Considérations de sécurité

Intégration API

cXML

Pour la sécurité globale et le cryptage SSL, Coupa prend en charge HTTP sécurisé à l'aide de TLS 1.1 et supérieur.

API REST SÉCURISÉE

Pour sécuriser les appels API REST, Coupa fournit une clé API unique, et une clé valide est obligatoire pour créer des API Coupa.

Clé API

Toutes les demandes d'API REST Coupa sont authentifiées par une clé API unique, générée dans Coupa. Toutes les demandes d'API doivent passer un en-tête « X-COUPA-API-KEY » avec une clé API.  Une clé peut être créée à partir de la section « Clés API » de l'onglet Administration par un utilisateur administrateur. La clé est un code hexadécimal de 40 caractères. Toute modification des ressources via l'API sera attribuée à la clé utilisée.

La clé API doit être traitée comme une information sensible et doit être partagée en toute sécurité. La clé ne doit être fournie qu'aux personnes autorisées (qui passeront des appels ou au propriétaire du système du programme de l'appelant).

Les clés peuvent être générées à nouveau par Coupa Admin conformément à la politique de sécurité du client. 

Dans le cadre de la version R15, les fonctionnalités suivantes seraient disponibles :

• Les clés API peuvent maintenant être configurées pour avoir une date d'expiration. La configuration d'une clé API avec une date d'expiration est facultative et si l'administrateur ne spécifie pas de date d'expiration, la clé n'expire jamais. Si une date d'expiration est spécifiée, la clé API expire à la fin de la journée (minuit UTC).
• Les clés API peuvent maintenant être configurées pour autoriser l'accès et la gestion des API. Cela donne aux administrateurs la possibilité de restreindre l'accès et l'utilisation de toutes les API Coupa à partir d'une seule clé API.

intégration sFTP

Protocole

Coupa échange principalement des fichiers avec les clients via le protocole SFTP.  Nous prenons en charge l'authentification par nom d'utilisateur/mot de passe ou par clé SSH (contactez votre contact Coupa pour obtenir les informations d'identification SFTP).  SFTP est préférable à FTP car les canaux de contrôle et de données sont cryptés.

Dans le cadre de la version R15, Coupa prendrait en charge le cryptage PGP des fichiers échangés via SFTP. 

Liste blanche des IP

Coupa fournit la liste suivante d'adresses IP et recommande aux clients de les mettre en liste blanche pour assurer une connexion sécurisée entre les réseaux. Pour assurer une connexion sécurisée, Coupa fournit une liste complète de nos adresses IP publiques. Avec les exceptions énumérées sur les pages liées ci-dessous, Coupa a enregistré toutes les adresses IP et plages auprès d'Amazon Web Services (AWS). Les nouvelles adresses IP et plages de données de Coupa sont enregistrées auprès de l'American Registry for Internet Numbers (ARIN). Bien qu'il soit fortement recommandé de mettre en liste blanche l'ensemble de nos gammes IP, vous pouvez choisir de ne mettre en liste blanche qu'un sous-ensemble de nos gammes IP. Si vous devez le faire, consultez les informations suivantes sur les liens énumérés ci-dessous pour éviter toute interruption de service involontaire.

• Adresse IP américaine (pour les adresses SFTP, recherchez des informations dans la colonne SFTP) : https://coupadocs.atlassian.net/wiki...S+IP+Adresses
• Adresse IP de l'UE (pour les adresses SFTP, recherchez des informations dans la colonne SFTP)  : https://coupadocs.atlassian.net/wiki...U+IP+Adresses
• Adresse IP AU (pour les adresses SFTP, recherchez des informations dans la colonne SFTP) : https://coupadocs.atlassian.net/wiki...a+IP+Adresses
• Adresse IP HIPAA - applicable uniquement aux clients HIPAA (pour les adresses SFTP, recherchez des informations dans la colonne SFTP) : https://coupadocs.atlassian.net/wiki...A+IP+Adresses

Structure des dossiers SFTP

Une fois que vous vous connectez à l'aide des informations d'identification du compte sftp, vous verrez la structure de dossier standard Coupa suivante. Utilisez uniquement les dossiers applicables (comme mentionné dans chaque scénario)

Sortant

/Sortant/ExpenseReports
/Sortant/Factures
/Sortant/PurchaseOrders
/Sortant/Reçus
/Sortant/Fournisseurs

Entrant

/Incoming/Accounts
/Incoming/AccountValidationRules
/Incoming/Addresses
/Incoming/ApprovalChains
/Incoming/BudgetLines
/Incoming/BusinessGroups
/Incoming/Commodities
/Incoming/Contracts
/Incoming/Departments
/Incoming/ExchangeRates
/Incoming/ExpensePayments
/Incoming/InvoicePayments
/Incoming/Invoices
/Incoming/Items
/Incoming/LookupValues
/Incoming/Receipts
/Incoming/RemitToAddresses
/Incoming/Requisitions
/Incoming/Suppliers
/Incoming/Users

Archiver

/Archive/Incoming/
/Archive/Incoming/Accounts
/Archive/Incoming/AccountValidationRules
/Archive/Incoming/Addresses
/Archive/Incoming/ApprovalChains
/Archive/Incoming/BudgetLines
/Archive/Incoming/BusinessGroups
/Archive/Incoming/Commodities
/Archive/Incoming/Contracts
/Archive/Incoming/Departments
/Archive/Incoming/ExchangeRates
/Archive/Incoming/ExpensePayments
/Archive/Incoming/InvoicePayments
/Archive/Incoming/Invoices
/Archive/Incoming/Items
/Archive/Incoming/LookupValues
/Archive/Incoming/Receipts
/Archive/Incoming/RemitToAddresses
/Archive/Incoming/Requisitions
/Archive/Incoming/Suppliers
/Archive/Incoming/Users

Règles de stockage des fichiers

Coupa SFTP doit être utilisé pour l'échange de fichiers, et non pour le stockage ou l'archivage des fichiers. Tous les fichiers sortants de Coupa seront placés sous les dossiers sortants respectifs, et le système client doit récupérer le fichier, le traiter et le supprimer de Coupa sftp. Les partenaires peuvent archiver le fichier sur le système partenaire.

Pour les fichiers entrants vers Coupa, les fichiers sont ramassés et commencent à être traités en quelques minutes. Une fois ramassés avec succès, les fichiers sont archivés sous «/Archive/Entrant ». Les fichiers d'archives sont déplacés vers une sauvegarde AWS après un délai de 2 semaines.