W tym artykule omówimy środki bezpieczeństwa, które możesz aktywować, aby polepszyć zabezpieczenie danych w aplikacji Serwisant Online.
Ogólnie, w ramach przepisów RODO, jako administrator danych zobowiązany jesteś, aby zadbać o ich bezpieczeństwo. W naszej aplikacji udostępniamy różne narzędzia, abyś mógł spełnić wytyczne RODO. Niektóre z nich są obligatoryjne, niektóre z nich opcjonalne, i sam musisz zdecydować o potrzebie ich stosowania.
Obligatoryjnie stosujemy w ramach aplikacji następujące środki bezpieczeństwa:
Wymuszanie silnych haseł
Podczas definiowania hasła pracownika w dowolnym miejscu, czy to podczas rejestracji, czy podczas dodawana nowego pracownika, czy także podczas samodzielnej zmiany hasła weryfikujemy jego siłę. System nie zaakceptuje hasła słabego. O sile hasła informuje pasek, znajdujący się pod polem definiowania hasła.
Ale co właściwie znaczy „silne hasło” i czemu go potrzebuję?
Silne hasło to takie, które składa się z małych i dużych znaków, zawiera co najmniej jedną cyfrę oraz jeden znak specjalny, taki jak kropka, przecinek, małpka, etc oraz ma co najmniej 6 znaków. Silne hasło uniemożliwia odgadnięcie go. Istnieje grupa często stosowanych haseł, typu qwerty albo admin123 które łatwo odgadnąć. Nasz system nie pozwoli na użycie tego typu haseł.
Blokada przed atakami brute-force
Atak brute-force polega na wpisywaniu losowych haseł, najczęściej w oparciu o listę często używanych haseł po to, aby zalogować się na cudze konto. Nasz system zapobiega automatycznie tego typu atakom blokując na czas pewien czas konto, jeśli w krótkim okresie czasu przekroczy się limit błędnych haseł.
Niestety, ma to także drugą stronę medalu – pracownicy często blokują sami swoje konto uparcie powtarzając logowanie z błędnym hasłem. Ma to miejsce najczęściej po niedawnej zmianie hasła.
SUGESTIA. Jeśli logujesz się na swoje konto, i otrzymujesz informacje o błędnym haśle, nie ponawiaj prób logowania. Upewnij się, że wpisujesz właściwe hasło – być może niedawno je zmieniałeś. Upewnij się także, że wtyczka, która zapisuje hasła w twojej przeglądarce nie próbuje automatycznie nadpisać podanego przez ciebie nowego hasła poprzednio zapamiętanym.
Zamykanie nieaktywnych sesji
Aby zapobiec sytuacji, w której zostawiasz przeglądarkę z zalogowanym kontem bez nadzoru, co umożliwia użycie jej przez osoby postronne, zamykamy automatycznie sesję, czyli wylogujemy cię, jeśli nie podejmiesz przez 3 godziny żadnej akcji.
Oprócz wyżej wymienionych środków obligatoryjnych, oferujemy zabezpieczenia opcjonalne. Każde z nich musi być włączone indywidualnie.
Uwierzytelnianie wieloskładnikowe (MFA, 2FA)
Uwierzytelnianie wieloskładnikowe to w uproszczeniu takie dodatkowe hasło, w postaci 6 cyfr,, które musisz podać, przy czym to hasło jest jednorazowe. Nie zapamiętujesz go, więcej, nie wiesz nawet jakie ono będzie w momencie kiedy będziesz chciał się zalogować. Hasło podpowiada ci specjalna aplikacja, którą instalujesz na własnym smartfonie.
Co właściwe daje uwierzytelnianie MFA. Otóż jeśli w jakiegoś powodu twoje hasło gdzieś się ujawni, na przykład ktoś ukradnie komputer na którym masz zapisane hasła, lub być może podejrzy wpisywane hasło i tak nie uda mu się zalogować, ponieważ przy aktywnym MFA będzie musiał podać dodatkowy kod. Ryzyko utraty obu urządzeń, komputera i własnego smartfona jest dość mała. Z uwagi na to, że kod MFA nieustannie się zmienia, małe jest także ryzyko, że ktoś je zgadnie lub pozyska.
Aktywacja MFA jest prosta, wystarczy wejść na stronę konfiguracji MFA i postępując zgodnie ze wskazówkami aktywować zabezpieczenie dla swojego konta.
SUGESTIA. MFA aktywowane jest indywidualnie, przez każdego z pracowników, co oznacza, że nie wszyscy je aktywują. Możesz poprzez zmianę ustawień wymusić aktywację MFA przez wszystkich.
Ograniczenie dostępu po adresie IP
Ograniczenie to, umożliwia ci zablokować dostęp do aplikacji, dla pracowników, którzy będą próbowali logować się spoza twojej sieci. Dzięki temu, jeśli dane logowania któregoś z pracowników wyciekną, próba logowania z nierozpoznanego adresu nie powiedzie się. Ta funkcjonalność zabezpiecza także twoją bazę w sytuacji, kiedy urządzenie, na którym zalogowany jest pracownik wyniesione zostanie poza siedzibę firmy.
Warto zwrócić tutaj uwagę na pewien kluczowy aspekt. To ograniczenie zadziała, jeśli łącze internetowe w twojej firmie ma stały adres IP lub użyjesz usługi VPN, która oferuje stały adres IP. Informację o tym, czy twoje łącze lub usługa VPN mają stału adres IP uzyskasz u dostawcy Internetu lub usługi VPN. Często, u dostawców można wykupić opcjonalną usługę stałego adresu IP.
Dodatkowo, zwróć uwagę, że aktywacja zabezpieczenia uniemożliwi pracownikom pracę spoza siedziby firmy – z domu, lub ze smartfonów, chyba, że wszyscy będą korzystali z usługi VPN.
UWAGA! Nie aktywuj tej usługi jeśli nie masz stałego IP – większość powszechnych usług dostępu do Internetu, w tym LTE, ADSL nie oferują stałego IP – aktywacja usługi bez stałego IP pozbawi cię dostępu do aplikacji.
Aby aktywować usługę, przejdź na stronę z listą dozwolonych adresów IP i wprowadź na listę wszystkie znane, dozwolone adresy. W formularzu dodawania adresu podaj:
- grupę – Domyślna
- adres – adres IP przekazany przez dostawcę twojego łącza internetowego lub usługi VPN
- maskę – 32 – co oznacza dostęp z dokładnie jednego, wskazanego adresu – nie wskazuj innej maski, chyba, że masz ku temu dobry powód
- w uwagach możesz dopisać komentarz
Po zbudowaniu listy, przejdź do edycji pracowników, i każdemu pracownikowi, na którego chcesz nałożyć limit ustaw grupę zabezpieczeń: „Domyślna”. Dzięki takiemu podejściu możesz wybrać pracowników z limitem, oraz tych, którzy mogą logować się z każdego miejsca.