Home
Documentación
HCL Commerce es una plataforma de comercio electrónico de alta disponibilidad, muy escalable y personalizable. Con capacidad para dar soporte a cientos de miles de transacciones por día, HCL Commerce le permite hacer negocios con consumidores (B2C) o directamente con empresas (B2B). HCL Commerce utiliza tecnología compatible con la nube para que el desarrollo y la operación sean sencillas y eficaces. Proporciona herramientas de fácil uso para que los usuarios de empresa gestionen de forma centralizada una estrategia entre canales. Los usuarios de empresa pueden crear y gestionar campañas de marketing de precisión, promociones, catálogo y comercialización en todos los canales de ventas. Los usuarios de empresa también pueden utilizar funciones de gestión de contenido habilitadas con inteligencia artificial.
Seguridad
Estos temas describen las características de seguridad de HCL Commerce y cómo configurar dichas características.
Consideraciones sobre la seguridad del sitio
Para mejorar la seguridad del sitio de HCL Commerce, puede habilitar distintas características en la consola de administración o en el archivo de configuración de HCL Commerce.
Consideraciones sobre la seguridad del servidor web
Tenga en cuenta las siguientes consideraciones de seguridad para el servidor web y tome las acciones recomendadas para minimizar cualquier riesgo de seguridad.

Documentación
HCL Commerce es una plataforma de comercio electrónico de alta disponibilidad, muy escalable y personalizable. Con capacidad para dar soporte a cientos de miles de transacciones por día, HCL Commerce le permite hacer negocios con consumidores (B2C) o directamente con empresas (B2B). HCL Commerce utiliza tecnología compatible con la nube para que el desarrollo y la operación sean sencillas y eficaces. Proporciona herramientas de fácil uso para que los usuarios de empresa gestionen de forma centralizada una estrategia entre canales. Los usuarios de empresa pueden crear y gestionar campañas de marketing de precisión, promociones, catálogo y comercialización en todos los canales de ventas. Los usuarios de empresa también pueden utilizar funciones de gestión de contenido habilitadas con inteligencia artificial.
- Cómo empezar
  HCL Commerce ofrece diferentes ventajas a los usuarios de empresa, a los administradores y a los desarrolladores. HCL Commerce está pensado para cada uno de estos roles con un conjunto adaptado de ofertas para que cada uno de los usuarios pueda obtener el máximo beneficio.
- Instalación y despliegue
  Aprenda a instalar y desplegar HCL Commerce development environment y los entorno de producción de HCL Commerce.
- Migración
  Antes de migrar a HCL Commerce Version 9.1, revise esta información que le ayudará a planificar y ejecutar la migración.
- Operación
  Los temas de la categoría operativa resaltan tareas que normalmente realizan los usuarios de empresa, representantes de soporte al cliente, para completar las tareas diarias en el funcionamiento del sitio HCL Commerce.
- Integración
  Los temas de la categoría Integración resaltan las tareas que se llevan a cabo normalmente para utilizar HCL Commerce en combinación con otros productos.
- Administración
  Los temas de la categoría Administración destacan las tareas que normalmente efectúa el Administrador de sitio para soportar las operaciones diarias del sitio de HCL Commerce.
- Personalización
  Los temas de la sección de Personalización describen las tareas realizadas por un desarrollador de aplicaciones para personalización HCL Commerce.
- Guías de aprendizaje
  HCL Commerce proporciona muchas guías para ayudarle a personalizar y comprender la instancia y las tiendas de HCL Commerce.
- Ejemplos
  Los temas de la categoría de ejemplos resaltan las muestras de ejemplo que se proporcionan con HCL Commerce.
- Conformidad
  En la sección siguiente se describe cómo puede sacar provecho de las características y las funciones de HCL Commerce para ayudar al sitio a cumplir con diferentes estándares de privacidad y seguridad.
- Seguridad
  Estos temas describen las características de seguridad de HCL Commerce y cómo configurar dichas características.
  - HCL Commerce : modelo de seguridad
    La autenticación es el proceso mediante el cual se verifica que los usuarios o las aplicaciones son quienes afirman ser. En un sistema HCL Commerce, la autenticación es necesaria para todos los usuarios y todas las aplicaciones que acceden al sistema, excepto para los clientes invitados.
  - HCL Commerce : modelo de autenticación
    El modelo de autenticación HCL Commerce se basa en los conceptos siguientes: mecanismos de desafío, mecanismos de autenticación y registros de usuario.
  - Autorización
    HCL Commerce considera el control de acceso o la autorización como el proceso mediante el cual se verifica que los usuarios o las aplicaciones tienen suficiente autorización para acceder a un recurso. Este apartado describe los detalles de diversos aspectos del control de acceso de HCL Commerce.
  - Lista de comprobación para reforzar la seguridad del sitio
    Para reforzar la seguridad del sitio de HCL Commerce, puede habilitar y configurar varias características de seguridad. Además, las personalizaciones de sitio deben realizarse siempre de modo que sigan los procedimientos recomendados tal como se describe en este documento.
  - Consideraciones sobre la seguridad del sitio
    Para mejorar la seguridad del sitio de HCL Commerce, puede habilitar distintas características en la consola de administración o en el archivo de configuración de HCL Commerce.
    - Habilitación de la invalidación de contraseña
      La invalidación de contraseña, cuando está habilitada, requiere que los usuarios de HCL Commerce cambien su contraseña si la contraseña de usuario ha caducado. En este caso, se redirige al usuario a una página en la que se le pide que cambie su contraseña. Los usuarios no pueden acceder a ninguna página segura en el sitio hasta que cambie su contraseña.
    - Cifrado de datos
      Esta sección contiene información sobre los pasos importantes necesarios cuando se asegura la seguridad del sitio. Existen diferentes opciones de cifrado disponibles incluyendo la información sobre Key Locator Framework, donde se cifran los datos, cómo cambiar las claves de cifrado de sesión y cómo desarrollar el código personalizado utilizando EncryptionFactory.
    - Implementación de la versión TLS 1.2
      Requiera el uso de la última versión del protocolo de seguridad TLS para comunicación con el sitio. Este proceso garantiza que cualquier debilidad en versiones anteriores y protocolos menos seguros no pueden ser utilizados por partes malintencionadas para obtener datos confidenciales.
    - Habilitación de la seguridad con cabeceras HTTP
      Puede utilizar cabeceras HTTP para pasar información relacionada con la seguridad entre el servidor y el cliente. Las cabeceras están disponibles para evitar ataques de man-in-the-middle, script entre sitios, rastreo de contenido y clickjacking.
    - Habilitación de la protección contra la vulnerabilidad Cross Site Scripting
      Cuando está habilitada, la protección contra la vulnerabilidad Cross-Site Scripting rechaza las peticiones de usuario que contienen atributos (parámetros) o series que están designadas como no permitidos. También puede excluir mandatos de la protección contra la vulnerabilidad Cross-Site Scripting permitiendo que los valores de atributos especificados para dichos mandatos en concreto contengan series prohibidas. La protección contra la vulnerabilidad Cross-Site Scripting está habilitada de forma predeterminada.
    - Habilitar la falsificación de solicitudes en la primavera
      La falsificación de petición Cross-Site (CSRF) es un tipo de intrusión malintencionada que engaña al usuario para que envíe peticiones no intencionadas. Por ejemplo, un intruso puede engañar a un usuario autenticado para que Pulse un enlace y actualice su información personal. HCL Commerce acepta esta solicitud como válida, ya que existen cookies de sesión adecuadas como parte de la solicitud.
    - Inhabilitación de la protección contra la vulnerabilidad Cross-Site Scripting para el Centro de gestión
      Cuando está habilitada, la protección contra la vulnerabilidad Cross-Site Scripting rechaza las peticiones de usuario que contienen atributos (parámetros) o series que están designadas como no permitidos. También puede excluir mandatos de la protección contra la vulnerabilidad Cross-Site Scripting permitiendo que los valores de atributos especificados para dichos mandatos en concreto contengan series prohibidas. La protección contra la vulnerabilidad Cross-Site Scripting está habilitada de forma predeterminada, pero puede habilitarla para cubrir las necesidades de seguridad.
    - Habilitación de la validación de datos de lista blanca
      Cuando está habilitada, la validación de datos de lista blanca asegura que, cuando se ejecuta una vista o un mandato de URL, los valores de parámetro se ajustan a una expresión regular especificada. Por ejemplo, puede configurarla de modo que el storeId deba ser un entero. Cuando se detecta una violación de lista blanca, la solicitud cambia a la vista ProhibCharEncodingErrorView. La validación de datos de lista blanca está inhabilitada de forma predeterminada.
    - Habilitar la protección contra la falsificación de petición Cross-Site en Struts
      La falsificación de petición Cross-Site (CSRF) es un tipo de intrusión malintencionada que engaña al usuario para que envíe peticiones no intencionadas. Por ejemplo, un intruso puede engañar a un usuario autenticado para que Pulse un enlace y actualice su información personal. HCL Commerce acepta esta solicitud como válida, ya que existen cookies de sesión adecuadas como parte de la solicitud.
    - Habilitación de la protección contra la falsificación de peticiones entre sitios en REST
      Se recomienda habilitar la protección de falsificación de solicitudes entre sitios (CSRF) al utilizar API de REST con cookies para la autenticación. Si la API de REST usa los tokens WCToken o WCTrustedToken para la autenticación, no se requiere protección CSRF adicional.
    - Habilitación del filtro de redirección de URL
      Cuando habilita el filtrado de redirección de URL, HCL Commerce rechaza las solicitudes que intentan redirigir a un sitio no autorizado. Esta característica se utiliza para evitar los ataques de suplantación en los que un enlace que se encuentre en el sitio HCL Commerce envía al comprador a otro sitio.
    - Habilitación del registro de accesos
      Cuando está habilitada, la característica de registro de accesos anota cronológicamente todas las solicitudes de entrada realizadas a Transaction server o sólo las solicitudes que producen violaciones de acceso. Una anomalía de autenticación o una autorización insuficiente para ejecutar un mandato son ejemplos de violaciones de acceso. Cuando se ha habilitado, el registro de accesos permite que un administrador de HCL Commerce identifique rápidamente las amenazas de seguridad en el sistema HCL Commerce.
    - Habilitación de SSL para servicios web de salida
      Puede habilitar SSL para servicios web utilizando la consola de administración de WebSphere Application Server para el desarrollo y la realización de pruebas, y utilizando mandatos Run Engine para cambios de configuración permanentes.
    - Cifrado de datos en código personalizado utilizando EncryptionFactory
      EncryptionFactory es una clase de fábrica que inicializa todas las clases de proveedor de cifrado que se utilizan en tiempo de ejecución para cifrar y descifrar datos. Todos los proveedores de cifrado deben implementar la interfaz com.ibm.commerce.foundation.common.util.encryption.EncryptionProvider.
    - Consideraciones sobre la seguridad del servidor web
      Tenga en cuenta las siguientes consideraciones de seguridad para el servidor web y tome las acciones recomendadas para minimizar cualquier riesgo de seguridad.
    - Configuración de políticas relacionadas con cuentas
      Para mejorar la seguridad del sitio, asegúrese de que conoce todas las políticas relacionadas con cuentas más actualizadas.
    - Habilitar mandatos habilitados por contraseña
      Cuando la característica de mandatos protegidos por contraseña está habilitada, HCL Commerce necesita que los usuarios registrados que están conectados a HCL Commerce entren la contraseña antes de continuar una solicitud que ejecuta mandatos de HCL Commerce designados. Al configurar mandatos protegidos por contraseña, tenga en cuenta las consecuencias de la especificación de un mandato que puede ser ejecutado por usuarios genéricos e invitados. Si los mandatos de este tipo se configuran como protegidos por contraseña, se impedirá que los clientes genéricos e invitados los ejecuten.
    - Configuración Restablecer contraseña para utilizar códigos de validación largos.
      Cuando un usuario registrado solicite el restablecimiento de una contraseña olvidada, puede configurar el URL de restablecimiento de contraseña para enviar un código de validación generado aleatoriamente en lugar de una contraseña temporal. Por defecto, este código puede tener hasta 100 caracteres.
    - Configuración Restablecer contraseña para utilizar códigos de validación cortos.
      Cuando un cliente solicita un cambio de contraseña, puede configurar la función Restablecer contraseña para enviarles por correo electrónico un breve código de validación numérico. Antes de Versión 9.1.7.0, el código de validación era largo, hasta 100 caracteres. Todavía se puede utilizar el código de validación de código largo, sin embargo, este método está obsoleto y se dejará de utilizar en una futura versión.
    - Impedir que usuarios privilegiados se registren externamente
      El archivo wc-server.xml incluye una cabecera de servidor web personalizable. Puede editar esta cabecera para controlar si los usuarios privilegiados pueden iniciar la sesión en la tienda desde redes externas. Esta infraestructura reduce la posibilidad de un ataque externo si una cuenta con el acceso a nivel administrativo, como un representante del serivico al cliente o administrador del sitio se ve comprometida.
  - Gestión de sesiones
    Los navegadores web y los sitios de comercio electrónico utilizan HTTP para comunicarse. HTTP es un protocolo sin estado, lo que significa que cada mandato se ejecuta de forma independiente sin ningún conocimiento de los mandatos anteriores. Dado que se trata de un protocolo sin estado, las sesiones se deben gestionar entre el lado del navegador y el lado del servidor.
  - Consulta rápida de los ID de usuario, las contraseñas y las direcciones Web
    La administración en el entorno de HCL Commerce requiere diversos ID de usuario. En la lista siguiente, se describen estos ID de usuario junto con los requisitos de autorización. Para el ID de usuario de HCL Commerce, se identifican las contraseñas predeterminadas.
  - Habilitar la seguridad de WebSphere Application Server
    Puede habilitar la seguridad de WebSphere Application Server, que incluye dos componentes ortogonales: Seguridad global de WebSphere y seguridad de Java 2.
- Rendimiento
  Los temas de la sección Rendimiento describen los medios para planificar, implementar, probar y volver a visitar la optimización del rendimiento del sitio de HCL Commerce.
- Solución de problemas
  Los temas de la sección Resolución de problemas señalan cuáles son los problemas comunes que se enfrentan con HCL Commerce y cómo pueden resolverse o mitigarse.
- Referencia
  Los temas de la sección Referencia contienen toda la documentación de referencia HCL Commerce.

Consideraciones sobre la seguridad del servidor web

Tenga en cuenta las siguientes consideraciones de seguridad para el servidor web y tome las acciones recomendadas para minimizar cualquier riesgo de seguridad.

Siga los boletines de seguridad de su servidor web para asegurarse de que conoce los problemas potenciales que se consideran vulnerabilidades de seguridad. Los boletines de seguridad de IBM proporcionan información de evaluación de riesgos de seguridad que le ayudan a evaluar si un problema concreto puede afectar a su organización.
Inhabilite protocolos SSL débiles. Por ejemplo, SSLv2 y SSLv3.
Inhabilite cifrados SSL débiles. Por ejemplo, RC4.
Utilice TLSv1.2 con una suite de cifrado AEAD para maximizar la seguridad de capa de transporte y mitigar un ataque POODLE potencial. Para obtener información sobre cómo implementar el uso de TLSv1.2 con WebSphere Commerce, consulte Implementación de la versión TLS 1.2.
Nota: Es posible que los navegadores web antiguos no soporten TLSv1.2 de forma predeterminada. Asegúrese de que utiliza un protocolo que le permita estar protegido y, a la vez, siga permitiendo acceso a los clientes.
Configure el manejo de excepciones e inhabilite comportamientos estándares del servidor web para bloquear solicitudes que se han diseñado para probar su servidor web. Estas solicitudes pueden revelar información sobre tecnología y estructura de directorios subyacentes del sitio.
- Todos los códigos de estado 4xx deben redirigirse a una página de error genérico. Para el manejo de errores personalizado, consulte HCL customized error pages.
- De forma predeterminada, la mayoría de los servidores web se identifican en cada respuesta HTTP. Esta información incluye el nombre del software de servidor de web y la versión. Para inhabilitar este comportamiento en IBM HTTP Server, consulte AddServerHeader Directive.
Impida la inyección de cabecera de host implementando RewriteRules para permitir solo hosts conocidos. Para obtener más información, consulte Blocking unrecognized hostnames.
Por ejemplo,
```
RewriteEngine ON
RewriteCond %{HTTP_HOST} !=www.mycompanyname.com
RewriteCond %{HTTP_HOST} !=mycompanyname.com
  ...
RewriteRule .* - [F]
```