HCL Commerce : modelo de seguridad

El proceso de autenticación de usuario está configurado de forma predeterminada para ejecutarse bajo SSL. Esto asegura que una tercera persona que utilice programas de "fisgoneo" de red no pueda husmear en la red cuando un usuario somete una contraseña. Las contraseñas no se descifran nunca durante el proceso de autenticación. Como práctica de seguridad común las contraseñas se mantienen cifradas durante el proceso de autenticación. Todas las contraseñas de usuario tienen una sal específica de usuario. Tienen un hash unidireccional utilizando SHA-256 y se cifran utilizando una clave de cifrado basada en la clave de comerciante. La utilización de un hash unidireccional asegura que nadie pueda descifrar las contraseñas de usuario, incluidos el administrador de sitio o del sistema. La merchant key, que se especifica durante la instalación y la configuración del sistema de HCL Commerce y que se puede cambiar tantas veces como sea necesario para mantener la seguridad del sitio.

El cifrado de 128 bits AES se utiliza para cifrar datos en HCL Commerce. El cifrado de datos confidenciales en la base de datos, como los datos de tarjeta de crédito (si se conservan en la base de datos) y las contraseñas, se realiza utilizando la clave de cifrado proporcionada por el cliente (32 caracteres hexadecimales). Esta clave de cifrado se conoce como clave de comerciante. El cifrado de datos de sesión, como las cookies, utiliza la clave de sesión proporcionada por el cliente como clave de cifrado. El cifrado de datos en archivos de configuración y Vault utiliza una clave de cifrado interna.

¿Qué es la autorización?

La autorización es el proceso mediante el cual se determina si un usuario puede ejecutar una operación específica en un recurso. La autorización se determina a partir de las políticas de control de acceso que controlan los recursos de HCL Commerce. En un sistema de HCL Commerce, el control de acceso es necesario para asegurarse de que solo las partes autorizadas puedan ejecutar diferentes grupos de mandatos de HCL Commerce.

¿Qué son las políticas de control de acceso?

Suponiendo que termina de definir las organizaciones y los usuarios que participan en el sitio de comercio electrónico, ahora puede gestionar sus actividades mediante un conjunto de políticas. Este conjunto de políticas es un proceso que se conoce como "control de acceso".

Una política de control de acceso es una regla que describe qué grupo de usuarios tienen autorización para ejecutar determinadas actividades en el sitio. Estas actividades pueden variar desde el registro, hasta la actualización del catálogo de productos y la concesión de aprobaciones en los pedidos, así como cualquiera de los cientos de actividades diferentes que son necesarias para operar y mantener un sitio de comercio electrónico.

Las políticas son las que otorgan a los usuarios el acceso al sitio. A no ser que estén autorizados a ejercer sus responsabilidades mediante una o más políticas de control de acceso, los usuarios no tienen acceso a ninguna de las funciones de los sitios.

El modelo de autorización para HCL Commerce se basa en la imposición de políticas de control de acceso. Las políticas de control de acceso las impone el Gestor de políticas de control de acceso. En general, cuando un usuario intenta acceder a un recurso protegido, el gestor de políticas de control de acceso determina primero qué políticas de control de acceso son aplicables para dicho usuario. A continuación, basándose en las políticas de control de acceso aplicables, determina si se permite al usuario ejecutar la operación solicitada en el recurso en concreto.

¿Qué es un seguimiento de comprobación?

En los sistemas informáticos, se utiliza el término seguimiento de comprobación para hacer referencia a las anotaciones cronológicas electrónicas o en papel que se utilizan para hacer el seguimiento de la actividad del sistema. Por ejemplo, puede que un empleado tenga acceso a una parte de una red corporativa. Aunque el empleado tenga acceso a las cuentas por cobrar, puede que no esté autorizado a acceder a otras partes del sistema, por ejemplo las nóminas. Si dicho empleado intenta acceder a una sección no autorizada escribiendo contraseñas, dicha actividad inadecuada se registra en el seguimiento de comprobación.

En sistemas de comercio electrónico, los seguimientos de comprobación se utilizan para registrar la actividad del cliente. Un seguimiento de comprobación registra el contacto inicial de un cliente con el sistema y las acciones subsiguientes, por ejemplo el pago y la entrega del producto o servicio. Las empresas pueden utilizar el seguimiento de comprobación para responder a cualquier consulta o reclamación. También pueden utilizar el seguimiento de comprobación para reconciliar cuentas, proporcionar información de análisis e histórica para planificaciones y presupuestos, así como para proporcionar un registro de ventas en el caso de una auditoría fiscal.

Los seguimientos de comprobación también se pueden utilizar para investigar delitos informáticos a través del ciberespacio o Internet. Para descubrir a un individuo que realiza accesos delictivos en un sistema, los investigadores pueden consultar el seguimiento de comprobación que ha dejado el autor del delito. A veces los autores de delitos cibernéticos dejan, sin saberlo, seguimientos de comprobación en anotaciones cronológicas de actividad de los proveedores de servicios de Internet o quizá a través de anotaciones cronológicas de salas de charla.

¿Qué es la confidencialidad?

La confidencialidad es el proceso mediante el cual se evita que la información delicada sea descifrada por personas a las que no está destinada dicha información. En el sistema de HCL Commerce, la confidencialidad es necesaria cuando fluye información confidencial del navegador del usuario a Transaction server y desde Transaction server al navegador del usuario. La utilización de SSL (Secure Sockets Layer - Capa de sockets segura) proporciona confidencialidad para este escenario.

La confidencialidad es también un requisito importante en el área del gestión de sesiones. Dado que el protocolo HTTP (Hypertext Transfer Protocol) no tiene estado, normalmente se utiliza un cookie para identificar de forma continua al usuario en Transaction server. Si se roba esta cookie, la cuenta del usuario puede verse comprometida, y esto se conoce habitualmente como "secuestro de sesión". HCL Commerce evita el secuestro de sesión utilizando características exclusivas de las especificaciones de cookie, tal como se describe en Gestión de sesiones.