Przejdź do głównej zawartości

Bezpieczeństwo danych i środowiska w Wapro ERP

Bezpieczeństwo danych przechowywanych w systemach Wapro ERP jest fundamentem niezawodności i zaufania, jakim obdarzają je użytkownicy. Ochrona przed utratą lub wyciekiem danych to nie tylko kwestia odpowiednich protokołów i zabezpieczeń technicznych, ale również świadomości i odpowiedzialności pracowników. Cyberataki, takie jak ataki na infrastrukturę, DDoS czy phishing, wykorzystują luki w zabezpieczeniach, co może prowadzić do nieautoryzowanego dostępu do poufnych informacji. Dlatego też, regularne szkolenia personelu, stosowanie silnych haseł i świadome korzystanie z zasobów cyfrowych są równie ważne, jak zaawansowane rozwiązania technologiczne.

Wapro ERP zapewnia wielowarstwowe zabezpieczenia, które chronią przed najnowszymi zagrożeniami cyfrowymi. System oferuje zaawansowane funkcje kontroli dostępu, szyfrowanie danych oraz regularne aktualizacje bezpieczeństwa, aby zapewnić, że informacje są bezpieczne, ale jednocześnie łatwo dostępne dla upoważnionych użytkowników. Ponadto, Wapro ERP umożliwia monitorowanie aktywności w systemie, co pozwala na szybką reakcję na wszelkie nieprawidłowości.

Oto kilka kroków, które warto podjąć w celu zapewnienia bezpiecznego przechowywania informacji w systemie Wapro ERP:

  • zarządzanie uprawnieniami - upewnij się, że dostęp do danych jest ograniczony tylko dla osób, które faktycznie potrzebują ich do pracy. Nadaj odpowiednie uprawnienia użytkownikom, aby minimalizować ryzyko nieautoryzowanego dostępu,
  • szyfrowanie danych - dane przechowywane w bazie powinny być zaszyfrowane. Wykorzystaj mechanizmy szyfrowania, takie jak SSL/TLS, aby chronić dane w trakcie przesyłania między aplikacją a bazą danych,
  • regularne kopie zapasowe - regularnie twórz kopie zapasowe danych. W razie awarii lub utraty danych, możliwość przywrócenia kopii zapasowej jest nieoceniona,
  • monitorowanie aktywności - śledź aktywność użytkowników w systemie. Dzięki temu możesz wykryć ewentualne nieprawidłowości lub podejrzane działania,
  • aktualizacje systemu - regularnie aktualizuj system Wapro ERP oraz związane z nim oprogramowanie. To ważne, aby korzystać z najnowszych wersji, które zawierają poprawki bezpieczeństwa.

Pamiętaj, że bezpieczeństwo danych to nie tylko kwestia techniczna, ale także świadomość pracowników i odpowiednie procedury. Dbanie o ochronę informacji przetwarzanych przez przedsiębiorstwo to kluczowy element sukcesu.

Bezpieczeństwo danych w przedsiębiorstwie to fundament, na którym opiera się zaufanie klientów oraz stabilność operacyjna firmy. W dobie cyfrowej transformacji, gdzie dane są nowym złotem, kluczowe staje się nie tylko zastosowanie zaawansowanych rozwiązań technologicznych, ale również budowanie kultury bezpieczeństwa wśród pracowników. To właśnie ludzie są najczęściej pierwszą linią obrony przed cyberzagrożeniami. Dlatego tak ważne jest, aby każdy członek organizacji był świadomy potencjalnych zagrożeń i wiedział, jak postępować zgodnie z procedurami ochrony danych.

Jak dbać o dane przechowywane w ERP?

Dane systemu Wapro ERP są przechowywane i przetwarzane z wykorzystaniem architektury klient-serwer. Niniejszy artykuł opisuje różne zagadnienia konfiguracji zabezpieczeń, które możliwe są do realizacji na poszczególnych warstwach tej architektury (np. konfiguracje sieciowe, uprawnienia do serwera baz danych MSSQL czy aplikacyjne).

SQL Server

System Wapro ERP przechowuje dane w bazie danych opartej o silnik Microsoft SQL Server. Jest to bardzo wydajna i zaawansowana platforma, która pozwala efektywnie zarządzać danymi z zapewnieniem ich bezpieczeństwa. Dostęp do nich oparty jest o lokalne konta założone w usłudze MS SQL Server:

  • konto aplikacyjne, wykorzystywane przez aplikacje do identyfikacji działań użytkownika,
  • konto administracyjne SA, które używane jest w przypadku czynności administracyjnych za pośrednictwem takich modułów jak Administrator baz danych czy Archiwizator Wapro ERP.

Dodatkowo platforma MS SQL umożliwia dwa tryby uwierzytelniania:

  1. Mixed Mode - umożliwia wykorzystanie powyższych kont MS SQL (loginy utworzone wyłącznie bezpośrednio w bazie danych MS SQL),
  2. Windows Authentication - wykorzystuje konta systemowe Windows (pochodzące z lokalnego systemu operacyjnego Windows bądź domeny usług katalogowych Active Directory w systemie Windows). Tryb Windows Authentication umożliwia logowanie tylko z wykorzystaniem tych kont Windows.

Jak skonfigurować tryb uwierzytelniania do MS SQL?

W przypadku instalacji systemu Wapro ERP za pośrednictwem instalatora zostanie automatycznie skonfigurowany tryb logowania (Mixed Mode) dla instancji MS SQL, aby była ona gotowa do współpracy z pakietem aplikacji Wapro ERP. Dodatkowo w trakcie instalacji konto użytkownika Windows przeprowadzającego instalację zostanie dodane jako administrator serwera SQL (rola Sysadmin). Dzięki temu, będąc zalogowanym do systemu Windows na to samo konto co w trakcie instalacji, będzie można zalogować się do SQL za pośrednictwem Administratora Wapro ERP lub Archiwizatora Wapro ERP bez podania hasła. Jest to możliwe dzięki mechanizmowi SSO (Single Sign On), który w momencie logowania weryfikuje poprawność podanych przez użytkownika poświadczeń.

Jeśli instalacja nie odbyła się za pomocą instalatora Wapro ERP, a użytkownik błędnie wybrał domyślny tryb uwierzytelniania Windows authentication, może to zmienić za pomocą narzędzi administracyjnych MS SQL, np. Microsoft SQL Server Management Studio. W tym celu, po zalogowaniu do SQL powinien kliknąć prawym przyciskiem myszy na nazwę instancji, a następnie na pozycję Properties. Kolejny krok to przejście na zakładkę Security i wskazanie opcji SQL Server and Windows Authentication.

Jak skonfigurować hasła do konta SA?

Po instalacji za pomocą instalatora Wapro ERP konto SA otrzymuje domyślne hasło instalacyjne. Pierwszym krokiem, który obligatoryjnie powinien wykonać użytkownik jest jego zmiana. W tym celu:

  1. Uruchom Administratora Wapro ERP.
  2. Zaloguj się do systemu za pomocą loginu SA i domyślnego hasła.
  3. Przejdź na zakładkę Zaawansowane i wybierz opcję Administracja serwerem.
  4. Wybierz pozycję Zmień hasło administratora serwera SQL (sa), wprowadź stare hasło i wpisz nowe. Pamiętaj o zachowaniu zasad bezpiecznego hasła, czyli stosowaniu małych i wielkich liter, cyfr oraz znaków specjalnych. Jego długość nie powinna być krótsza niż 12 znaków.
  5. Kliknij przycisk Zmień hasło. Nastąpi zmiana hasła w serwerze SQL. Do ponownego zalogowania użyj nowego hasła.
Podpowiedź

Podobnie jak w przypadku zmiany trybu uwierzytelniania, do zmiany hasła konta SA można użyć narzędzi administracyjnych MS SQL.

Konfiguracja konta usługi MS SQL w systemie Windows

MS SQL w systemie operacyjnym Windows jest usługą systemową. Oznacza to, że bez względu na to, czy ktoś jest zalogowany do systemu Windows jako użytkownik, czy nie, usługa ta pracuje w tle i umożliwia innym użytkownikom w sieci korzystanie z jej zasobów. Warunkiem poprawnego działania MS SQL jest włączony komputer, na którym taka usługa jest zainstalowana.

W tym przypadku usługa w systemie operacyjnym Windows pracuje z wykorzystaniem tzw. konta usługi - czyli technicznego loginu, który umożliwia tej usłudze wykonywanie w systemie Windows określonych operacji.

Pakiet Wapro ERP nie wymaga od konta posiadania usługi MS SQL wysokich uprawnień w systemie Windows. Podczas korzystania z automatycznego instalatora Wapro ERP, program tworzy dedykowane konto NT Service, które ma ograniczone uprawnienia do modyfikacji innych zasobów systemu Windows.

Jak skonfigurować konto dla usługi MS SQL?

Zdarza się jednak, że pakiet Wapro ERP współpracuje na jednej instancji z innymi systemami ERP bądź sklepami internetowymi i systemy te wymagają, aby konto dla usługi MS SQL miało wysokie uprawnienie. Warto to zweryfikować i - jeśli nie ma takiej konieczności - ograniczyć uprawnienia przydzielone dla konta usługi MS SQL dla takiej zewnętrznej usługi.

Ostrzeżenie

Należy pamiętać, że zmiana konta dla usługi MS SQL nie polega na zmianie wyłącznie jednego parametru. W trakcie przypisywania konta MS SQL do usługi, w samym systemie operacyjnym konto to powinno otrzymać odpowiednie (wyłącznie wymagane) uprawnienia. Aby poprawnie nadać wymagane uprawnienia należy posłużyć się dedykowanym do tego celu narzędziem o nazwie SQL Server Configuration Manager. Jest to tzw. przystawka systemowa instalowana wraz z bazą danych MS SQL w systemie operacyjnym Windows i jest gotowa do użycia zaraz po jej instalacji.

Po jej uruchomieniu w menu po lewej stronie wybierz opcję SQL Server Services. Następnie w menu po prawej stronie dla usługi SQL Server (MS SQL) kliknij prawym przyciskiem myszy i wybierz opcję Properties. W oknie ustawień dostępna jest opcja wybrania wbudowanych kont (Built-in account) lub własnego konta - utworzonego do tego celu w systemie Windows, dla którego należy wtedy wprowadzić odpowiednie hasło.

Jak zarządzać kontem dla aplikacji?

Domyślnie aplikacja pracuje na dedykowanym koncie aplikacyjnym, w wersji 8.91.0 oraz w wersjach 8.8X.X (wraz z poprawkami Wapro Update) wprowadzone zostały zmiany dotyczące istniejącego konta waproking. Zostało ono zastąpione nowym kontem waprokingapp - nowe konto zmienia zasady hasła jakich używa do połączenia stosując zasadę hasła dynamicznego - hasło to tworzone jest w trakcie instalacji systemu.

Domyślnie konto posiada rolę sysadmin - umożliwia to automatyczny dostęp aplikacji do każdej bazy danych z uwzględnieniem specyfiki aplikacji (możliwości odtwarzania samodzielnego baz danych przez archiwizatora baz danych, odtwarzanie przez mechanizm SQL Server czy korzystanie z opcji "attach database", czyli podpinania bazy poza programem). Udostępnienie takich funkcji użytkownikom powoduje, że domyślnie konta o ograniczonych uprawnieniach nie mają dostępu do takich baz danych - rola sysadmin rozwiązuje ten problem ale posiada one pełne uprawnienia w SQL dlatego krytyczne staje się aby nie udostępniać hasła do tego konta osobom niepowołanym.

Istnieje możliwość ograniczania uprawnień dla konta aplikacji ale należy pamiętać, że użytkownik będący administratorem instalacji musi samodzielnie zarządzać całym cyklem pracy aplikacji od momentu tworzenia baz danych przez ich odtwarzanie itp.

Konfiguracja sieciowa

Usługa MS SQL pracuje w trybie sieciowym, udostępniając zasoby innym użytkownikom w sieci. W związku z powyższym należy zadbać także o poprawną konfigurację sieciową.

Pamiętaj, że obecnie Twoja konfiguracja sieciowa dotyczy dwóch poziomów:

  • konfiguracja LAN - dostęp do serwera pomiędzy poszczególnymi komputerami w sieci lokalnej,
  • konfiguracja WAN - dostęp do zasobów Twojej firmy bezpośrednio w Internecie.

Konfiguracja LAN

Domyślnie dostęp do MS SQL odbywa się poprzez podanie nazwy komputera lub adresu IP, na którym pracuje instancja SQL. Jeśli korzystasz z domyślnej instalacji, w której nie została wykryta żadna instalacja MS SQL, to nazwa serwera MS SQL jednocześnie jest nazwą komputera, na której jest on zainstalowany. W przypadku, kiedy instancja MS SQL (czyli kolejne wystąpienie tej samej usługi w systemie równolegle obok siebie) została już wcześniej wykryta, nadawana jest nowa unikalna nazwa danej instancji.

  1. Serwer.
  2. Serwer\SQL2019.
Podpowiedź

Komunikacja z serwerem MS SQL możliwa jest zarówno z wykorzystaniem nazw DNS, jak również adresów IP. Jeśli zachodzi konieczność wprowadzenia dokładnego adresu IP wraz z adresem portu TCP, należy zapisać go wg schematu:

tcp:adres_ip,port

np.:

tcp:192.168.1.1,1433

Domyślna konfiguracja portów

W zależności od tego, czy instancja jest domyślna czy nie, do komunikacji z MS SQL używany będzie inny port TCP. W przypadku instancji domyślnej będzie to port 1433, a w przypadku instancji nazwanej (dodatkowej) używane są domyślnie tzw. porty dynamiczne. Oznacza to, że po uruchomieniu usługi serwer sprawdza wolny port TCP w systemie i używa go do komunikacji.

Podpowiedź

Aby inne aplikacje wiedziały, do jakiego numeru portu mają się połączyć (po podaniu nazwy serwera MS SQL), w systemie powinna być uruchomiona usługa SQL Server Browser. Status usługi możesz sprawdzić we wspomnianej już przystawce SQL Server Configuration Manager.

Ręczna konfiguracja portów

Porty TCP do usługi MS SQL można skonfigurować ręcznie - można użyć do tego wspomnianego SQL Server Configuration Manager lub Konfiguratora SQL - narzędzia z pakietu Wapro ERP.

Jak skonfigurować porty dla SQL ręcznie?

Po uruchomieniu Konfiguratora SQL wyświetlą się informacje o tym, jakie instancje MS SQL są zainstalowane w systemie, która z nich umożliwia połączenia po sieci do serwera oraz czy jest to instancja, która jest zgodna z wymogami pakietu Wapro ERP.

Konfigurator SQL

Jeśli użytkownik chce udostępnić sieciowo połączenia do serwera SQL, powinien zaznaczyć odpowiednią instancję i kliknąć przycisk Konfiguruj. Następnie powinien zaznaczyć opcję Udostępnij serwer dla stanowisk sieciowych, co spowoduje włączenie połączeń sieciowych i automatyczne dodanie reguł w zaporze systemu Windows, umożliwiającym połączenia do serwera SQL.

Konfigurator SQL

Jeśli użytkownik chce sprawdzić, na jakich portach pracuje aktualnie instancja MS SQL, powinien przejść na zakładkę Zaawansowane.

Na zakładce dostępny jest komplet danych o stanie usługi wraz z danymi o włączonym trybie logowania i dopuszczanych połączeniach sieciowych TCP oraz informacją o tym, na jakich portach, a także jak skonfigurowana jest zapora.

Podpowiedź

Domyślna konfiguracja zapory sieciowej systemu Windows dla Wapro ERP dopuszcza ruch lokalnie ze wszystkich stanowisk w sieci LAN. Pamiętaj jednak, że możesz samodzielnie szczegółowo skonfigurować zaporę za pośrednictwem narzędzi systemu Windows bądź innych. Pozwoli Ci to na dopuszczenie połączeń SQL tylko z wybranych komputerów, np. możesz dopuścić połączenia z części biurowej a już z części produkcyjnej firmy nie. Pozwoli Ci to bardzo dokładnie wskazać na poziomie sieci, kto może potencjalnie próbować logować się do aplikacji a kto nie.

Konfiguracja WAN

Konfiguracja sieciowa może dotyczyć połączenia wewnątrz firmy. Ale należy także pamiętać o zasobach firmy udostępnianych na zewnątrz.

Jak umożliwić dostęp zdalny do aplikacji?

Użytkownik ma możliwość opublikowania dostępów do systemu operacyjnego bądź usługi bezpośrednio w Internecie. Ma to miejsce m.in. w przypadku:

  • pracy zdalnej,
  • korzystania z narzędzi integracyjnych, które przez Internet podpinają się bezpośrednio do źródła typu SQL do pobrania danych,
  • wykorzystania połączenia np. ze sklepem internetowym, który wpina się bezpośrednio do bazy SQL, ale nie jest hostowany wewnątrz firmy,
  • wykorzystania oprogramowania dla pracowników mobilnych, którzy z terenu potrzebują dostępu do danych online bezpośrednio z bazy.

W każdym z powyższych przypadków należy zdecydowanie przyjrzeć się konfiguracji zapory sieciowej oraz konfiguracji sieciowej na urządzeniach brzegowych typu router.

Nie udostępniaj żadnych zasobów bezpośrednio w Internecie, czyli:

  • nie wystawiaj do Internetu bezpośredniego przekierowania do połączenia pulpitu zdalnego na serwer,
  • nie stosuj przekierowania portu do tzw. strefy zdemilitaryzowanej (tzw. DMZ) portów z routera na port SQL.
Ostrzeżenie

Jeśli chcesz udostępnić zasoby firmowe pracownikom/usługom, zastosuj bezpieczne połączenia VPN. Powinieneś je wykorzystać w przypadku umożliwiania:

  • dostępu zdalnego pracowników z komputerów,
  • dostępu zdalnego pracowników mobilnych, np. z telefonu lub tabletu,
  • dostępu zdalnego dla zewnętrznych podmiotów, np. pracowników biur rachunkowych lub partnerów,
  • dostępu zdalnego zewnętrznych usług integracyjnych tzw. VPN typu Site-to-Site, gdzie komunikują się między sobą całe lokalizacje a nie tylko komputer z organizacją,
  • bezpiecznego połączenia pomiędzy oddziałami zdalnymi firmy (po zestawieniu tunelu VPN pomiędzy oddziałami Site-to-Site komunikacja pomiędzy komputerami poszczególnych oddziałów odbywa się tak jakby komputery były w tej samej siedzi LAN, np. w tym samym oddziale).
Ostrzeżenie

Pamiętaj, że jeśli korzystasz z dostępnego połączenia pulpitu zdalnego przez Internet i używasz zabezpieczenia typu zmiana domyślnego portu RDP, to tak jakbyś nie stosował żadnego zabezpieczenia, ponieważ skanery sieciowe wykrywają połączenia RDP na dowolnie ustawionym porcie.

Taka konfiguracja oznacza, że bezpośrednio narażasz swoje zasoby na bezpośredni atak np. brute force, czyli metodą kolejnego podstawiania loginu i hasła aż do momentu uzyskania dostępu.

Pamiętaj, że istnieją na świecie tzw. skanery globalne, które ciągle skanują po kolei adresy IP i sprawdzają jakie porty udostępnia dany adres. Zakładając, że serwer SQL działa na porcie 1433 domyślnie, a połączenie RDP na porcie 3389, to wystarczy znaleźć taki adres IP i rozpocząć atak. To ataki najmniej wyrafinowane, ale wciąż powszechne.

Informacja

Oprogramowanie Wapro ERP domyślnie nie konfiguruje urządzeń sieciowych typu router/modem. Oznacza to, że jeśli nie uruchomiłeś samodzielnie jakiejś funkcji przekierowania lub opublikowania portu w sieci Internet, to w pierwszej kolejności ochronę otrzymujesz od dostawcy Internetu poprzez tzw. mechanizm NAT. działanie mechanizmu powoduje, że Twoje dane nie są widoczne w Internecie.

Dodatkowo, jeśli korzystasz z tzw. prywatnych adresów IP - zazwyczaj są to adresy zmienne (nie opłacasz publicznego stałego adresu IP), to taki adres nie jest widoczny w Internecie i nie odpowiada na polecenia PING wysyłane przez sieć Internet.

Pamiętaj jednak, że typ adresu niezależnie od tego, czy jest publiczny (widoczny w sieci internet) czy prywatny (niewidoczny) może zależeć od dostawcy Internetu i typu usługi jaką używasz.

Jeśli będziesz publikować dane na zewnątrz firmy, powinieneś zadbać o podstawowe zabezpieczenia:

  1. Korzystaj z sieci VPN - umożliwia ona bezpieczniejsze uwierzytelnienie użytkownika/aplikacji najlepiej z wykorzystaniem mechanizmu MFA (np. kod jednorazowy z aplikacji typu Google Authenticator), a dopiero po poprawnym uwierzytelnieniu uzyskanie dostępu do zasobów sieci lokalnej, np. SQL Server. Konfiguracja VPN odbywa się np. na routerze poprzez wskazanie danych uwierzytelniających dla użytkownika, a następnie protokołu, jaki będzie używany do szyfrowania danych w trakcie komunikacji.
  2. Staraj się nie publikować bezpośrednio serwera SQL. Jeśli musisz opublikować dane, zastosuj rozwiązanie pośrednie:
  • dostęp do aplikacji realizuj poprzez połączenie na komputer z wykorzystaniem mechanizmu pulpitu zdalnego, a dopiero na nim uruchamiaj aplikację. Unikaj udostępniania połączeń pulpitu zdalnego bezpośrednio na serwer SQL. Konto użytkownika dla pulpitu zdalnego powinno mieć minimalne uprawnienia umożliwiające tylko uruchomienie aplikacji bez uprawnień administratora,
  • w przypadku konieczności publikowania danych zawartych w bazie, realizuj to za pomocą warstwy pośredniej, czyli aplikacji WEB, np. system Windows posiada wbudowany serwer web (IIS). Alternatywą może być serwer Apache, NodeJS lub inne w zależności od potrzeb danego zadania,
  • jeśli to możliwe dopuszczaj połączenia z sieci Internet tylko z wybranych adresów IP, np. jeśli potrzebujesz dla jakiegoś dostawcy sklepu uruchomić połączenie do bazy SQL do pobrania danych, dowiedz się najpierw, z jakiego adresu IP będzie nawiązywane połączenie i wskaż w konfiguracji reguły zapory sieciowej, które dopuszczą tylko połączenie z tego adresu. Dodatkowo zadbaj o bardzo silne hasło dla użytkownika SQL, a także ogranicz maksymalnie jego uprawnienia do wybranej bazy i czynności np. tylko role db_datareader i db_datawriter, jeśli potrzebuje czytać i zapisywać dane. Możesz też nadać uprawnienia do wybranych widoków i obiektów typu funkcje i procedury.
Ostrzeżenie

Pamiętaj, aby do integracji zewnętrznych nie używać kont SQL o bardzo wysokich uprawnieniach jak np. konto typu SA.

Powyższe zalecenia umożliwiają Ci wprowadzenie metody zabezpieczeń "na cebulę", czyli dokładania kolejnych warstw, które powodują, że atakujący może zostać zniechęcony kolejną barierą.

Dostęp do plików bazy

Pamiętaj, aby ograniczać dostęp użytkownikom do miejsc, gdzie przechowywane są:

  • fizyczne pliki bazy danych na serwerze,
  • kopie bezpieczeństwa baz danych.

Jeśli użytkownik będzie miał ograniczone uprawnienia w aplikacji, ale udostępnisz całej firmie katalog, w którym fizycznie przechowywane są powyższe pliki, to tak naprawdę nie stosujesz żadnych zabezpieczeń.

Użytkownik, który wewnątrz organizacji będzie chciał dokonać kradzieży danych, będzie mógł skopiować plik bazy lub archiwum i odtworzyć je na innej wersji SQL Server, uzyskując dostęp do danych.

W przypadku nośników przenośnych takich jak zewnętrzne dyski czy pendrivy, powinieneś zadbać o szyfrowanie danych, które się na nich znajdują. Jest to szczególnie istotne w przypadku wykonywania kopii baz danych z poufnymi informacjami biznesowymi czy danymi personalnymi, gdyż pozwoli zabezpieczyć je na wypadek kradzieży lub zgubienia nośnika.

Aplikacje Wapro ERP

W tym akapicie skupimy się głównie na aspektach ogólnych, związanych z podejściem do zabezpieczeń danych wewnątrz aplikacji. W tym obszarze należy uwzględnić:

  1. Konta dostępowe do aplikacji.
  2. Uprawnienia do wykonywania poszczególnych czynności.
  3. Zidentyfikowanie kluczowych danych wewnątrz aplikacji.
  4. Zarządzanie danymi do narzędzi operujących bezpośrednio w SQL, tj. Klient SQL Wapro.
  5. Zabezpieczanie danych wysyłanych z aplikacji, np. paski płacowe w PDF.
  6. Eksport danych do plików.
  7. Zarządzanie ekranem logowania.
  8. Rozliczalność operacji w systemie.

Konta dostępowe do aplikacji

Każdy użytkownik aplikacji Wapro ERP korzysta z indywidualnego loginu i hasła. Powinieneś zadbać o to, aby użytkownicy otrzymywali unikalne loginy i hasła. Pozwoli Ci to na dokładną rozliczalność działań w systemie przez poszczególnych użytkowników.

Hasła tworzone w systemie powinny być hasłami silnymi i spełniać określone kryteria, tj. posiadać małe i wielkie litery, cyfry oraz znaki specjalne. Zalecana minimalna długość hasła to 12 znaków. Korzystając z Administratora baz danych, możesz wymusić politykę haseł co do złożoności oraz częstotliwości zmian.

Podpowiedź

Zgodnie z najnowszymi opiniami środowiska związanego z bezpieczeństwem danych, nie zalecamy częstej zmiany haseł a ustawianie ich wymagalności co do złożoności oraz długości. Z obserwacji badaczy wynika, że jeśli użytkownik często musi zmieniać hasło, to ustawia hasła szablonowe oraz zapisuje je w mało bezpiecznych miejscach.

Jak skonfigurować złożoność haseł?

O tym w jaki sposób skonfigurować złożoność haseł możesz dowiedzieć się, czytając rozdział Konfiguracja haseł.

Uprawnienia aplikacyjne

Każdy system Wapro ERP posiada wbudowany system uprawnień, który umożliwia ograniczanie dostępu do wybranych akcji.

Informacja

W przypadku wersji desktop, mechanizm konfiguracji uprawnień w każdej aplikacji może być mniej lub bardziej rozbudowany, w zależności od charakteru aplikacji i różnić się granulacją uprawnień.

W ramach zabezpieczenia danych firma powinna zadbać o przegląd możliwości konfiguracji nie tylko uprawnień, ale także innych parametrów konfiguracyjnych systemu, które wpływają na operacje wykonywane w systemie. Zazwyczaj operacje uprawnień powodują odebranie dostępu do jakiejś akcji, natomiast konfiguracja parametrów firmy lub użytkownika umożliwia kontrole biznesowe, które powodują, że użytkownik nie popełni błędów skutkujących konsekwencjami podatkowymi czy błędów związanych z przyjętymi politykami obrotu towarowego w firmie.

Jakie uprawnienia można skonfigurować?

W przypadku systemu do prowadzenia gospodarki magazynowej i handlu, użytkownik może nadać:

  • uprawnienia do czynności,
  • uprawnienia do raportów,
  • uprawnienia do operacji dodatkowych,
  • uprawnienia do tabel dodatkowych,
  • funkcje dostępne na hasło.

Jak skonfigurować autowylogowanie użytkownika?

Niektóre moduły posiadają funkcję automatycznego wylogowania z aplikacji. Korzystanie z tej funkcji minimalizuje ryzyko udostępnienia danych osobom niepowołanym, z powodu odejścia od komputera wciąż zalogowanego użytkownika.

Podpowiedź

W przypadku Wapro Mag parametr dostępny jest w sekcji Administrator | Konfiguracja Użytkownika | Parametry aplikacji | Automatyczne wylogowanie po bezczynności w minutach. Pamiętaj, że opcja ta nie zadziała, w przypadku, gdy użytkownik pracuje w aplikacji i jest w trakcie wystawiania dokumentu z otwartymi pozycjami.

Niezależnie od tego w jakiej aplikacji pracujesz, pamiętaj, że podobny mechanizm ukrywania danych oferuje również system Windows. Korzystając z ustawień systemu operacyjnego, możesz zablokować ekran komputera po upływie określonego czasu bezczynności.

Logowanie biometryczne

W przypadku urządzeń mobilnych i aplikacji Wapro Mobile Mag i Wapro Mobile, bezpieczeństwo a zarazem wygoda użytkownika mogą zostać zwiększone poprzez ustawienie biometrycznego logowania do aplikacji. To aktualnie powszechne stosowane zabezpieczenie na urządzeniach mobilnych.

Jak skonfigurować logowanie biometryczne?

O tym w jaki sposób ustawić logowania za pomocą odcisku palca przeczytasz w rozdziale Logowanie biometryczne.

Logowanie MFA

Wapro ERP w wariancie desktop nie ma wbudowanego wsparcia dla logowania MFA z wykorzystaniem kluczy sprzętowych bądź urządzeń mobilnych z generatorem jednorazowych kodów autoryzacyjnych.

Zarządzanie elementami ekranu logowania

Aplikacje Wapro ERP w wersji desktop korzystają z tzw. wspólnego modułu administracyjnego, który używany jest do zarządzania licencjami, ale także kieruje procesem logowania. Użytkownicy wymagający specyficznej konfiguracji systemu, mają możliwość zdefiniowania widoków na ekranie startowym dla zwykłych użytkowników.

Jak skonfigurować opcje ekranu logowania?

Konfiguracja opcji ekranu logowania odbywa się poprzez odpowiednie wpisy definiowane w pliku o nazwie defs_init.ini, który należy umieścić w katalogu aplikacji.

Informacja

Plik należy umieścić na każdym komputerze, na którym zainstalowana jest aplikacja. Użytkownik uruchamiający na nim aplikację powinien mieć skonfigurowane opcje ekranu logowania.

Szczegółowe informacje znajdziesz w instrukcji dotyczącej parametrów konfiguracyjnych modułu administracyjnego.

Jak archiwizować dane programu?

Archiwizacja danych to jeden z najważniejszych elementów długofalowego zabezpieczenia danych firmowych. W przypadku jakiegokolwiek ataku, pozwala ona przywrócić środowisko do działania nawet jeśli atak będzie miał poważne skutki.

Trzy najważniejsze zasady w przypadku tworzenia kopii bezpieczeństwa:

  1. Archiwum baz danych i plików użytkowników należy wykonywać regularnie.
  2. Należy cyklicznie sprawdzać czy wykonane archiwum udaje się odtworzyć.
  3. W przypadku archiwizacji na nośniki zewnętrzne, na wypadek zagubienia lub kradzieży, należy zadbać o ich bezpieczeństwo poprzez szyfrowanie. Klucze szyfrujące powinny być przechowywane w bezpiecznym miejscu.

Jak archiwizować dane automatycznie?

Szczegółowe informacje na temat archiwizacji danych programu z wykorzystaniem automatycznych narzędzi znajdziesz w instrukcji Automatyczna archiwizacja.

Jak chronić dane osobowe?

Pakiet aplikacji Wapro ERP posiada wbudowany moduł RODO, a w poszczególnych aplikacjach natywne funkcje, umożliwiające zarządzanie danymi osobowymi.

Konfiguracja pozwala użytkownikowi na:

  • wprowadzanie definicji zbiorów,
  • wprowadzanie danych pozyskiwania zgód,
  • wprowadzanie danych o naruszeniach,
  • inne.

Szczegółowe dane dotyczące ochrony danych osobowych oraz samego modułu Wapro RODO, który dostępny jest bezpłatnie w pakiecie Wapro ERP znajdziesz w instrukcji Wapro RODO.

Bezpieczne usługi w chmurze

Usługi w chmurze zyskują coraz większą popularność. Dzięki nim możesz zarządzać firmą z dowolnego miejsca, wystarczy tylko, że masz dostęp do Internetu. Jednocześnie są one narażone na cyberataki. Jak wygląda w tym przypadku ochrona informacji w przedsiębiorstwie? Gwarancja bezpieczeństwa w przypadku aplikacji w chmurze Wapro Anywhere Online to instalacja na serwerach w Centrum Przetwarzania Danych Asseco BS. Spełniają one najwyższe światowe standardy, co potwierdzają regularne audyty. Nieustannie dbamy o regularne wykonywanie kopii bezpieczeństwa, minimalizując ryzyko utraty danych.

Nasza innowacyjna usługa oferuje:

  • uruchamianie aplikacji desktopowych za pomocą zaawansowanych usług pulpitu zdalnego,
  • możliwość korzystania z wybranych modułów bezpośrednio w przeglądarce, niezależnie od urządzenia czy platformy. Kompatybilność z Windows, Linux oraz MacOS gwarantuje uniwersalność i dostępność naszej usługi.

Jak aktualizować aplikacje Wapro ERP?

Oprogramowanie Wapro ERP jest regularnie aktualizowane. Dzięki temu możesz mieć pewność, że jest zgodne z aktualnymi przepisami (np. związanymi z Wapro KSeF). Aktualizacje systemu ERP pozwalają też utrzymać wysoką odporność na ciągle zmieniające się zagrożenia. Warto wykonywać je regularnie, słuchając zaleceń dostawcy usługi.

Więcej o aktualizacji programów znajdziesz w instrukcji Jak zaktualizować program do najnowszej wersji?

Aktualizacje Wapro Update

Pamiętaj, aby korzystać z wbudowanego modułu Wapro Update, który umożliwia automatyczne dostarczanie aktualizacji do pakietu Wapro ERP. Za jego pośrednictwem dowiesz się o:

  • nowych wersjach,
  • zbliżających się końcach abonamentach,
  • dostępnych aktualizacjach do wersji, którą aktualnie masz zainstalowaną,
  • konfiguracji usługi automatycznie wgrywającej aktualizacje - rekomendowana opcja,
  • automatycznym przedłużeniu abonamentu na kolejny okres, jeśli wykupiłeś aktualizację.

Aktualizacje systemu Windows i MS SQL

Aplikacje Wapro ERP stanowią dodatkowy element w systemie operacyjnym, dlatego należy zadbać o bieżące aktualizacje systemu Windows oraz silnika bazodanowego MS SQL.

Windows Update sprawdza, czy w systemie są dodatkowe komponenty takie jak serwer SQL (wymaga to upewnienia się, że wybrana jest opcja Ustawienia | Windows Update | Opcje zaawansowane | Otrzymuj aktualizacje innych produktów firmy Microsoft). W przypadku wykrycia nowych aktualizacji, to właśnie system Windows proponuje ich zainstalowanie.

W zależności od ustawień konfiguracyjnych, usługa Windows Update może zainstalować aktualizacje automatycznie. Pamiętaj, że niektóre aktualizacje mogą wymagać ponownego uruchomienia aplikacji lub komputera. Jeśli w systemie pracują jakieś procesy integracyjne, takie jak automatyczne ponowne uruchomienia, mogą powodować niekontrolowane przerwania działania.

Własne moduły i rozszerzenia

W przypadku niektórych modułów Wapro ERP (np. Wapro Mag), użytkownik może podpinać własne rozszerzenia. To otwiera nowe możliwości w zakresie rozbudowania aplikacji i ich funkcji, ale także otwiera nowe potencjalne problemy związane z zarządzaniem bezpieczeństwem.

Wapro Mag umożliwia podpinanie rozszerzeń w formie:

  • tabel dodatkowych,
  • modułów wykonywalnych EXE lub skrypty VBS,
  • procedur SQL.

W szczególności warto zwrócić uwagę na moduły wykonywalne. Takie rozszerzenia wymagają dostępu do bazy danych, dlatego istotne jest zachowanie odpowiednich środków ostrożności.

Chociaż moduł użytkownika może być niezależny od bazy danych, to w praktyce rzadko się to zdarza. Zwykle rozszerzenia dotyczą obsługi danych przechowywanych w bazie i współpracy z główną aplikacją.

Podczas podpinania modułu dodatkowego, użytkownik może domyślnie przekazać do niego dane połączenia aplikacji (serwer, baza, użytkownik i hasło). To oznacza, że moduł działa na tym samym użytkowniku w bazie danych co aplikacja główna. Choć taka konfiguracja ma swoje zalety, z punktu widzenia bezpieczeństwa zdecydowanie rekomendujemy zaznaczenie opcji Nie przekazuj danych do połączenia.

W praktyce oznacza to, że autor modułu dodatkowego powinien zadbać o przypisanie odpowiednich uprawnień do konta, na którym działa taka aplikacja. Alternatywnie, można jasno wskazać administratorowi środowiska, jakie uprawnienia są wymagane przez daną aplikację. Dzięki temu minimalizuje się uprawnienia modułów tylko do wybranych fragmentów systemu Wapro ERP, co wpływa na bezpieczeństwo i optymalizację działania systemu.