Siguria
SyncID përpunon të dhëna të ndjeshme duke përfshirë informacionin e punonjësve, shabllonet biometrike dhe regjistrat e prezencës. Ky udhëzues mbulon arkitekturën e sigurisë, mbrojtjet e integruara dhe masat e rekomanduara të forcimit.
Arkitektura e sigurisë
Section titled “Arkitektura e sigurisë”Izolimi i rrjetit
Section titled “Izolimi i rrjetit”SyncID është projektuar për vendosje vetëm brenda LAN. I gjithë komunikimi ndodh brenda rrjetit tuaj lokal:
- Komunikimi me pajisjet: Porta TCP 4370 (SyncID → pajisje)
- API-ja e SyncrOne: HTTP/HTTPS brenda LAN
- Baza e të dhënave: SQL Server brenda LAN
- Asnjë lidhje hyrëse nga interneti nuk kërkohet
Sovraniteti i të dhënave
Section titled “Sovraniteti i të dhënave”- Të dhënat biometrike (shabllonet e gjurmëve të gishtave, shabllonet e fytyrës) qëndrojnë në pajisje dhe bazën lokale të të dhënave
- Regjistrat e prezencës ruhen në instancën tuaj të SQL Server
- Asnjë e dhënë nuk transmetohet në shërbime cloud — SyncID nuk ka varësi nga cloud
- I gjithë përpunimi i të dhënave ndodh brenda infrastrukturës suaj
Mbrojtjet e integruara
Section titled “Mbrojtjet e integruara”| Mbrojtja | Përshkrimi |
|---|---|
| Autentikim i sigurt | Hashing i fjalëkalimeve me standarde industriale dhe menaxhim seancash |
| Mbrojtje kundër-falsifikimi | Mbrojtje kundër falsifikimit të kërkesave ndër-faqe në të gjitha formularët |
| Akses bazuar në role | Rolet Admin dhe User kufizojnë funksionalitetin |
| Gjurmë e plotë auditimi | Të gjitha ndryshimet ndiqen me metadata kush/kur |
| Kundër-numërimi | Rivendosja e fjalëkalimit nuk zbulon nëse një përdorues ekziston |
| Riprovim automatik | Rezistencë ndaj gabimeve të përkohshme të lidhjes |
| Izolimi i dështimeve | Ndërprerjet e shërbimeve të jashtme nuk përhapen në funksione të tjera |
Rekomandimet e forcimit
Section titled “Rekomandimet e forcimit”Autentikimi
Section titled “Autentikimi”- Ndërroni fjalëkalimin e paracaktuar admin menjëherë pas instalimit
- Aktivizoni bllokimin e llogarisë për të parandaluar sulmet brute-force
- E rekomanduar: 5 përpjekje, dritare bllokimi 15-minutëshe
- Përdorni fjalëkalime të forta — detyroni gjatësi minimale prej 12+ karakteresh
- Kufizoni llogaritë admin — jepni rolin admin vetëm atyre që kanë nevojë
Menaxhimi i sekreteve
Section titled “Menaxhimi i sekreteve”- Mos ndani kredencialet — fjalëkalimet e bazës së të dhënave, çelësat API dhe URL-të e webhook duhet të mbahen konfidenciale
- Kufizoni lejet e skedarëve në direktorinë e konfigurimit
- Rrotulloni çelësat API periodikisht
Siguria e rrjetit
Section titled “Siguria e rrjetit”- Kufizoni aksesin në rrjet tek hosti i SyncID:
- Lejoni lidhje vetëm nga stacionet e punës admin dhe nënrrjetet e pajisjeve
- Bllokoni aksesin nga rrjetet e përgjithshme të zyrës nëse nuk nevojitet
- Përdorni HTTPS për ndërfaqen web të SyncID
- Konfiguroni një certifikatë SSL në server
- Aktivizoni HSTS (HTTP Strict Transport Security)
- Rregullat e firewall-it:
- Lejoni TCP 4370 vetëm midis hostit të SyncID dhe nënrrjetit të pajisjeve
- Lejoni HTTP/HTTPS vetëm për pikën përfundimtare të API-t SyncrOne
- Bllokoni të gjitha lidhjet e tjera hyrëse
- VLAN e veçantë për pajisjet — vendosni pajisjet e prezencës në një segment rrjeti të dedikuar
Siguria e bazës së të dhënave
Section titled “Siguria e bazës së të dhënave”- Përdorni një llogari shërbimi të dedikuar për aksesin në bazën e të dhënave (jo llogarinë administrative)
- Aktivizoni lidhjet e enkriptuara për trafikun e bazës së të dhënave në prodhim
- Kufizoni aksesin në bazën e të dhënave vetëm për aplikacionin SyncID
- Kopje të rregullta të ruajtura në një vendndodhje të veçantë me akses të kontrolluar
Monitorimi
Section titled “Monitorimi”- Rishikoni panelin e shëndetit rregullisht për ndryshime të papritura të gjendjes
- Ndiqni përpjekjet e dështuara të hyrjes në gjurmën e auditimit
- Konfiguroni njoftimet në Teams për sinjalizim të menjëhershëm mbi përkeqësimin e shëndetit
Mbrojtja e të dhënave (GDPR)
Section titled “Mbrojtja e të dhënave (GDPR)”Meqenëse SyncID përpunon të dhëna personale të punonjësve dhe të dhëna biometrike:
- Kontrolluesi i të dhënave: Organizata juaj është kontrolluesi i të dhënave për të gjitha të dhënat e përpunuara nga SyncID
- Marrëveshja e përpunimit të të dhënave: Nëse Galileo d.o.o. ofron shërbime mbështetëse që përfshijnë akses në të dhëna, duhet të jetë e vendosur një DPA
- Të dhënat biometrike: Klasifikohen si të dhëna të kategorisë speciale sipas Nenit 9 të GDPR — sigurohuni që keni një bazë ligjore për përpunimin
- Minimizimi i të dhënave: Sinkronizoni vetëm punonjësit që kanë nevojë për akses në pajisje
- Ruajtja: Vendosni një politikë ruajtjeje për regjistrat e prezencës dhe regjistrat e auditimit
- E drejta e fshirjes: Sigurohuni që ekzistojnë procedura për heqjen e përhershme të të dhënave kur kërkohet ligjërisht
Përgjigja ndaj incidentit
Section titled “Përgjigja ndaj incidentit”Nëse dyshoni për një incident sigurie:
- Izoloni — shkëputni hostin e SyncID nga rrjeti nëse nevojitet
- Vlerësoni — rishikoni gjurmën e auditimit dhe regjistrat për akses të paautorizuar
- Përmbani — ndërroni të gjithë fjalëkalimet dhe çelësat API
- Rikuperoni — rivendosni nga një kopje e njohur e mirë nëse integriteti i të dhënave është cenuar
- Raportoni — njoftoni palët e prekura sipas politikës së përgjigjes ndaj incidentit të organizatës suaj dhe kërkesave të GDPR
Të lidhura
Section titled “Të lidhura”- Përdoruesit dhe rolet — konfigurimi i kontrollit të aksesit
- Cilësimet — referenca e konfigurimit
- Rikuperimi nga fatkeqësia — procedurat e rikuperimit