Skip to content
SyncID Dokumentacija

Varnost

SyncID obdeluje občutljive podatke, vključno s podatki o zaposlenih, biometričnimi predlogami in evidencami prisotnosti. Ta vodnik pokriva varnostno arhitekturo, vgrajene zaščite in priporočene ukrepe za utrjevanje.

Varnostna arhitektura

Section titled “Varnostna arhitektura”

Omrežna izolacija

Section titled “Omrežna izolacija”

SyncID je zasnovan za namestitev izključno v lokalnem omrežju. Vsa komunikacija poteka znotraj Vašega lokalnega omrežja:

  • Komunikacija z napravami: TCP vrata 4370 (SyncID → naprave)
  • API SyncrOne: HTTP/HTTPS prek lokalnega omrežja
  • Podatkovna baza: SQL Server prek lokalnega omrežja
  • Noben vhodni dostop iz interneta ni potreben

Suverenost podatkov

Section titled “Suverenost podatkov”
  • Biometrični podatki (predloge prstnih odtisov, predloge obraza) ostanejo na napravah in v lokalni podatkovni bazi
  • Evidence prisotnosti so shranjene v Vaši instanci SQL Server
  • Nobeni podatki se ne prenašajo v storitve v oblaku — SyncID nima odvisnosti od oblaka
  • Vsa obdelava podatkov poteka znotraj Vaše infrastrukture

Vgrajene zaščite

Section titled “Vgrajene zaščite”
ZaščitaOpis
Varna avtentikacijaIndustrijski standard za zgoščevanje gesel in upravljanje sej
Zaščita pred ponarejanjemZaščita pred ponarejanjem zahtevkov na vseh obrazcih
Dostop na podlagi vlogVlogi Admin in Uporabnik omejujeta funkcionalnost
Popolna revizijska sledVse spremembe sledene z metapodatki kdo/kdaj
Zaščita pred naštevanjemPonastavitev gesla ne razkrije, ali uporabnik obstaja
Samodejni ponovni poskusOdpornost proti prehodnim napakam pri povezavah
Izolacija odpovediIzpadi zunanjih storitev ne kaskadirajo na druge funkcije

Priporočila za utrjevanje

Section titled “Priporočila za utrjevanje”

Avtentikacija

Section titled “Avtentikacija”
  1. Spremenite privzeto administratorsko geslo takoj po namestitvi
  2. Omogočite zaklepanje računa za preprečevanje napadov z grobo silo
    • Priporočeno: 5 poskusov, 15-minutno okno zaklepanja
  3. Uporabljajte močna gesla — uveljavite najmanjšo dolžino 12+ znakov
  4. Omejite administratorske račune — dodelite vlogo administratorja samo tistim, ki jo potrebujejo

Upravljanje skrivnosti

Section titled “Upravljanje skrivnosti”
  1. Ne delite poverilnic — gesla za podatkovno bazo, ključe API in URL-je webhookov upravljajte zaupno
  2. Omejite dovoljenja datotek v konfiguracijskem imeniku
  3. Periodično zamenjajte ključe API

Omrežna varnost

Section titled “Omrežna varnost”
  1. Omejite omrežni dostop do gostitelja SyncID:
    • Dovolite povezave samo z administratorskih delovnih postaj in podomrežij naprav
    • Blokirajte dostop iz splošnih pisarniških omrežij, če ni potreben
  2. Uporabljajte HTTPS za spletni vmesnik SyncID
    • Konfigurirajte certifikat SSL na strežniku
    • Omogočite HSTS (HTTP Strict Transport Security)
  3. Pravila požarnega zidu:
    • Dovolite TCP 4370 samo med gostiteljem SyncID in podomrežjem naprav
    • Dovolite HTTP/HTTPS samo za končno točko API SyncrOne
    • Blokirajte vse ostale vhodne povezave
  4. Ločen VLAN za naprave — naprave za evidenco prisotnosti postavite na namenski omrežni segment

Varnost podatkovne baze

Section titled “Varnost podatkovne baze”
  1. Uporabite namenski storitveni račun za dostop do podatkovne baze (ne administrativni račun)
  2. Omogočite šifrirane povezave za promet podatkovne baze v produkciji
  3. Omejite dostop do podatkovne baze samo na aplikacijo SyncID
  4. Redne varnostne kopije, shranjene na ločeni, nadzorovani lokaciji

Nadzor

Section titled “Nadzor”
  1. Redno pregledujte nadzorno ploščo zdravja za nepričakovane spremembe stanja
  2. Sledite neuspelim poskusom prijave v revizijski sledi
  3. Nastavite obvestila v Teams za takojšnje opozarjanje ob degradaciji zdravja

Varstvo podatkov (GDPR)

Section titled “Varstvo podatkov (GDPR)”

Ker SyncID obdeluje osebne podatke in biometrične podatke zaposlenih:

  1. Upravljavec podatkov: Vaša organizacija je upravljavec podatkov za vse podatke, ki jih obdeluje SyncID
  2. Pogodba o obdelavi podatkov: Če Galileo d.o.o. zagotavlja storitve podpore, ki vključujejo dostop do podatkov, mora biti sklenjena pogodba o obdelavi podatkov
  3. Biometrični podatki: Razvrščeni kot posebna kategorija podatkov po 9. členu GDPR — zagotovite, da imate zakonito podlago za obdelavo
  4. Minimizacija podatkov: Sinhronizirajte samo zaposlene, ki potrebujejo dostop do naprav
  5. Hramba: Vzpostavite politiko hranjenja za evidence prisotnosti in revizijske dnevnike
  6. Pravica do izbrisa: Zagotovite, da obstajajo postopki za trajno odstranitev podatkov, kadar je to zakonsko zahtevano

Odzivanje na incidente

Section titled “Odzivanje na incidente”

Če sumite na varnostni incident:

  1. Izolirajte — po potrebi odklopite gostitelja SyncID iz omrežja
  2. Ocenite — preglejte revizijsko sled in dnevnike za nepooblaščen dostop
  3. Zajezite — spremenite vsa gesla in ključe API
  4. Obnovite — obnovite iz znane dobre varnostne kopije, če je celovitost podatkov ogrožena
  5. Poročajte — obvestite prizadete stranke v skladu s politiko odzivanja na incidente Vaše organizacije in zahtevami GDPR

Povezano

Section titled “Povezano”