Sicherheitsüberlegungen

API-Integration

cXML

Für allgemeine Sicherheit und SSL-Verschlüsselung unterstützt Coupa sicheres HTTP mit TLS 1.1 und höher.

Sichere REST-API

Um die REST-API-Aufrufe SICHER zu machen, stellt Coupa einen eindeutigen API-Schlüssel zur Verfügung, und ein gültiger Schlüssel ist obligatorisch, um Coupa-APIs zu erstellen.

API-Schlüssel

Alle Coupa-REST-API-Anfragen werden durch einen eindeutigen API-Schlüssel authentifiziert, der in Coupa generiert wird. Alle API-Anfragen müssen einen "X-COUPA-API-KEY" -Header mit einem API-Schlüssel übergeben.  Ein Schlüssel kann von einem Admin-Benutzer aus dem Abschnitt "API-Schlüssel" der Registerkarte Administration erstellt werden. Der Schlüssel ist ein 40 Zeichen langer Hex-Code. Alle Änderungen an Ressourcen über die API werden dem verwendeten Schlüssel zugeordnet.

Der API-Schlüssel sollte als vertrauliche Information behandelt werden und muss sicher weitergegeben werden. Der Schlüssel sollte nur den autorisierten Personen (die Anrufe tätigen oder Systembesitzer des Anruferprogramms sind) zur Verfügung gestellt werden.

Schlüssel können vom Coupa-Admin gemäß der Sicherheitsrichtlinie des Kunden neu generiert werden. 

Im Rahmen der R15-Version wären folgende Funktionen verfügbar:

• API-Schlüssel können jetzt so konfiguriert werden, dass sie ein Ablaufdatum haben. Die Konfiguration eines API-Schlüssels mit Ablaufdatum ist optional und wenn der Administrator kein Ablaufdatum angibt, läuft der Schlüssel nie ab. Wenn ein Ablaufdatum angegeben ist, läuft der API-Schlüssel am Ende des Tages (Mitternacht UTC) ab.
• API-Schlüssel können jetzt so konfiguriert werden, dass sie API-Zugriff und -Verwaltung zulassen. Dies gibt Administratoren die Möglichkeit, den Zugriff und die Nutzung aller Coupa-APIs über einen einzigen API-Schlüssel einzuschränken.

sFTP-Integration

Protokoll

Coupa tauscht hauptsächlich Dateien mit Kunden über das SFTP-Protokoll aus.  Wir unterstützen sowohl Benutzername/Passwort als auch SSH-Schlüssel-Authentifizierung (sprechen Sie mit Ihrem Coupa-Kontakt, um die SFTP-Anmeldeinformationen zu erhalten).  SFTP ist FTP vorzuziehen, da sowohl die Steuer- als auch die Datenkanäle verschlüsselt sind.

Im Rahmen der R15-Version würde Coupa die PGP-Verschlüsselung der über SFTP ausgetauschten Dateien unterstützen. 

Whitelisting der IPs

Coupa stellt die folgende Liste von IP-Adressen zur Verfügung und empfiehlt Kunden, diese auf die Whitelist zu setzen, um eine sichere Verbindung zwischen Netzwerken zu gewährleisten. Um eine sichere Verbindung zu gewährleisten, stellt Coupa eine vollständige Liste unserer öffentlichen IP-Adressen zur Verfügung. Mit den auf den unten verlinkten Seiten aufgeführten Ausnahmen hat Coupa alle IP-Adressen und Bereiche bei Amazon Web Services (AWS) registriert. Die neueren IP-Adressen und -Bereiche von Coupa sind bei der American Registry for Internet Numbers (ARIN) registriert. Obwohl es sehr empfehlenswert ist, unsere gesamten IP-Bereiche auf die Whitelist zu setzen, können Sie sich dafür entscheiden, nur eine Teilmenge unserer IP-Bereiche auf die Whitelist zu setzen. Wenn Sie dies tun müssen, lesen Sie die folgenden Informationen über die unten aufgeführten Links, um unbeabsichtigte Dienstunterbrechungen zu vermeiden.

• US-IP-Adresse (für SFTP-Adressen suchen Sie nach Informationen unter der Spalte SFTP): https://coupadocs.atlassian.net/wiki...S+IP+Adressen
• EU-IP-Adresse (für SFTP-Adressen suchen Sie nach Informationen unter der Spalte SFTP): https://coupadocs.atlassian.net/wiki...U+IP+Adressen
• AU IP-Adresse(für SFTP-Adressen suchen Sie nach Informationen unter der Spalte SFTP): https://coupadocs.atlassian.net/wiki...a+IP+Adressen
• HIPAA-IP-Adresse - gilt nur für HIPAA-Kunden (für SFTP-Adressen suchen Sie nach Informationen in der Spalte SFTP): https://coupadocs.atlassian.net/wiki...A+IP+Adressen

SFTP-Ordnerstruktur

Sobald Sie sich mit den Anmeldeinformationen des sftp-Kontos anmelden, sehen Sie die folgende Coupa-Standardordnerstruktur. Verwenden Sie nur die Ordner, die anwendbar sind (wie in den jeweiligen Szenarien erwähnt)

Ausgehend

/Outgoing/ExpenseReports
/Outgoing/Invoices
/Outgoing/PurchaseOrders
/Outgoing/Receipts
/Outgoing/Suppliers

Eingehend

/Incoming/Accounts
/Incoming/AccountValidationRules
/Incoming/Addresses
/Incoming/ApprovalChains
/Incoming/BudgetLines
/Incoming/BusinessGroups
/Incoming/Commodities
/Incoming/Contracts
/Incoming/Departments
/Incoming/ExchangeRates
/Incoming/ExpensePayments
/Invoice/InvoicePayments
/Invoice/Invoices
/Incoming/Items
/Incoming/LookupValues
/Incoming/Receipts
/Incoming/RemitToAddresses
/Incoming/Requisitions
/Incoming/Suppliers
/Incoming/Users

Archivieren

/Archive/Incoming/
/Archive/Incoming/Accounts
/Archive/Incoming/AccountValidationRules
/Archive/Incoming/Addresses
/Archive/Incoming/ApprovalChains
/Archive/Incoming/BudgetLines
/Archive/Incoming/BusinessGroups
/Archive/Incoming/Commodities
/Archive/Incoming/Contracts
/Archive/Incoming/Departments
/Archive/Incoming/ExchangeRates
/Archive/Incoming/ExpensePayments
/Archive/Incoming/InvoicePayments
/Archive/Incoming/Invoices
/Archive/Incoming/Items
/Archive/Incoming/LookupValues
/Archive/Incoming/Receipts
/Archive/Incoming/RemitToAddresses
/Archive/Incoming/Requisitions
/Archive/Incoming/Suppliers
/Archive/Incoming/Users

Dateispeicherrichtlinien

Coupa SFTP sollte zum Austausch von Dateien und nicht zum Speichern oder Archivieren der Dateien verwendet werden. Alle ausgehenden Dateien von Coupa werden unter den jeweiligen ausgehenden Ordnern abgelegt, und das Kundensystem sollte die Datei abholen, verarbeiten und aus Coupa sftp löschen. Partner können die Datei auf dem Partnersystem archivieren.

Bei eingehenden Dateien an Coupa werden die Dateien innerhalb weniger Minuten abgeholt und mit der Verarbeitung begonnen. Nach der erfolgreichen Abholung werden die Dateien unter ‘/Archive/Incoming’ archiviert. Archivdateien werden nach zwei Wochen in das AWS-Backup verschoben.