Skip to content
SyncID Dokumentacija

Sigurnost

SyncID obrađuje osjetljive podatke uključujući informacije o zaposlenicima, biometrijske predloške i zapise prisutnosti. Ovaj vodič pokriva sigurnosnu arhitekturu, ugrađene zaštite i preporučene mjere ojačavanja.

Sigurnosna arhitektura

Section titled “Sigurnosna arhitektura”

Mrežna izolacija

Section titled “Mrežna izolacija”

SyncID je dizajniran za isključivo LAN postavljanje. Sva komunikacija odvija se unutar vaše lokalne mreže:

  • Komunikacija s uređajima: TCP port 4370 (SyncID → uređaji)
  • SyncrOne API: HTTP/HTTPS putem LAN-a
  • Baza podataka: SQL Server putem LAN-a
  • Nisu potrebne dolazne veze s interneta

Suverenitet nad podacima

Section titled “Suverenitet nad podacima”
  • Biometrijski podaci (predlošci otisaka prstiju, predlošci lica) ostaju na uređajima i u lokalnoj bazi podataka
  • Zapisi prisutnosti pohranjeni su u vašoj SQL Server instanci
  • Nijedan podatak ne prenosi se u oblačne servise — SyncID nema ovisnost o oblaku
  • Sva obrada podataka odvija se unutar vaše infrastrukture

Ugrađene zaštite

Section titled “Ugrađene zaštite”
ZaštitaOpis
Sigurna autentifikacijaIndustrijski standardno hashiranje lozinki i upravljanje sesijama
Zaštita od krivotvorenjaZaštita od cross-site request forgery napada na svim formama
Pristup temeljen na ulogamaAdmin i User uloge ograničavaju funkcionalnost
Potpuni revizijski tragSve promjene praćene s metapodacima tko/kada
Zaštita od enumeracijeResetiranje lozinke ne otkriva postoji li korisnik
Automatski ponovni pokušajOtpornost na prolazne pogreške povezivanja
Izolacija kvarovaPrekidi vanjskih servisa ne kaskadiraju na ostale funkcije

Preporuke za ojačavanje

Section titled “Preporuke za ojačavanje”

Autentifikacija

Section titled “Autentifikacija”
  1. Promijenite zadanu admin lozinku odmah nakon instalacije
  2. Omogućite zaključavanje računa za sprječavanje brute-force napada
    • Preporučeno: 5 pokušaja, 15-minutni prozor zaključavanja
  3. Koristite snažne lozinke — nametnite minimalnu duljinu od 12+ znakova
  4. Ograničite admin račune — dodijelite admin ulogu samo onima koji je trebaju

Upravljanje tajnama

Section titled “Upravljanje tajnama”
  1. Ne dijelite pristupne podatke — lozinke baze podataka, API ključevi i webhook URL-ovi trebaju ostati povjerljivi
  2. Ograničite dozvole pristupa datotekama na direktorij konfiguracije
  3. Periodički rotirajte API ključeve

Mrežna sigurnost

Section titled “Mrežna sigurnost”
  1. Ograničite mrežni pristup SyncID hostu:
    • Dopustite veze samo s administratorskih radnih stanica i podmreža uređaja
    • Blokirajte pristup s općih uredskih mreža ako nije potreban
  2. Koristite HTTPS za SyncID web sučelje
    • Konfigurirajte SSL certifikat na poslužitelju
    • Omogućite HSTS (HTTP Strict Transport Security)
  3. Pravila vatrozida:
    • Dopustite TCP 4370 samo između SyncID hosta i podmreže uređaja
    • Dopustite HTTP/HTTPS samo za SyncrOne API endpoint
    • Blokirajte sve ostale dolazne veze
  4. Odvojena VLAN mreža za uređaje — smjestite uređaje za evidenciju prisutnosti na namjenski mrežni segment

Sigurnost baze podataka

Section titled “Sigurnost baze podataka”
  1. Koristite namjenski servisni račun za pristup bazi podataka (ne administratorski račun)
  2. Omogućite šifrirane veze za promet prema bazi podataka u produkciji
  3. Ograničite pristup bazi podataka samo na SyncID aplikaciju
  4. Redovite sigurnosne kopije pohranjene na odvojenoj lokaciji s kontroliranim pristupom

Praćenje

Section titled “Praćenje”
  1. Redovito pregledavajte nadzornu ploču zdravlja za neočekivane promjene stanja
  2. Pratite neuspjele pokušaje prijave u revizijskom tragu
  3. Postavite Teams obavijesti za trenutno upozoravanje o degradaciji zdravlja

Zaštita podataka (GDPR)

Section titled “Zaštita podataka (GDPR)”

Budući da SyncID obrađuje osobne podatke zaposlenika i biometrijske podatke:

  1. Voditelj obrade: Vaša organizacija je voditelj obrade za sve podatke koje SyncID obrađuje
  2. Ugovor o obradi podataka: Ako Galileo d.o.o. pruža usluge podrške koje uključuju pristup podacima, trebao bi postojati ugovor o obradi podataka
  3. Biometrijski podaci: Klasificirani kao posebna kategorija podataka prema GDPR članku 9 — osigurajte da imate zakonitu osnovu za obradu
  4. Minimizacija podataka: Sinkronizirajte samo zaposlenike kojima je potreban pristup uređajima
  5. Zadržavanje: Uspostavite politiku zadržavanja za zapise prisutnosti i revizijske zapise
  6. Pravo na brisanje: Osigurajte da postoje postupci za trajno uklanjanje podataka kada je to zakonski potrebno

Odgovor na incidente

Section titled “Odgovor na incidente”

Ako sumnjate na sigurnosni incident:

  1. Izolirajte — odspojite SyncID host s mreže ako je potrebno
  2. Procijenite — pregledajte revizijski trag i zapise za neovlašteni pristup
  3. Ograničite — promijenite sve lozinke i API ključeve
  4. Obnovite — obnovite iz poznate ispravne sigurnosne kopije ako je integritet podataka ugrožen
  5. Prijavite — obavijestite pogođene strane prema politici odgovora na incidente vaše organizacije i zahtjevima GDPR-a

Povezano

Section titled “Povezano”