Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información

Los requisitos detallados en esta sección son relevantes para HCL Commerce. Revise cada punto minuciosamente.

7.1 Limite el acceso a los componentes del sistema y los datos del titular de la tarjeta a solo aquellos individuos cuyo trabajo requiera disponer de tal acceso.
  • 7.1.1 Defina las necesidades de acceso para cada rol, entre ellos:
    • Los componentes del sistema y los recursos de datos a los que cada rol necesite acceder para su función del puesto de trabajo
    • Nivel de privilegio necesario (por ejemplo, usuario, administrador, etc.) para acceder a los recursos.
  • 7.1.2 Restringir el acceso a los ID de usuario privilegiados a los privilegios mínimos necesarios para desempeñar las responsabilidades del trabajo.
  • 7.1.3 Asignar el acceso en base a la función y la clasificación del trabajo del personal individual.
  • 7.1.4 Requerir la aprobación documentada de terceros autorizados, especificando los privilegios necesarios.

HCL Commerce tiene un mecanismo de control de acceso extremadamente potente, flexible, y personalizable. Este mecanismo automatizado asigna los privilegios en base al rol o roles asignados al ID de usuario. Para cumplir con 7.1.3, asegúrese de que se requiera un formulario de autorización para todos los accesos. WebSphere Commerce no proporciona este formulario.

Para obtener una visión general completa de control de acceso, consulte:

Descripción del control de acceso

7.2 Establezca un sistema de control de acceso para los componentes del sistema que limite el acceso en base a la necesidad de saber de un usuario, y se establezca en "denegar todo", a menos que se permita específicamente. Este sistema de control de acceso debe incluir lo siguiente:
  • 7.2.1 Cobertura de todos los componentes del sistema
  • 7.2.2 Asignación de privilegios a los individuos, en base a la función y la clasificación del trabajo del personal individual
  • 7.2.3 Valor "denegar todo" predeterminado

El Gestor de políticas es el componente de control de acceso que determina si el usuario actual puede ejecutar, o no, la acción especificada en el recurso especificado, de acuerdo con su rol de trabajo. A los ID de usuario que no estén asignados a un rol de trabajo se les deniega todo acceso, de forma predeterminada, a menos que se modifiquen las políticas de control de acceso predeterminadas.

Las políticas de control de acceso están especificadas en formato XML. Durante la creación de la instancia, las políticas predeterminadas y los grupos de políticas predeterminados se cargan en las tablas de base de datos correspondientes. Cuando HCL Commerce Server arranca, la información de control de acceso de almacena en la memoria caché para que el Gestor de políticas pueda comprobar rápidamente la autorización de un usuario cuando se le solicita.

Implementar el control de acceso

7.3 Asegúrese de que las políticas de seguridad y los procedimientos operativos para restringir el acceso a los datos del titular de la tarjeta almacenados estén documentados, se estén utilizando, y los conozcan todas las partes afectadas.

El comerciante es responsable de documentar y comunicar las política de seguridad y los procedimientos operativos a todas las partes que se vean afectadas.