने में कोई रुकावट नहीं डालता. अगर ग्राहक ने डेटा को एन्क्रिप्ट (सुरक्षित) करके भेजा है, तो हो सकता है कि कुछ Edge नीतियां उस डेटा के साथ इंटरैक्ट न कर पाएं. उदाहरण के लिए, अगर डेटा, Edge में बदलाव करने के लिए उपलब्ध नहीं है, तो ट्रांसफ़ॉर्मेशन नहीं किया जा सकता. हालांकि, डेटा पेलोड एन्क्रिप्ट होने पर भी, अन्य नीतियां और ग्राहक की बनाई गई नीतियां और बंडल काम करेंगे.