Hoy en día, en la era digital, todo está conectado y fácilmente accesible pero cada vez estamos más expuestos a nuevos riesgos y peligros para nuestra privacidad.
La seguridad es un aspecto fundamental en cualquier aplicación, pero en el caso de la seguridad en un e-commerce (ya sea B2C o B2B) es un punto especialmente importante, ya que el usuario no solo introduce datos personales, si no que realiza transacciones comerciales en las que se utilizan datos bancarios y el usuario tiene que estar y sentirse seguro y protegido.
Dentro del mundo del e-commerce, SAP dispone de una de las plataformas más potentes y completas del mercado, la plataforma SAP Hybris, la cual fue rebautizada en 2018 como SAP Commerce Cloud. En otros artículos ya hemos descrito el por qué SAP Commerce Cloud es una de las soluciones líderes del mercado en e-commerce, y beneficios de SAP Commerce cloud en su entorno cloud. En este caso, vamos a centrarnos en otro de los aspectos fundamentales de una plataforma e-commerce: la seguridad.
Cómo SAP Commerce Cloud garatiza la seguridad en e-Commerce
A continuación se describen los diferentes mecanismos ofrecidos por SAP Commerce Cloud para garantizar la seguridad de nuestro e-commerce.
Control de usuarios y contraseñas
En primer lugar, veamos cómo garantiza SAP Commerce la seguridad en el control del acceso de los usuarios a nuestra aplicación. Cuando hablamos de seguridad en el control de usuarios tenemos que pensar en dos operaciones: “autenticación“ (un usuario es quien dice ser) y “autorización” (ver si un usuario tiene permitido realizar una determinada opera-ción). Para este control de usuarios SAP Commerce Cloud utiliza el framework Spring Security, el cual se encarga de la autenticación y autorización de usuarios y del control de las restricciones de acceso. Este framework nos proporciona un modelo altamente flexible para la gestión de roles de usuarios en nuestro e-commerce, restringe el acceso web y puede ser configurado de manera personalizada para cada e-commerce.
Por otro lado, uno de los aspectos más importantes para los usuarios es el almacenamiento seguro de sus contraseñas. SAP Commerce Cloud permite un control preciso del mane-jo de contraseñas utilizando políticas de seguridad que obligan a cumplir determinados requisitos a la hora de establecer o cambiar una contraseña, así como el almacenamiento encriptado de las contraseñas en la Base de Datos. Esta plataforma nos proporciona diferentes estrategias de encriptación como SHA-12 Y PBKDF2 siendo está última la más fuerte y la utilizada por defecto. Además, para garantizar mayor seguridad es posible implementar una estrategia propia de cifrado de contraseñas para el e-commerce.
GDPR
El Reglamento General de Protección de Datos (GPRD) es el reglamento europeo relativo a la protección de las personas con respecto al tratamiento de datos personales que comenzó a aplicarse el 25 de Mayo de 2018. SAP adaptó toda su suite de soluciones para el cumplimiento de la GDPR, por lo que en todo momento SAP Commerce Cloud ha sido desarrollado con un enfoque consistente en la protección de datos.
Algunas de las características que incluye SAP Commerce Cloud para respaldar el cumplimiento de GDPR es integrar en los aceleradores la gestión del consentimiento por parte de los propios usuarios, con la posibilidad de ampliarla para satisfacer las necesidad del e-commerce. También tiene funciones de autorización integradas para regular el acceso a los objetos, con la que un cliente podría restringir el acceso a los datos personales, o la posibilidad de controlar el borrado de datos automáticos según períodos de retención configurados.
Mecanismos contra la inyección de SQL y cross site scripting
Hoy en día la inyección SQL es una de las mayores vulnerabilidades en los e-commerce. Mediante esta vulnerabilidad, terceras personas pueden acceder a la base de datos e incluso modificar su contenido, pudiendo cambiar permisos, contraseñas, etc. y conseguir un control total del e-commerce. SAP Commerce Cloud dispone de mecanismos específicos para evitar la inyección de SQL, ya que no permite lanzar consultas directas a la Base de Datos. Este producto tiene su propio lenguaje de consulta de Bases de Datos llamado Flexible Search, cuyas queries son ejecutadas a través de su propio servicio convirtiendo todos los datos de entrada en parámetros y comprobando que son correctos. Un ejemplo de un flexible search y su transformación en query sería:
Otra de las vulnerabilidades más típicas en los e-commerce es el Cross Site Scripting (XSS), esta es una técnica de ataque en la que terceras personas ejecutan código malicioso tanto en el lado del servidor como en el del cliente, con el fin de robar datos sensibles o suplantar la identidad digital. Para evitarlo SAP Commerce proporciona métodos de protección contra XSS basándose en filtros y librerías que ayudan a codificar los diferentes tipos de contenido como html, JavaScript o xml evitando que terceras personas puedan inyectar código malicioso en nuestro e-commerce. Uno de los ejemplos de configuración de los filtros XSS sería:
Integración con servicios externos
En un e-commerce podemos encontrarnos con la necesidad de integrarnos con servicios externos. En el caso de que uno de estos servicios necesite consultar o tratar información de nuestro e-commerce necesitamos asegurarnos de que esta información es tratada solo por este servicio, para ello SAP Commerce Cloud incorpora una extensión de servicios Rest con el protocolo de autenticación OAuth2. Este protocolo de autenticación permite que terceros puedan acceder de manera rápida y segura a datos que son propiedad de un usuario alojados en un servidor sin conocer los credenciales de este usuario, y es el protocolo de autorización más utilizado actualmente.
Infraestructura segura
Por último y no menos importante, SAP Commerce Cloud cuenta con una infraestructura Cloud segura aplicando filtros de firewall y certificados SSL, además de darnos la posibilidad de configurar otros parámetros para optimizar la seguridad de las operaciones, como la posibilidad de restringir el acceso por IP a ciertas partes de nuestra aplicación, como el backoffice. Además, es compatible con el estándar TLS 1.3.
En resumen, SAP Commerce Cloud ofrece diferentes mecanismos que garantizan la seguridad de nuestro e-commerce durante todo el proceso: desarrollo, despliegue, configuración y operación.
En Hiberus Digital disponemos de un gran equipo experto en SAP Commerce Cloud y otras tecnologías para E-commerce. Si estás pensando en implantar esta solución no dudes en contactar con nosotros.
¿Quieres más información sobre nuestros servicios de SAP CX?
Contacta con nuestro equipo de SAP CX
