Содержание

1.2. Обеспечение безопасности

Поскольку доступ в программу возможен с любого компьютера, подключенного к сети Интернет, в ней предусмотрены меры обеспечения безопасности хранения данных и работы с ними. Кроме программных решений, лежащих в основе, используются следующие средства защиты информации:

  1. SSL сертификат. Позволяет безопасно передавать данные от сервера клиентам и наоборот по защищенному каналу связи, что исключает возможность несанкционированного доступа.
  2. Защита от распространенных внешних атак. К программе применены методы защиты от таких видов атак, как межсайтовый скриптинг XSS (Сross Site Sсriрting), подделывание запросов на сервер CSRF (Cross Site Request Forgery), кража кук (cookies hijacking) для получения доступа к защищенному аккаунту без авторизации, sql-инъекция (SQL injection) для взлома программ, работающих с базами данных.
  3. Обязательная регистрация пользователей. Регистрация в программе возможна только с помощью внутреннего интерфейса. Право регистрировать новых пользователей может быть передано любому пользователю системы. По умолчанию таким правом обладают только администраторы (пользователи с максимальным уровнем доступа).
  4. Предварительная авторизация. Войти в программу может только зарегистрированный пользователь. Для этого необходимо ввести уникальный логин и пароль. Если указанные данные не прошли проверку на корректность (их не существует, они устарели и т.д.) - авторизация будет отменена.
  5. Возможность двойной SMS авторизации. Чтобы дополнительно обезопасить учетную запись от взлома, можно сделать привязку учетной записи к номеру мобильного телефона. В этом случае после проверки логина и пароля программа запросит код из SMS сообщения, которое будет выслано пользователю на его мобильный номер. Авторизация будет пройдена только после принятия кода программой. Эта услуга является платной и не активна по умолчанию, ее могут настроить сотрудники технической поддержки программы.
  6. Функция восстановления пароля. Если вы забыли свой пароль - есть возможность его автоматической замены. Для этого необходимо указать логин или e-mail пользователя. После этого на электронную почту будет отправлено письмо со ссылкой для создания нового пароля. Ею можно воспользоваться только один раз, не имея ссылки на страницу замены пароля попасть нельзя.
  7. Проверка возможности доступа по ссылкам. При переходе по ссылкам на данные программы без предварительной авторизации (например из письма с рассылкой уведомлений) вначале будет выполнен запрос на ввод логина и пароля. Запрашиваемая в ссылке информация будет показана только после выполнения входа в программу. При необходимости можно разрешить прямой переход по ссылкам, но это решение принимается на личное усмотрение конкретного пользователя.
  8. Безопасный выход из программы. После выхода из программы происходит уничтожение всех технических данных сессии. Возобновить работу с программой можно только после прохождения повторной авторизации.
  9. Ограничение рабочих сессий. Если после авторизации пользователя в течении 4 часов он не выполнил в программе ни одно действие, то произойдет автоматический выход из программы. Для продолжения работы необходимо будет пройти повторную авторизацию. Чтобы увеличить время работы с программой до 8 часов, нужно во время авторизации отметить галочкой опцию “Оставаться в системе”.
  10. Ограничение количества неверных попыток авторизации. Чтобы данные для авторизации нельзя было получить путем подбора, можно заблокировать доступ к ней в случае превышения допустимого количества неудачных попыток авторизации. Время блокировки программы и количество попыток можно указать настройках системы, по умолчанию оно не ограничено. Если количество неправильных попыток авторизации было превышено - доступ в программу блокируется для данного пользователя. Если это произошло по неосторожности и опасности взлома нет, то блокировку можно снять досрочно, для этого необходимо обратиться к администратору программы.
  11. Ограничение доступа по IP. Чтобы повысить безопасность хранения данных, можно запретить доступ в программу для всех IP адресов, кроме конкретно указанных. Работа с программой для незарегистрированных IP будет полностью заблокирована. Эта возможность отключена по умолчанию, но может быть активирована по желанию клиента и будет распространяться на всех пользователей программы. Для уточнения возможности использования ограничения доступа по IP необходимо обратиться в службу технической поддержки программы.
  12. Индивидуальная блокировка пользователей. Если возникает необходимость запретить доступ в программу только конкретному пользователю - можно заблокировать его учетную запись. Заблокированный пользователь не сможет авторизоваться в программе, остальные пользователи при этом смогут продолжать работу в обычном режиме. По умолчанию блокировать пользователей может только администратор программы.
  13. Резервное копирование данных. Для обеспечения безопасности хранения данных в программе используется автоматическое резервное копирование. Оно позволяет создавать резервные копии базы данных по истечению определенного времени или после осуществления определенного количества действий. Создание резервных копий возможно и в ручном режиме, поэтому автоматическое копирование можно отключить.