Guide de configuration PCI pour Edge Public Cloud

Vous consultez la documentation d'Apigee Edge.
Consultez la documentation Apigee X.
en savoir plus

Pour qu'un client soit conforme à la norme PCI sur le cloud public Apigee Edge, il doit effectuer des actions et des processus dans le "Modèle de responsabilité partagée". Les clients ayant acheté le pack de conformité PCI doivent examiner les points suivants. Ces éléments sont en libre-service dans Edge et doivent être traités pour que l'organisation cliente (ou l'organisation) soit conforme à la norme PCI. Le concept fondamental est que "Google sécurise la plate-forme, le client sécurise ses données".

Matrice de responsabilité du client

Les clients doivent se reporter à la Matrice de responsabilité PCI-DSS 3.2.1 de Google Apigee et la communiquer à leur évaluateur de sécurité qualifié pour la norme PCI lorsqu'ils effectuent leur propre audit PCI.

Mappage des exigences PCI

Exigence PCI Section
Exigence 7 : Restreindre l'accès aux données des titulaires de cartes sur la base du besoin de connaître

Utilisation/Autorisations

Exigence 3 : Protéger les données stockées des titulaires de cartes

Masquage des données

Exigence 10: Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes

Piste d'audit

Exigence 8 : Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur

Exigences relatives aux mots de passe complexes ou SAML

Exigence 11 : Tester régulièrement les systèmes et les processus de sécurité

Analyse des points de terminaison

Exigence 4: Chiffrer la transmission des données des titulaires de cartes sur les réseaux ouverts et publics

Configuration TLS

Exigence 3 : Protéger les données stockées des titulaires de cartes

Stockage de données

Exigence 4: Chiffrer la transmission des données des titulaires de cartes sur les réseaux ouverts et publics

Chiffrement des données

Pour obtenir une attestation de conformité standard de sécurité des données PCI (AOC), ouvrez une demande auprès de l'assistance Apigee ou contactez votre équipe commerciale Apigee.

Trace / Déboguer

Trace/Debug est un outil de dépannage qui permet à l'utilisateur d'afficher l'état et le contenu d'un appel d'API pendant son traitement via le processeur de messages Apigee. Trace et Debug sont deux noms désignant le même service, mais accessibles via des mécanismes différents. Trace est le nom de ce service dans l'interface utilisateur Edge. "debug" est le nom du même service lorsqu'il est utilisé via des appels d'API. L'utilisation du terme Trace dans ce document est valide pour Trace et Debug.

Lors d'une session de trace, le "masquage des données" est appliqué. Cet outil peut bloquer l'affichage des données pendant une trace. Consultez la section Masquage des données ci-dessous.

Les KVM (Encrypted Key Value Maps) peuvent être utilisés pour les clients PCI. Si une KVM chiffrée est utilisée, Trace peut toujours être utilisé, mais certaines variables ne seront pas visibles sur l'écran d'affichage des traces. Il est possible de prendre des mesures supplémentaires pour afficher également ces variables lors d'une trace.

Des instructions détaillées sur l'utilisation de Trace sont disponibles sur la page Utiliser l'outil Trace.

Pour en savoir plus sur les KVM, y compris les KVM chiffrées, consultez la page Utiliser des mappages de clés-valeurs.

Utilisation/Autorisations

L'accès à Trace est géré via le système RBAC (Role-Based Access Control) pour les comptes utilisateur dans Edge. Des instructions détaillées sur l'utilisation du système RBAC pour accorder et révoquer des droits Trace sont disponibles sur les pages Attribuer des rôles et Créer des rôles personnalisés dans l'interface utilisateur. Les autorisations de trace permettent à l'utilisateur de lancer une trace, d'arrêter une trace et d'accéder à la sortie d'une session de trace.

Étant donné que Trace a accès à la charge utile des appels d'API (formellement appelée"corps du message"), il est important de déterminer qui peut exécuter une trace. La gestion des utilisateurs étant une responsabilité du client, l'octroi d'autorisations Trace relève également de la responsabilité du client. En tant que propriétaire de la plate-forme, Apigee peut ajouter un utilisateur à l'organisation d'un client et lui accorder des droits. Cette fonctionnalité n'est utilisée qu'à la demande d'un client lorsqu'il semble que le service client rencontre une défaillance. L'examen d'une session de trace est considéré comme étant le meilleur moyen de déterminer la cause première.

Masquage des données

Le masquage des données empêche l'affichage des données sensibles lors d'une session de trace/débogage uniquement, à la fois dans Trace (interface utilisateur Edge) et dans le backend par débogage (API Edge). Pour en savoir plus sur la configuration du masquage, consultez la section Masquage et masquage des données. Le masquage des données sensibles fait partie de l'exigence PCI 3 : protéger les données stockées des titulaires de cartes.

Le masquage des données n'empêche PAS leur visibilité dans les fichiers journaux, le cache, les analyses, etc. Pour obtenir de l'aide concernant le masquage des données dans les journaux, pensez à ajouter un modèle d'expression régulière au fichier logback.xml. En règle générale, les données sensibles ne doivent pas être écrites en cache ou analytiques sans une justification métier fiable et un examen par les équipes juridiques et de sécurité du client.

Caches L1 et L2

Les clients PCI peuvent utiliser la mise en cache uniquement avec des données non réglementées. Le cache ne doit pas être utilisé pour les données des détenteurs de cartes PCI (CHD). Il n'est pas approuvé par l'audit de conformité PCI d'Apigee en tant qu'emplacement de stockage des données CHD. Conformément aux directives PCI (Exigence 3: protéger les données stockées des titulaires de cartes) , les données PCI ne doivent être stockées que dans un emplacement conforme à la norme PCI. L'utilisation du cache L1 utilise également le cache L2 automatiquement. Le cache L1 est en "mémoire uniquement", tandis que le cache L2 écrit les données sur le disque à synchroniser entre plusieurs caches L1. Le cache L2 assure la synchronisation de plusieurs processeurs de messages au sein d'une région et à l'échelle mondiale. Il n'est actuellement pas possible d'activer le cache L1 sans cache L2. Le cache L2 écrit les données sur le disque afin qu'elles puissent être synchronisées avec d'autres processeurs de messages de l'organisation du client. Étant donné que le cache L2 écrit les données sur le disque, l'utilisation du cache pour les données CHD ou d'autres données limitées n'est pas acceptée.

L'utilisation du cache par les clients est autorisée pour les données autres que CHD et les autres données sans restriction. Nous ne désactivons pas le cache par défaut pour les clients PCI, car certains clients exécutent à la fois des appels d'API liés à la PCI et non à PCI via une seule organisation. Comme la fonctionnalité est toujours activée pour les clients PCI, il incombe au client d'utiliser le service de manière appropriée et d'entraîner ses utilisateurs à ne pas utiliser le cache lorsque des données PCI sont susceptibles de figurer dans l'appel d'API. L'audit de conformité PCI d'Apigee n'est pas compatible avec les données CHD stockées dans le cache.

Des instructions détaillées sur l'utilisation du cache sont disponibles dans la section Ajouter la mise en cache et la persistance.

Piste d'audit

Les clients ont la possibilité d'examiner la piste d'audit de toutes les activités d'administration effectuées dans leur organisation, y compris l'utilisation de Trace. Des instructions détaillées sont disponibles sur cette page et sur la page Utiliser l'outil Trace. (Exigence PCI 10: Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes)

Exigences relatives aux mots de passe complexes ou SAML

Les clients qui ont des exigences spécifiques en matière de mots de passe doivent utiliser SAML pour répondre à leurs exigences individuelles. Consultez la section Activer l'authentification SAML pour Edge. Edge offre également une authentification multifacteur (Exigence PCI 8: attribuer un identifiant unique à chaque personne ayant accès à un ordinateur). Voir Activer l'authentification à deux facteurs pour votre compte Apigee.

Sécurité des points de terminaison

Analyse des points de terminaison

L'analyse et le test des hôtes sont requis pour assurer la conformité avec la norme PCI (Exigence 11: tester régulièrement les systèmes et les processus de sécurité). Pour Edge Cloud, les clients sont responsables de l'analyse et du test des points de terminaison de leurs API (parfois appelés "composants d'exécution") dans Edge. Les tests client doivent couvrir les services proxy d'API réels hébergés sur Edge où le trafic des API est envoyé vers Edge avant d'être traité, puis livré au centre de données client. Les tests des ressources partagées, telles que l'interface utilisateur du portail de gestion, ne sont pas approuvés pour les clients individuels (un rapport tiers couvrant les tests des services partagés est disponible sur demande et dans le cadre d'un accord de non-divulgation).

Le test des points de terminaison d'API par les clients est vivement conseillé. Votre contrat avec Apigee n'interdit pas le test des points de terminaison de vos API, mais nous ne vous permettons pas de tester l'interface utilisateur de gestion partagée. Toutefois, si des précisions supplémentaires sont nécessaires, veuillez envoyer une demande d'assistance faisant référence aux tests que vous avez prévus. Nous vous remercions d'en informer Apigee à l'avance afin que nous puissions surveiller le trafic de test.

Les clients qui testent leurs points de terminaison doivent rechercher tout problème spécifique à l'API, tout problème lié aux services Apigee, et également contrôler le TLS et d'autres éléments configurables. Tous les éléments trouvés liés aux services Apigee doivent être communiqués à Apigee via une demande d'assistance.

La plupart des éléments liés au point de terminaison sont des éléments en libre-service du client et peuvent être corrigés en consultant la documentation Edge. Si vous ne savez pas comment résoudre certains problèmes, veuillez envoyer une demande d'assistance.

Configuration TLS

Conformément aux normes PCI, SSL et les premiers TLS doivent être migrés vers des versions sécurisées. Il incombe aux clients de définir et de configurer leurs propres points de terminaison TLS pour les proxys d'API. Il s'agit d'une fonctionnalité en libre-service dans Edge. Les exigences des clients en matière de chiffrement, de protocole et d'algorithmes sont très variables et spécifiques aux cas d'utilisation individuels. Étant donné qu'Apigee ne connaît pas les détails de la conception d'API et des charges utiles de données de chaque client, il est de la responsabilité de déterminer le chiffrement approprié pour les données en transit. Des instructions détaillées sur la configuration de TLS sont disponibles sur la page TLS/SSL.

Stockage de données

Le stockage de données dans Edge n'est pas nécessaire au bon fonctionnement d'Edge. Toutefois, il existe des services disponibles pour le stockage des données dans Edge. Les clients peuvent choisir d'utiliser le cache, les mappages clé-valeur ou l'analyse pour le stockage des données. Aucun de ces services n'est autorisé pour le stockage de données CHD par l'audit PCI Apigee. Conformément à l'exigence PCI 3 (Protéger les données des titulaires de carte stockées), les données PCI ne doivent être stockées que dans des emplacements conformes à la norme PCI. Les clients peuvent utiliser ces services pour stocker des données non PCI ou d'autres données non restreintes soumises à leurs obligations légales et de sécurité. Ces services sont des articles en libre-service du client. Il est donc de la responsabilité du client de les configurer pour qu'ils ne capturent ni ne stockent de données CHD. Il est recommandé d'examiner, par les administrateurs des clients, la configuration, les règles et les déploiements afin d'éviter toute utilisation accidentelle ou malveillante des services de stockage de données dans Edge et non conforme .

Chiffrement des données

Les clients ne peuvent pas utiliser d'outils de chiffrement des données dans Edge. Cependant, les clients sont libres de chiffrer leurs données PCI avant de les envoyer à Edge. L'Exigence PCI 4: (Chiffrer la transmission des données des titulaires de carte sur les réseaux ouverts et publics) recommande de chiffrer les données des titulaires de carte sur les réseaux ouverts et publics. Les données chiffrées dans la charge utile (ou le corps du message) n'empêchent pas le fonctionnement de Edge. Certaines règles périphériques peuvent ne pas être en mesure d'interagir avec les données si elles sont reçues de manière chiffrée par le client. Par exemple, une transformation n'est pas possible si les données elles-mêmes ne peuvent pas être modifiées par Edge. Toutefois, d'autres règles ainsi que des règles et groupes créés par les clients fonctionneront même si la charge utile des données est chiffrée.