Loading

Panoramica e responsabilità PCI per i clienti Commerce Cloud

Data pubblicazione: Apr 13, 2026
Descrizione
In qualità di fornitore di servizi conformi a PCI DSS, Commerce Cloud è responsabile della conformità a PCI DSS del servizio di base fornito ai clienti, per consentire ai clienti di eseguire le personalizzazioni in piena conformità. L'uso del servizio Commerce Cloud non indica che un cliente è conforme allo standard PCI. Questo documento descrive il contenuto in cui Commerce Cloud può aiutare i clienti con i relativi controlli, le nostre responsabilità e le responsabilità dei clienti.
Risoluzione

Standard PCI DSS

Lo standard PCI DSS è stato adottato da tutti gli emittenti delle carte più importanti per risolvere i problemi di sicurezza dei dati. È suddiviso in più sezioni, che trattano i seguenti argomenti:

  • Sicurezza della rete
  • Protezione dei dati dei titolari della carta
  • Gestione delle vulnerabilità
  • Misure di controllo dell'accesso
  • Monitoraggio e test delle impostazioni di controllo e della sicurezza
  • Policy di sicurezza informazioni


È possibile trovare un elenco di Commerce Cloud come fornitore di servizi registrato nei seguenti portali:


Come prova di conformità, Commerce Cloud fornisce una copia del nostro attestato di conformità (AOC) dello standard PCI. Per richiedere una copia di AOC, rivolgersi all'assistenza.


Responsabilità di Commerce Cloud

Tutti gli esercenti sono tenuti pienamente a garantire la conformità allo standard PCI DSS. In relazione alla piattaforma Commerce Cloud, qui sono elencati gli elementi principali dell'ambito di Commerce Cloud come fornitore di servizi conformi a PCI DSS. Questi elementi includono i dati dei clienti archiviati dal nostro servizio. La conformità dei clienti riguarda principalmente le integrazioni e l'eventuale scambio di dati sensibili con sistemi esterni al servizio della piattaforma aziendale Commerce Cloud (ad esempio, un sistema OMS esterno). In particolare, riguarda le 12 sezioni principali dei requisiti PCI DSS:

     1.      La configurazione del firewall è convalidata e testata. Commerce Cloud è responsabile di tutta la configurazione e dei test del firewall.

     2.      Le password predefinite vengono rimosse e i parametri di sicurezza del sistema accettabili vengono mantenuti.

     3.      Le informazioni relative alla carta di credito memorizzate nella piattaforma Commerce Cloud vengono salvate in formato crittografato a condizione che venga utilizzata l'API standard per l'accesso ai dati della carta di credito. Commerce Cloud esegue la riconnessione automatica delle chiavi e altri meccanismi di protezione per questi dati.         

     4.      Commerce Cloud consente al cliente di utilizzare la crittografia di trasporto (TLS/SSH) o la crittografia di payload (funzionalità di crittografia standard settore) quando si scambiano i dati delle carte di credito con sistemi di terze parti. L'applicazione di riferimento SiteGenesis utilizza la piattaforma correttamente per garantire che tutte le parti sensibili di una sessione cliente siano protette. Ciò si applica anche all'applicazione di Business Manager amministrativa.

     5.      Ove necessario, Commerce Cloud rileva la presenza di virus e/o malware.

     6.      Commerce Cloud si attene alle procedure di codifica standard del settore e monitora le mailing list sulla sicurezza per garantire che lo sviluppo di qualsiasi componente centrale avvenga in modo sicuro. Eseguiamo anche dei test di analisi della vulnerabilità nell'ambito del processo di controllo qualità. Il cliente è responsabile dell'esecuzione di analisi della vulnerabilità e di revisioni del codice per tutte le personalizzazioni create sul servizio.

     7.      Commerce Cloud limita drasticamente l'accesso ai dati dei clienti al personale interno dotato di requisiti aziendali che giustificano l'accesso. Queste persone vengono sottoposti a controlli in background nell'ambito della loro collaborazione con Commerce Cloud.

     8.      Per l'intero ambiente della piattaforma aziendale Commerce Cloud, l'accesso degli utenti è protetto da un itinerario di controllo che consente di identificare l'utente tramite il suo ID univoco. Per il personale di Commerce Cloud, questo è imposto dalle policy e dalle procedure di Commerce Cloud.

     9.      L'accesso fisico è soggetto a limitazioni per i requisiti di PCI DSS in tutte le strutture della piattaforma Commerce Cloud.

     10. Commerce Cloud monitora sia la connettività interna che quella esterna per rilevare il traffico imprevisto. Inoltre, Commerce Cloud conserva file di registro interni completi e offre ai clienti la possibilità di scaricare registri di sicurezza e personalizzati per 30 giorni. 

     11. Commerce Cloud verifica il nostro servizio nell'ambito del processo di controllo qualità e conduce verifiche periodiche di penetrazione e vulnerabilità con il nostro auditor di sicurezza esterna. Il cliente è responsabile del test dello storefront, delle personalizzazioni e delle eventuali integrazioni di altri servizi. 

     12. Commerce Cloud ha definito criteri e procedure interne ben definite in tema di sicurezza delle informazioni.


Responsibilità del cliente

Come indicato in precedenza, per qualsiasi integrazione o personalizzazione esterna realizzata sulla base della piattaforma Commerce Cloud il cliente è responsabile della conformità PCI-DSS. Gli esempi comuni includono:

  • Integrazione esterna a OMS e altri servizi: transita su TLS e con le limitazioni appropriate per i firewall?
  • A fronte delle regole sui firewall, i clienti sono responsabili delle porte in uscita che richiedono di essere aperte da Commerce Cloud. I clienti devono prendere in considerazione le porte non sicure e come questo può influire sulla conformità PCI. In caso di domande, rivolgersi al reparto assistenza clienti. I clienti devono rivalutare la necessità di aprire le porte in uscita richieste ogni 6 mesi e informare Commerce Cloud se queste porte non sono più necessarie, in modo che possano essere rimosse.
  • I clienti sono responsabili della definizione della durata della conservazione dei dati di pagamento. È possibile gestire questo aspetto in Business Manager definendo i criteri di conservazione delle informazioni di pagamento.
  • Le esportazioni personalizzate vengono crittografate e trattate correttamente.
  • Tutte le personalizzazioni vengono eseguite in modo da rendere chiare le possibili ramificazioni alla sicurezza. Il cliente è responsabile di garantire che le personalizzazioni non acquisiscano informazioni della carta di credito o altre informazioni sensibili mediante metodi non sicuri. L'archiviazione in chiaro delle informazioni delle carte di credito (incluse nei file di registro) non è mai consentita e i clienti sono responsabili della conformità a questo requisito
  • Il test di vulnerabilità e penetrazione viene eseguito da un QSA/ASV esterno.
  • Gestione dei registri personalizzati specifici per la protezione dei clienti e il controllo dell'accesso, ovvero registri dei clienti che utilizzano il framework di registro Commerce Cloud, di errore, di errori personalizzati, di sicurezza o altri registri. I registri personalizzati e gli altri registri di sicurezza devono essere scaricati entro 30 giorni e archiviati dal cliente in conformità al requisito PCI DSS.
  • Per gli aggiornamenti di codice (tramite Commerce Cloud Studio) al sistema di gestione temporanea dei clienti è necessario che sia eseguita l'autenticazione a due fattori. Questo certificato a due fattori è gestito dal cliente e può seguire le proprie policy di sicurezza disponibili per le distribuzioni di codice nel servizio Commerce Cloud.

NOTA: questo elenco non è completo. Per determinare tutti i requisiti e le responsabilità necessari per mantenere la conformità di un commerciante PCI DSS, è necessario rivolgersi al proprio valutatore o consulente PCI DSS.


Come può essere utile Commerce Cloud con la fase di controllo?

La maggior parte degli auditor è molto familiare con l'utilizzo di partner esterni conformi a PCI. È possibile scaricare qualsiasi documentazione pertinente dai link sopra, incluso il nostro elenco come fornitore di servizi con le aziende che si occupano delle carte di credito. Può anche essere possibile registrare un ticket con l'assistenza per richiedere una copia del Commerce Cloud AOC. Questo deve essere sufficiente per consentire all'auditor di iniziare a identificare dove termina la nostra responsabilità come fornitore di servizi e dove inizia la responsabilità dell'utente. Commerce Cloud non aiuta a completare alcuna parte di un controllo PCI di un cliente, inclusi i questionari di auto-valutazione (SAQ).


Controlli di pianificazione/scansioni di sicurezza
Consultare le informazioni fornite in Valutazioni della sicurezza.


Chi contattare se ho domande?

Se non si riesce a trovare la risposta alla domanda in questo documento, inviare una domanda nella sezione Operazioni piattaforma del forum Sviluppatori qui. A tutte le domande pubblicate verrà fornita una risposta da un rappresentante di Commerce Cloud.

Numero articolo Knowledge

000391196

 
Caricamento
Salesforce Help | Article