Securitate prin design
Securitatea și protecția datelor sunt elementul cel mai de bază al sistemelor informatice. Pe măsură ce complexitatea crește și accesul la date provine de la mai multe canale, sisteme și dispozitive, Entersoft Business Suite încorporează mai multe niveluri de control al accesului la date, care se extind constant și se adaptează la dezvoltările tehnologice și instituționale, prin framework-uri puternice utilizate de întreaga gamă de aplicații indiferent de unde rulează (local, pe cloud, prin browsere sau dispozitive mobile și tablete).
Politica codurilor de acces
Cod simplu-puternic, reguli parametrice ale complexității codului, frecvența de schimbare a codului durata codului (în zile), schimbare imediată la următoarea conectare. Framework-ul Entersoft utilizează algoritmul DES pentru a cripta parolele.Canale de acces
Definiția canalului din care un utilizator poate fi exclus, de exemplu, de pe internet sau din altă subrețea sau din IP-uri specifice.Certificare LDAP
Lightweight Directory Access Protocol, pentru exploatare de pe serverul de domeniu al companiei.Autentificare cu doi factori
Cerința pentru confirmarea autentificării în doi factori pentru accesul la aplicații desktop fie WebApi sau eCommerce etc. poate fi activată pentru fiecare utilizator. Se poate seta chiar ca pentru același utilizator TFA să fie activat numai pentru aplicații web și nu pentru aplicații desktop. Pentru a configura TFA pe mobil, utilizați fie Microsoft Authenticator, fie Google Authenticator.Inactivarea contului de utilizator
După încercări repetate de conectare eșuate, utilizatorul poate fi dezactivat, pentru verificare din nou.Utilizator „numai citire”
Cu un singur clic, fără acțiuni suplimentare pentru interzicerea privilegiilor de acces, se poate determina că utilizatorul nu poate salva, ci doar afișa informații.Meniuri utilizator
Un mod „dur” de a restricționa utilizatorii la funcții specifice care îi preocupă (în principal din motive de simplitate și înțelegere și nu pentru că există o garanție a excluderii lor din orice altceva) este de a defini un meniu specific pentru fiecare utilizator, în loc de bogatul meniu al aplicației.Acces la funcționalități
Toate entitățile, funcțiile, vizualizările, tablourile de bord, tipăririle, procesele de masă și câmpurile sunt disponibile pentru acordarea sau blocarea drepturilor de acces la „ rolurile utilizatorului ”. Dacă un utilizator are mai multe „roluri”, drepturile de acces la sistem sunt „îmbinate” (agregate). Dacă un privilegiu de acces nu este deloc atribuit, se presupune că este „interzis”. Alocarea drepturilor se poate face în întregul domenii de funcționalitate într-un mod masiv, fie la nivel de detaliu (care prevalează), până la un nivel de câmp . Drepturile de acces sunt inter-companie , adică se aplică tuturor companiilor la care are acces fiecare utilizator. Permisiunile pot fi specificate pentru fiecare funcționalitate, în funcție de zona respectivă ( inserare, modificare, afișare, ștergere, imprimare, executare - interogare, copiere în clipboard etc.)Accesul la entități specifice
În special pentru tranzacții, drepturile sunt acordate separat prin serii de documente (context sau masiv) și includ, de asemenea, caracteristici suplimentare, cum ar fi blocarea accesului la prețuri / reduceri , blocarea ștergerii liniei sau schimbarea articolelor, crearea prin tastare (adică poate fi permisă DOAR printr-o tranziție dintr-o etapă anterioară a procesului) etc. Multe „documente” menite să fie postate în contabilitate pot conține, de asemenea, informații care nu privesc contabilitatea. Din acest motiv, Entersoft Business Suite oferă un sistem pentru depășirea controalelor contabile pentru roluri specifice ale utilizatorilor, pentru diverse clase de date, cum ar fi configurația fluxului de numerar, dimensiunile corporative, vânzătorii și datele comisioanelor etc., printr-o interfață cu utilizatorul final . Alături, de un set de interdicții suplimentare (în afară de cele pe care sistemul le execută în documente „oficiale”) poate fi configurat, pentru tranzacții specifice, pentru grupuri specifice de utilizatori, în condiții specifice de ex. interzicerea schimbării „etapei de proces” sau a câmpurilor definite de utilizator etc. Există , de asemenea, o gândire specială pentru diverse entități, unde accesul ar fi preferabil de la caz la caz și nu prin blocarea globală sau acordarea drepturilor de acces, cum ar fi:- în acțiunile de vânzări și departamente de servicii pentru clienți de personal (întâlniri, seminarii, vizite, cereri, rezoluții, reclamații, etc.)
- în foile de buget , care protejate de un sistem extins de roluri (autor, aprobare responsabil etc.) , cu limite de actualitate pentru modificări și finalizare, cu controale în funcție de starea bugetului etc.
Protejarea nivelului de personalizare
La nivelul entităților, formularelor, câmpurilor, vizualizărilor, tipăriturilor, documentelor etc. adăugate la nivelul implementării, întregul sistem de securitate este disponibil și funcționează la fel ca la nivelul produsului . La nivelul regulilor și proceselor de afaceri definite la nivelul implementării, este necesar să se includă o prevedere specială pentru grupul de utilizatori care a acordat accesul la procesele relevante, dacă este necesar (de multe ori, accesul este asigurat prin plasarea caracteristicii sau proces pe ecrane sau liste sau entități, cu privilegii deja configurate.Token-uri de acces bazate pe timp
Ori de câte ori are loc o autentificare, aceasta este schimbată cu un token de acces sigur care expiră după câteva minute și acesta devine nul, în timp ce la orice apel ulterior este reînnoit. Acest timp de utilizare variază în funcție de natura aplicatiei (Entersoft Analyzer, Cerere de aprobare sau un Serviciu de integrare , cum ar fi Entersoft eCom Conector sau Connector pentru Microsoft Power BI etc.Conexiune sigură la aplicațiile Entersoft Cloud
Lista completă de servere și servicii care fac parte din API-ul Entersoft Web și aplicațiile web Entersoft sunt securizate prin Certificate de nivel verde emise de organizații globale de încredere și acceptate de toate browserele de pe toate platformele și dispozitivele.Protecția datelor la Entersoft Cloud Apps
Arhitectura Entersoft Web API Server care conectează Entersoft Application Server (EAS) la toate aplicațiile Entersoft Cloud Store nu stochează niciodată date transferate către și dinspre aplicațiile client, serverul Entersoft Web API și EAS.Proceduri GDPR încorporate în sistem
- Procedura pentru documentul Politica de protecție a datelor
- Procedura pentru anunțarea scopului utilizării sau manipulării datelor cu caracter personal
- Procedura pentru trimiterea unei campanii și obținerea unui consimțământ pentru utilizarea datelor cu caracter personal
- Proceduri de acceptare, modificare sau anonimizare a datelor cu caracter personal
- Sistem de protecție a datelor împotriva utilizatorilor neautorizați (securitate bazată pe roluri)
- Sistem de securitate la nivel de câmp, astfel încât citirea câmpurilor „sensibile” să poată fi ajustată numai prin roluri legate de domeniile definite
- Clasificare specială a câmpurilor în acest scop (GDPR), care urmează să fie recunoscute, protejate și controlate masiv în domeniul prelucrării (Field Set Security Grouping - FSSG)
- Istoricul modificărilor câmpurilor (piste de audit și raportare), precum și înregistrarea publicării datelor (exporturi, tipărire rapoarte, copiere în clipboard etc.) pentru detectarea ușoară a eventualelor scurgeri
- Criptare opțională a bazei de date - disponibilă în MS SQL Server 2016
- Posibilitatea de a „masca” conținutul câmpurilor „sensibile” la nivelul interfeței cu utilizatorul (de exemplu, numele ca *****, telefonul ca 210 ***** 50 și așa mai departe.
- În instalările multinaționale, posibilitatea de a ascunde datele cu caracter personal care nu privesc o companie (în DB-uri cu o listă comună de contacte), în special pentru companiile din grup din afara UE (deci obiect GDPR).
Înregistrările și documentele sistemului
- Inserați, ștergeți, modificați în entități și câmpuri
- Executarea procedurilor
- Executarea vizualizărilor și rapoartelor de orice fel
- Utilizatori conectare / deconectare
- Actualizări de versiune
Urmarirea schimbarilor
În ceea ce privește câmpurile, sistemul prevede înregistrarea istoricului (utilizator, dată, valoare anterioară) a modificărilor de valoare ale câmpurilor obișnuite „sensibile”, dar puteți alege această proprietate „modificări de urmărire” pentru orice alt câmp (capacitate necesară și în cazul de adăugare de câmpuri și tabele la un nivel de personalizare). Accesul la aceste informații este pregatit în ecranele de gestionare a entității (pentru controlul specific al entității), dar și în vizualizările de control în masă cu criterii vizate pentru a ajuta la identificarea problemelor.Mesaje în timp ce procesele sunt executate
Unele procese (consumatoare de timp) extrag informații în timpul execuției lor, pentru timp, rezultate, terminal etc. pentru evaluare de către departamentul IT. Astfel de procese sunt evaluarea stocului , închiderile periodice, diferitele recalculări și așa mai departe.Jurnal de evenimente
Sistemul păstrează un istoric detaliat al execuției unei game largi de „evenimente”, cum ar fi conectarea utilizatorului, deconectarea, ștergerea înregistrărilor, aprobări de depășiri de credit, backup, repornire server, actualizări versiune S / W, sarcini de recalculare , tipăriri oficiale etc., pentru care oferă toate informațiile necesare pentru investigarea potențialelor probleme.Pista de audit la Entersoft Cloud Apps
- Fiecare autentificare din cadrul unei aplicații a abonamentului este criptată, arhivată și stocată pentru revizuirea ulterioară de către administratorul abonamentului.>/li>
- Pentru o perioadă continuă de 90 de zile, Entersoft Cloud Store ține o evidență detaliată și oferă informații despre utilizare, erori și consumul de cotă, dacă există.
Cum se aplică autentificarea API și gestionarea parolelor, în cazul în care un API este utilizat fără gateway API Mulesoft? | API-ul Entersoft Web acceptă pe deplin conceptul de Chei de Aplicații, Chei de dezvoltator, Scheme de Securitate, Politici de Securitate, Constrângeri de Sistem. Oferă toate mijloacele pentru ca un Client / Abonat să gestioneze, să monitorizeze, să înregistreze, să alerteze timpul de execuție al Entersoft Web API în contextul oricărei aplicații care utilizează Entersoft Web API atât pentru aplicațiile Entersoft, cât și pentru aplicațiile personalizate. Furnizarea Entersoft Web API printr-un sistem de gestionare a gateway-ului API, cum ar fi Mulesoft sau Microsoft, etc. acest lucru poate fi considerat un Add-on personalizat plătit în contextul unui proiect. |
Cum sunt monitorizate continuu jurnalele de evenimente de securitate în cazul în care sistemul SIEM nu este utilizat | Jurnalele de securitate generate de diferitele subsisteme și niveluri funcționale ale arhitecturii aplicației Entersoft și sunt transferate continuu către sistemul Entersoft Realtime Monitoring care rulează pe Microsoft Azure. |
Care este mecanismul de autentificare pentru aplicațiile mobile? | Indiferent de Soluția MDM pe care Clientul a furnizat-o și a aplicat-o, pentru ca orice Dispozitiv să poată permite accesul unui „Utilizator” la Aplicația Entersoft Mobile Cross care rulează pe Dispozitiv, Dispozitivul trebuie mai întâi să fie Înregistrat în Sistemul de Back-End Entersoft iar un Utilizator ar trebui să fie alocat acestui Dispozitiv. În plus, utilizatorului i se va acorda dreptul de acces la dispozitivul mobil. Apoi, este utilizata schema de autentificare ID utilizator / parolă. |
Aplicațiile mobile criptează datele de pe dispozitiv? | Aplicația multi-platformă Entersoft Mobile Merchandising, stochează datele care sunt definite de configurația Back-End pentru a fi disponibile offline pentru utilizatorul / grupul / dispozitivul specific într-o bază de date SQLite care este stocată în sandbox, aplicație in care este protejat și criptat de sistemul de operare (Android OD, Apple iOS, Windows UWP). Criptarea suplimentară în baza de date SQLite poate fi aplicată ori de câte ori această opțiune este disponibilă in versiunea de baza a sistemului de operare. |
Cum pot fi gestionate aplicațiile mobile de către sistemul MDM / MAM al companiei? | Entersoft CRM și Entersoft Mobile SFA oferă un subsistem MDM de bază ce asigura functionalitati fundamentale pentru gestionarea dispozitivelor, adică asocierea dispozitivului cu un utilizator și o aplicație Entersoft, activarea / dezactivarea dispozitivului, asocierea / dezasocierea unui utilizator la un dispozitiv și o aplicație Entersoft pe dispozitiv. Mai mult, subsistemul de bază Entersoft MDM oferă operațiuni cu privire la aplicațiile Entersoft Mobile, cum ar fi: Blocarea unui dispozitiv, Interzicerea sincronizării datelor în una sau ambele direcții, Înregistrarea ultimei locații cunoscute a dispozitivului (presupunând că utilizatorul a acceptat și a activat serviciile de localizare pentru o aplicație Entersoft) și glisarea unei aplicații de pe dispozitiv. Pentru fiecare dispozitiv înregistrat în subsistemul MDM de bază Entersoft, există un set extins de înregistrări Jurnal și Audit Trail, precum cunoasterea statusului actual al dispozitivului în ceea ce privește o aplicație mobilă Entersoft, inclusiv Locație, UTC Datetime și alte câmpuri in acelasi context. |
Aplicațiile mobile pot fi găzduite în magazinul privat sau public de aplicații? | Aplicațiile mobile Entersoft nu sunt oferite prin magazinele publice de aplicații ale furnizorilor de platforme (adică Google Play, Apple Store, Microsoft Store). În cazul Apple iOS, aplicațiile Entersoft Mobile pentru iOS acceptă pe deplin „Enterprise Stores”, în care Clientul este complet responsabil cu aplicația mobilă (semnarea cu certificatele lor, gestionarea certificatelor și profilurilor de distribuție etc.). Acest lucru este foarte recomandat pentru întreprinderile și organizațiile mari. |
Sistemul urmează vreo practică SDLC sigură? | Entersoft impune pe deplin un proces de dezvoltare a ciclului de viață al software-ului atât în procesul de dezvoltare a produsului, cât și în implementare și personalizare. Pentru fiecare versiune sprint și S / W care urmează să fie livrata, există faze cu resurse, roluri și livrabile concepute pentru a oferi soluții S / W și servicii adecvate de calitate. De la Captarea Cerințelor, Analiza Cerințelor, Specificații, Proiectare, Implementare, Testare, Testarea Integrării, Testarea Acceptării și Controlul Calității, există metodologii, instrumente și roboți automatizați, sub un set bine definit de politici de securitate într-un mediu de dezvoltare sigur și protejat. Procesele de dezvoltare și furnizare de servicii din cadrul Entersoft sunt certificate ISO-9001/2015 și ISO-20000/2018. Securitatea și gestionarea riscurilor sunt factori esențiali pentru ambele standarde și sunt auditațe anual. |
Sistemul este supus testării periodice a securității aplicațiilor? | Anual, produsele software Entersoft SA și serviciile software ca serviciu (SAAS) sunt supuse unor teste extinse de vulnerabilitate, utilizând un set de instrumente și servicii de evaluare a vulnerabilității tehnologice de ultimă generație, care sunt aplicabile pentru tehnologiile și natura subsistemelor S / W ale fiecărui produs. |