Guide de Configuration PCI pour Apigee

Cette page s'applique à Apigee et à Apigee hybrid.

Consultez la documentation d' Apigee Edge.

Pour qu'un client soit conforme à la norme PCI (Payment Card Industry) sur Apigee, il existe des actions et des processus dont le client est propriétaire dans le cadre du "modèle de responsabilité partagée". Les éléments suivants doivent être examinés par les clients qui souhaitent se conformer à la norme PCI. Ces éléments sont en libre-service dans Apigee et doivent être traités pour l'organisation cliente (org) afin de répondre aux exigences de la norme PCI. Le concept global est "Google sécurise la plate-forme, le client sécurise ses données".

Mappage des exigences PCI

Le tableau suivant met en correspondance les exigences PCI et la documentation associée sur Apigee. Pour en savoir plus sur ces exigences, consultez le Guide de référence rapide sur la norme PCI DSS v3.2.1.

Exigences PCI Section
Exigence 3 : Protéger les données stockées des titulaires de cartes Masquage des données
Exigence 3 : Protéger les données stockées des titulaires de cartes Stockage de données
Exigence 4 : Chiffrer la transmission des données des titulaires de cartes sur les réseaux ouverts et publics Configuration TLS
Exigence 4 : Chiffrer la transmission des données des titulaires de cartes sur les réseaux ouverts et publics Chiffrement des données
Exigence 7 : Restreindre l'accès aux données des titulaires de cartes sur la base du besoin de connaître Utilisation/Autorisations
Exigence 8 : Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur Exigences relatives aux mots de passe complexes ou SAML
Exigence 10 : Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes Piste d'audit
Exigence 11 : Tester régulièrement les systèmes et les processus de sécurité Analyse des points de terminaison

Pour obtenir une Attestation de Conformité (AOC) à la Norme de Sécurité des Données PCI, veuillez accéder au Gestionnaire des Rapports de Conformité Google ou contacter votre équipe commerciale Apigee.

Sessions de débogage

Les sessions de débogage sont un outil de dépannage qui permet à l'utilisateur d'afficher l'état et le contenu d'un appel d'API au cours de son traitement via la plate-forme Apigee.

Lors d'une session de débogage, le Masquage des données est appliqué. Le Masquage des données peut empêcher l'affichage des données lors d'une session de débogage. Consultez la section Masquage des données ci-dessous.

Des instructions détaillées sur l'utilisation du débogage sont disponibles sur la page Utiliser le débogage.

Utilisation/Autorisations

L'accès à la Session de Débogage est géré via le système RBAC (Contrôle des accès basé sur les rôles) de Cloud IAM (Identity Access Management). Des instructions détaillées sur l'utilisation du système RBAC pour accorder et révoquer les privilèges de session de débogage sont disponibles sur les pages Rôles Apigee et Gérer les utilisateurs dans l'interface utilisateur d'Apigee. Les autorisations de session de débogage permettent à l'utilisateur de lancer une Session de Débogage et d'accéder au résultat d'une session de débogage.

Puisque la session de débogage a accès à la charge utile des appels d'API (anciennement appelée "corps du message"), il est important de déterminer qui a accès à l'exécution d'une session de débogage. Le client étant responsable de la gestion des utilisateurs, il est également responsable de l'attribution des autorisations de session de débogage.

Masquage des données

Le masquage des données empêche l'affichage des données sensibles au cours d'une session de débogage uniquement, à la fois dans l'outil de débogage (UI Apigee) et dans le backend par le débogage (API Apigee). Plus de détails sur la configuration du masquage sont disponibles dans la section Masquer et cacher des données. Le masquage des données sensibles fait partie de l'Exigence PCI 3 : Protéger les données stockées des titulaires de cartes.

Le masquage des données n'empêche PAS les données d'être visibles dans des emplacements tels que les fichiers journaux, le cache et les analyses. Les données sensibles ne doivent généralement pas être écrites dans le cache ou dans les analyses sans justification valable de l'entreprise et un examen par les équipes juridiques et de sécurité du client.

Mise en cache

La mise en cache est disponible pour tous les clients. Pour plus d'informations, consultez la section Composants internes du cache.

Piste d'audit

Les clients ont la possibilité d'examiner la piste d'audit de toutes les activités d'administration effectuées dans l'organisation du client, y compris l'utilisation de l'outil de débogage. Pour obtenir des instructions détaillées, consultez les sections Journaux d'audit et Utiliser le débogage. Exigence PCI 10 : Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes

Exigences relatives aux mots de passe complexes ou SAML

Pour les clients PCI, les mots de passe utilisateur sont configurés pour répondre à la plupart des exigences imposées par la norme PCI DSS. Cloud Identity propose également une authentification multifacteur (Exigence PCI 8 : Attribuer un ID unique à chaque personne ayant accès à un ordinateur). Comme décrit dans la section Présentation de SAML, SAML peut être utilisé comme alternative pour les contrôles d'authentification.

Remarque : Pour les clients ayant des exigences de mot de passe spécifiques, il est recommandé d'utiliser SAML pour répondre à leurs exigences individuelles.

Sécurité des points de terminaison

Analyse des points de terminaison

L'analyse et les tests des hôtes sont requis pour assurer la conformité PCI (exigence 11 : Tester régulièrement les systèmes et les processus de sécurité). Pour Apigee, les clients sont responsables de l'analyse et du test de leurs points de terminaison d'API (parfois appelés "composants d'exécution") dans Apigee. Les tests clients doivent couvrir les services de proxy d'API réels hébergés sur Apigee, où le trafic d'API est envoyé à Apigee avant d'être traité, puis transmis au centre de données client. Les tests de ressources partagées, comme l'UI du portail de gestion, ne sont pas approuvés pour chaque client (un rapport tiers portant sur les tests des services partagés est mis à disposition des clients selon un accord de non-divulgation et sur demande).

Le test des points de terminaison d'API par les clients est vivement conseillé. Votre contrat avec Apigee n'interdit pas les tests de vos points de terminaison d'API, mais vous ne pouvez pas tester l'UI de gestion partagée. Une notification adressée à l'avance à Apigee est appréciée pour nous informer du trafic de test.

Les clients qui testent leurs points de terminaison doivent rechercher tout problème spécifique à l'API, tout problème lié aux services Apigee, et également contrôler le TLS et d'autres éléments configurables. Tous les éléments liés aux services Apigee doivent être communiqués à Apigee via une demande d'assistance.

La plupart des éléments liés au point de terminaison sont des éléments de libre-service client et peuvent être corrigés en examinant la documentation Apigee. Si la façon de corriger certains éléments n'est pas claire, veuillez ouvrir une demande d'assistance.

Configuration TLS

Conformément aux normes PCI, SSL et les premiers TLS doivent être migrés vers des versions sécurisées. Il incombe aux clients de définir et de configurer leurs propres points de terminaison TLS pour les proxys d'API. Il s'agit d'une fonctionnalité en libre-service dans Apigee. Les exigences des clients en matière de chiffrement, de protocole et d'algorithmes sont très variables et spécifiques aux cas d'utilisation individuels. Étant donné qu'Apigee ne connaît pas les détails de conception d'API et de charges utiles de chaque client, les clients ont la responsabilité de déterminer le chiffrement approprié pour les données en transit. Des instructions détaillées sur la configuration TLS sont disponibles dans la section TLS/SSL.

Stockage de données

Le stockage de données au sein d'Apigee n'est pas nécessaire au bon fonctionnement d'Apigee. Toutefois, des services sont disponibles pour le stockage de données dans Apigee. Les clients peuvent choisir de stocker des données à l'aide du cache, de mappages clé-valeur ou d'analyses. L'analyse n'est pas autorisée à stocker des Données de Titulaire de Carte (CHD, Card Holder Data) conformément à l'audit PCI Apigee. Conformément à l'Exigence 3 (Protéger les données stockées des titulaires de cartes), les données PCI doivent être stockées uniquement dans des emplacements conformes à la norme PCI. L'utilisation de ces services est proposée aux clients pour stocker des données ne relevant pas de la norme PCI ou d'autres données non restreintes, conformément aux exigences légales et de sécurité du client. Ces services sont des éléments en libre-service client. Par conséquent, il incombe au client de les configurer de manière à ne pas capturer ni stocker des Données de Titulaire de Carte. Les vérifications de la configuration, des stratégies et des déploiements par les administrateurs du client sont recommandées pour éviter toute utilisation accidentelle ou malveillante des services de stockage de données dans Apigee de manière non conforme.

Chiffrement des données

Les outils de chiffrement des données ne sont pas proposés aux clients pour leur utilisation dans Apigee. Toutefois, les clients sont libres de chiffrer leurs données PCI avant de les envoyer à Apigee. Exigence PCI 4 : (Chiffrer la transmission des données des titulaires de cartes sur les réseaux ouverts et publics) recommande de chiffrer les données de titulaire de carte sur les réseaux ouverts et publics. Les données chiffrées dans la charge utile (ou le corps du message) n'empêchent pas Apigee de fonctionner. Certaines règles Apigee peuvent ne pas pouvoir interagir avec les données si elles sont reçues chiffrées par le client. Par exemple, une transformation n'est pas possible si les données elles-mêmes ne peuvent pas être modifiées par Apigee. Toutefois, d'autres règles ainsi que des groupes et des règles créés par le client fonctionneront même si la charge utile de données est chiffrée.

Capture des données

Les clients peuvent utiliser la Règle de capture de données pour envoyer des attributs personnalisés à la plate-forme d'analyse Apigee. Apigee recommande de ne pas utiliser la Capture de données pour stocker les informations des titulaires de cartes.

Exposition des informations via des chaînes de requête dans l'URL

Apigee recommande des conceptions d'API qui évitent les données sensibles (y compris, mais sans s'y limiter, les informations des titulaires de cartes) via des chaînes de requête dans les URL.