360° Data security and protection
Slider

Сигурност в дизайна

Сигурността и защитата на данните е най-основният градивен елемент на информационните системи. Тъй като технологиите се развиват и достъпът до данни е от множество канали, системи и устройства, Entersoft Business Suite включва различни нива на контрол на достъпа до данни, които непрекъснато се разширяват и адаптират към технологичните и институционални разработки, чрез мощна рамка, използвана от пълния набор от приложения без значение къде работят (в помещения, в облак, чрез браузъри или мобилни устройства и таблети).

Политика за пароли

Силен код, параметрични правила за сложност на кода, промяна на продължителността на кода и честотата на кода (в дни), незабавна промяна при следващото влизане. Entersoft използва алгоритъма DES за криптиране на пароли.

Достъп до канали

Определение на канал, от който потребителят може да бъде изключен, напр. от интернет или друга подмрежа или от конкретни IP адреси.

LDAP сертифициране

Lightweight Directory Access Protocol за достъп до директории, за използване на сървъра на домейна на компанията.

Двуфакторно удостоверяване

Изискването за потвърждение на двуфакторно удостоверяване за достъп до настолни приложения, WebApi или електронна търговия и т.н. може да се активира за всеки потребител. Може дори да се настрои и за един и същ потребител TFA се активира само за уеб приложения, а не за настолни. За да конфигурирате TFA на мобилни устройства, използвайте Microsoft Authenticator или Google Authenticator.

Инактивиране на потребителски акаунт

След многократни неуспешни опити за влизане потребителят може да бъде деактивиран за повторна проверка.

Потребител „Само за четене“

С едно щракване, без допълнителни действия за забрана на привилегиите за достъп, може да се определи, че потребителят не може да запазва, а само да показва информация.

Потребителски менюта

Това е начин за ограничаване на потребителите до специфични функции, които ги касаят като се дефинира конкретно меню за всеки потребител, вместо богатото приложение.

Достъп до функционалност

Всички обекти, функции, изгледи, табла за управление, разпечатки, масови процеси и полета са на разположение за възлагане или блокиране на права за достъп до потребителски роли. Ако потребителят има множество „роли“, правата за достъп до системата се „обединяват“ (обобщават). Ако привилегията за достъп изобщо не е назначена, тя се приема като „забранена“. Разпределението на правата може да се извърши в цели области на функционалност по масивен начин или на ниво детайли (което преобладава) до ниво поле. Правата за достъп са междуфирмени, т.е.прилагат се за всички компании, до които всеки потребител има достъп. Разрешенията могат да бъдат посочени за всяка функционалност в зависимост от съответната област (вмъкване, модифициране, показване, изтриване, отпечатване, изпълнение - заявка, копиране в клипборда и др.)

Достъп до конкретни обекти

Особено за транзакциите правата се предоставят отделно по серии от документи (контекст или масово) и включват също така допълнителни функции като блокиране на достъпа по цени / отстъпки, блокиране на изтриване на ред или промяна на елементи, създадени чрез въвеждане (т.е. може да бъде разрешено САМО чрез преход от предходен етап на процеса) и др. Много документи, предназначени да бъдат публикувани в счетоводството, могат също да съдържат информация, която не се отнася до счетоводството. По тази причина Entersoft Business Suite предоставя система за превишаване на счетоводните контроли за конкретни потребителски роли, за различни класове данни като напр. конфигурация на паричния поток, корпоративни размери, данни за търговци и комисионни и др., чрез интерфейс на краен потребител. Наред с това, набор от допълнителни забрани (освен тези, които системата изпълнява в официални документи) може да бъде конфигуриран за конкретни транзакции, за конкретни групи потребители, при специфични условия, напр. забрана за промяна на етап от процеса или полета, дефинирани от потребителя и др. Съществува и специална опция за различни субекти, където достъпът би бил за предпочитане за всеки отделен случай, а не чрез глобално блокиране или предоставяне на права за достъп, като например : действията на персонала на отдела за продажби и обслужване на клиенти (срещи, семинари, посещения, искания, резолюции и др.) бюджетните листове, които са защитени от обширна система от роли (автор, отговорник за одобрение и т.н.) с ограничения за датите за промени и финализиране, с контроли в зависимост от състоянието на бюджета и т.н.

Защита на нивото на персонализиране

На ниво обекти, формуляри, полета, изгледи, разпечатки, документи и др., добавени на етап внедряване, цялата система за сигурност е достъпна и работи точно като единно звено. На нивото на бизнес правила и процеси, дефинирани на ниво внедряване, е необходимо да се включи специална разпоредба за потребителската група, която е предоставила достъп до съответните процеси, ако е необходимо (тъй като много пъти достъпът се осигурява чрез поставяне на функцията или процес на екрани или списъци или обекти, с вече конфигурирани привилегии.

Токени за достъп, базирани на времето

Всеки път, когато се извърши влизане, той се заменя за токен за сигурен достъп, който изтича след няколко минути и токенът става невалиден, докато при всяко следващо повикване се подновява. Този договор за наем варира в зависимост от естеството на приложението (Entersoft Analyzer, Искане за одобрение или услуга за интеграция като Entersoft eCom Connector или Connector за Microsoft Power BI и т.н.

Безопасна връзка в Entersoft Cloud Apps

Пълният списък със сървъри и услуги, които са част от Entersoft Web API и Entersoft Web Applications, са защитени чрез сертификати на зелено ниво, издадени от глобални доверени организации и поддържани от всички браузъри на всички платформи и устройства.

Защита на данните в Entersoft Cloud Apps

Архитектурата на Entersoft Web API Server, която свързва Entersoft Application Server (EAS) с всички приложения на Entersoft Cloud Store, никога не съхранява никакви данни, прехвърляни напред и назад на клиентските приложения, Entersoft Web API Server и EAS.

Вградени в системата GDPR процедури

  • Процедура за документ Политика за защита на данните
  • Процедура за обявяване на обхвата на използване или обработка на лични данни
  • Процедура за изпращане на кампания и получаване на съгласие за използване на лични данни
  • Процедури за приемане, промяна или анонимизиране на лични данни
  • Система за защита на данните срещу неоторизирани потребители (Role Based Security)
  • Система за сигурност на ниво поле, така че четливостта на чувствителните полета може да се регулира само чрез роли, свързани с дефинирания обхват
  • Специална класификация на полетата за тази цел (GDPR), които да бъдат разпознавани, защитени и контролирани масово под обхват на обработка (Field Set Security Group - FSSG)
  • История на промените в полето (одиторска следа и отчитане), както и регистриране на публикуването на данни (експортиране, отпечатване на отчети, копиране в клипборда и др.) За лесно откриване на възможни течове
  • Незадължително криптиране на базата данни - налично в MS SQL Server 2016
  • Възможност за маскиране на съдържанието на чувствителни полета на ниво потребителски интерфейс (напр. Име като *****, телефон като 210 ***** 50 и т.н.
  • В мултинационални инсталации, възможност за скриване на лични данни, които не се отнасят до дадена компания (в DB с общ списък с контакти), особено за групи от компании извън ЕС.

Записи и документи в системата

Вмъкване, изтриване, промяна в обекти и полета Изпълнение на процедурите Изпълнение на изгледи и отчети от всякакъв вид Потребители за влизане / излизане Ъпгрейд на версиите

Проследяване на промените

Що се отнася до полетата, системата осигурява запис на историята (потребител, дата, предишна стойност) на промените в стойностите на често чувствителните полета, но можете да изберете това свойство "промяна на проследяването” за всяко друго поле (способност, необходима и в случай за добавяне на полета и таблици на ниво персонализация). Достъпът до тази информация е готов в рамките на екраните за управление на обекта (за специфичен контрол на обекта), но също така и в групови контролни изгледи с критерии, насочени към идентифициране на проблеми.

Съобщения при изпълнение на процеси

Някои (отнемащи време) процеси извличат информация по време на тяхното изпълнение, за времето, резултатите, терминала и т.н. за оценка от ИТ отдела. Такива процеси са оценката на запасите, периодичното затваряне, различните преизчисления и т.н.

Дневник на събитията

Системата съхранява подробна история на изпълнението на широк спектър от събития като влизане на потребител, излизане, изтриване на записи, одобрение на превишаване на кредит, архивиране, рестартиране на сървъра, ъпгрейд на S / W версия, задачи за преизчисляване , официални отпечатъци и др., за които предоставя цялата необходима информация за разследване на потенциални проблеми.

Одитна пътека в Entersoft Cloud Apps

Всяко влизане в приложението се криптира, архивира и съхранява за по-късен преглед от администратора. За период от 90 дни, Entersoft Cloud Store поддържа подробно проследяване и предоставя информация за използването, грешките и потреблението на квотите, ако има такива.
Как се налага API удостоверяване и управление на идентификационни данни, в случай че се използва API без шлюз на API на Mulesoft? Entersoft Web API напълно поддържа концепцията за клавиши за приложения, ключове за разработчици, схеми за сигурност, политики за сигурност, системни ограничения. Той предоставя всички средства за клиент / абонат да управлява, наблюдава, регистрира, предупреждава времето за изпълнение на Entersoft Web API в контекста на всяко приложение, което използва Entersoft Web API както за Entersoft, така и за потребителски приложения. Предоставяне на Entersoft Web API чрез API система за управление като Mulesoft или Microsoft и т.н., това може да се разглежда като платена персонализирана добавка в контекста на проекта.
Как се наблюдават непрекъснато регистрационните файлове на събитията в случай, че системата SIEM не се използва? Регистрационни файлове за сигурност, генерирани от различните подсистеми и функционални слоеве на архитектурата на приложението Entersoft и непрекъснато се прехвърлят към системата за наблюдение на Entersoft в реално време, която работи на Microsoft Azure.
Какъв е механизмът за удостоверяване за мобилни приложения? Независимо от MDM решението, което клиентът е осигурил и приложил, за да може всяко устройство да позволи достъп до „Потребител“ до Entersoft Mobile Cross Application, изпълнявано на устройството, първо трябва да бъде регистрирано в системата Entersoft Back-End и потребител трябва да бъде назначен към това устройство. Освен това потребителят трябва да получи правото на достъп до мобилни устройства. Тогава е въведена схема за удостоверяване на User ID / Password.
Мобилните приложения криптират ли данните на устройството? Приложението Entersoft Mobile Merchandising Cross-Platform съхранява данните, дефинирани от Back-End конфигурацията, за да бъдат достъпни офлайн за конкретния потребител / група / устройство в база данни на SQLite, която се съхранява в пясъчника са на приложението, което е защитен и шифрован от операционната система (Android OD, Apple iOS, Windows UWP). Допълнително криптиране в базата данни на SQLite може да се приложи винаги, когато тази опция е налична от основната версия на ОС.
Как мобилните приложения могат да се управляват от системата на компанията MDM / MAM? Entersoft CRM и Entersoft Mobile SFA предлагат основна MDM подсистема, която осигурява основните операции за управление на устройства, т.е. сдвояване на устройството с потребител и приложение на Entersoft, активиране / деактивиране на устройство, асоцииране / деасоцииране на потребител към устройство и приложение Entersoft към устройството. Освен това основната подсистема на MDM на Entersoft осигурява операции по отношение на мобилните приложения на Entersoft, като: заключване на устройство, забрана на синхронизирането на данни в едната или и двете посоки, регистриране на последното известно местоположение на устройството (при условие, че потребителят е приел и активирал услугите за местоположение за приложение Entersoft) и плъзнете приложение от устройството. За всяко устройство, регистрирано в основната MDMS подсистема на Entersoft, има обширен набор от записи на журнали и одити, както и текущото известно състояние на устройството по отношение на мобилно приложение на Entersoft, включително местоположение, UTC Datetime и други контекстуални полета.
Мобилните приложения могат да бъдат хоствани в частен или публичен магазин за приложения? Мобилните приложения Entersoft не се предлагат чрез публичните магазини за приложения на доставчиците на платформи (т.е. Google Play, Apple Store, Microsoft Store). В случай на Apple iOS, Entersoft Mobile за iOS приложения изцяло поддържа “Enterprise Stores”, където Клиентът е изцяло отговорен за Мобилното приложение (подписване със своите сертификати, управление на сертификати за разпространение и профили и т.н.). Това е силно препоръчително за големи предприятия и организации.
Следва ли системата някаква сигурна SDLC практика? Entersoft налага напълно процеса на жизнения цикъл на разработка на софтуер както в процеса на разработване на продукта, така и в изпълнението и персонализирането. За всяка sprint версия и S / W, която трябва да бъде доставена, има фази с ресурси, роли и резултати, предназначени да предоставят висококачествени и отговарящи на целта решения за S / W и услуги. От улавяне на изисквания, анализ на изискванията, спецификации, проектиране, внедряване, тестване на модули, тестване на интеграция, тестване на приемане до контрол на качеството, има налични методологии, инструменти и автоматизирани ботове, добре дефиниран набор от политики за сигурност в сигурна и защитена заобикаляща среда.
Процесите на Entersoft за разработка и предоставяне на услуги са сертифицирани по ISO-9001/2015 и ISO-20000/2018. Сигурността и управлението на риска са съществени фактори за двата стандарта и се одитират ежегодно.
Подлага ли се системата на редовно тестване на защитата на приложенията? Ежегодно софтуерните продукти и софтуерът като услуга (SAAS) на Entersoft SA се подлагат на обширни тестове за уязвимост, използвайки набор от най-съвременни инструменти и услуги за оценка на уязвимостта, които са най-приложими за технологиите и природата на S/W подсистемите на всеки продукт.