Bezpieczeństwo systemu chmurowego ISOF dla firm

OŚRODKI DATA CENTER HEUTHES

Firma HEUTHES posiada w pełni wyposażone dwa ośrodki komputerowe (outsourcingowe) Data Center. W każdym ośrodku jest kompletna infrastruktura sprzętowo programowa zdolna obsłużyć klientów systemu ISOF. Dane i systemy są całkowicie zabezpieczone. W wyniku awarii ośrodka głównego pracę w krótkim czasie przejmuje ośrodek zapasowy. Codziennie, w godzinach nocnych, wykonywana jest pełna kopia danych. Każda kopia pozwala na pełne odtworzenie systemu i danych w razie jakiejkolwiek awarii. Serwery główne systemu ISOF znajdują się w wynajętym profesjonalnym centrum komputerowym w Warszawie.

Ośrodek wyposażony jest w:

  • dwie niezależne linie energetyczne,
  • dwa generatory prądu,
  • dwa niezależne systemy UPS,
  • dwa systemy klimatyzacji z zainstalowanymi antypyłowymi filtrami powietrza,
  • system gaszenia gazem obojętnym z czujnikami wczesnego wykrywania pożaru,
  • dwa niezależne doprowadzenia linii internetu,
  • kontrola dostępu do pomieszczeń z systemem kart dostępu i telemonitoringiem,
  • ochronę przed dostępem osób niepowołanych,
  • monitorowanie działania serwerów 24/7.

Serwery są w zaplombowanych, zabezpieczonych zamkiem cyfrowym szafach 19” 42U.

Do serwera na którym jest zainstalowany system mają dostęp tylko osoby upoważnione.

Serwer jest chroniony sieciowym urządzeniem zabezpieczającym uwzględniającym TLS v.1.2.

Każdorazowy dostęp do serwera wymaga zgody Prezesa Zarządu lub osoby upoważnionej przez Prezesa.

Serwery pomocnicze – robocze HEUTHES znajdują się w siedzibach HEUTHES w Szczecinie i w Warszawie.

Kopie bezpieczeństwa są wykonywane raz w miesiącu na nośniku trwałym (DVD-R/DVD-DL/BD) i składowane w sejfie w siedzibie HEUTHES.

Działanie systemów jest na bieżąco monitorowane w zakresie poprawności działania poszczególnych elementów a także istotnych parametrów pracy, jak np. temperatura.

Pracownicy HEUTHES prowadzą dyżury w dni robocze w godz. 6.00 - 22.00 oraz w niedziele i święta w godz. 10.00 - 18.00 służąc pomocą pod tel. 91 460 89 74 w. 10.

KOPIA BEZPIECZEŃSTWA DLA KLIENTÓW

W systemie ISOF zapewniono dostęp do kopii bezpieczeństwa zgodny z Ustawą o Rachunkowości. Kopia jest umieszczana na nośniku trwałym i uruchamiana na oprogramowaniu VirtualBox, które może być uruchamiane w systemach Windows, Linux, Macintosh, Solaris, OpenSolaris, OS/2 oraz OpenBSD z pełnym systemem ISOF w trybie "tylko do odczytu" dostępnym na lokalnym komputerze.

PODPIS CYFROWY I PIECZĘĆ CYFROWA

Podpis cyfrowy to nowoczesna forma podpisywania wszelkich dokumentów występujących w formie elektronicznej. Jest on odpowiednikiem podpisu odręcznego stawianego na dokumencie papierowym. Dzięki niemu wszystkie dokumenty można przesyłać w formie elektronicznej. Gwarantuje on i jednocześnie weryfikuje autentyczność osoby podpisującej. Pieczęć cyfrowa, w odróżnieniu od podpisu cyfrowego, może być w firmie przypisana do wielu osób, ułatwiając obieg pracy grupowej. Jest często wykorzystywana do podpisywania dokumentów przez uprawnione osoby z poszczególnych działów firmy np.: finansowego.

W systemie ISOF można podpisywać dokumenty cyfrowe dwiema metodami (pieczęcią i podpisem cyfrowym):

  • pieczęcią firmową kwalifikowaną (Szafir KIR), a także niekwalifikowaną (wydawaną przez HEUTHES lub samodzielnie),
  • podpisem kwalifikowanym (przykładowe certyfikaty to Certum ASSECO, Szafir KIR i inne) oraz niekwalifikowanym (wydawanym przez HEUTHES lub samodzielnie).

W systemie ISOF dostępne są poniższe profile podpisów dla pieczęci i podpisów cyfrowych przy podpisywaniu plików:

  • PDF
    • PAdES widoczny (dedykowany do podpisywania plików PDF, z widoczną grafiką z podpisem, z informacją kto i kiedy podpisał, z opcjonalnym uzasadnieniem i znakiem graficznym, w wybranym miejscu, na wybranej stronie),
    • PAdES niewidoczny (dedykowany do podpisywania plików PDF, bez widocznej grafiki z podpisem, uruchomienie funkcji ‘weryfikacja podpisu’ umożliwia odczytanie informacji o podpisie),
    • XAdES otaczający (podpisywany dokument i podpis są razem w kopercie XML),
    • XAdES zewnętrzny (podpisywany dokument i podpis są w osobnych plikach),
  • XML
    • XAdES otoczony (stosowany do podpisywania plików w formacie XML, szeroko wykorzystywany w obrębie EDI oraz do przesyłania deklaracji i rozliczeń do urzędów publicznych, m.in. Ministerstwa Finansów i ZUS),
    • XAdES otaczający,
    • XAdES zewnętrzny,
    • XAdES równoległy (podpisywany dokument może posiadać kilka podpisów równocześnie),
  • pozostałych typów plików
    • XAdES zewnętrzny.

W systemie ISOF pieczęć cyfrowa jest powszechnie używana do uwiarygodniania faktur sprzedażowych. Dzięki modułowi DMS istnieje możliwość pieczętowania również innych dokumentów, np. korespondencji elektronicznej, ofert i ulotek handlowych, prawnych rozporządzeń firmowych i oficjalnych dokumentów firmowych.

Zaletą pieczęci kwalifikowanej jest również rozpoznawanie jej zarówno przez wszystkie przeglądarki i dokumenty w nich wyszukiwane, jak i popularny czytnik plików PDF Adobe Acrobat. Stosując kwalifikowaną pieczęć cyfrową nie trzeba wgrywać certyfikatu CA HEUTHES ponieważ znajduje się on w zestawie urzędów certyfikacyjnych, standardowo w przeglądarce.

Kwalifikowana pieczęć cyfrowa w ISOF spełnia wszystkie wymogi prawa UE i jest zgodna z rozporządzeniem eIDAS.

Podpis cyfrowy widoczny (visible) bardzo upraszcza i przyspiesza wszelkie procedury formalne, pozwala zaoszczędzić czas poprzez możliwość przesyłania dokumentów drogą elektroniczną.

W systemie ISOF można mieć kilka zdefiniowanych jednocześnie podpisów np.: kwalifikowany oraz niekwalifikowany.

Dokumenty w DMS mogą być przekształcone finalnie do postaci plików PDF/A (archiwalnych PDF). Format ten jest przeznaczony do długoterminowej archiwizacji danych elektronicznych z zachowaniem struktury pliku, która pomimo obserwowanego rozwoju dokumentów elektronicznych ma umożliwić odtworzenie w przyszłości niezmienionych dokumentów. Dodanie do takich dokumentów podpisu cyfrowego lub pieczęci cyfrowej powoduje, że dokumenty te stają się zabezpieczone.

Obydwie metody (podpis i pieczęć) zapewniają nienaruszalność treści i dat oraz niezaprzeczalność pochodzenia pliku. Tym samym dokumenty elektroniczne mogą być traktowane równorzędnie w stosunku do dokumentów papierowych opieczętowanych tradycyjną metodą. Przyczynia się to do znacznych oszczędności w firmach przez zastąpienie papieru ich reprezentacją elektroniczną.

Podpisywanie dokumentów wykonuje się w wygodny dla użytkownika sposób na serwerze systemu, bez udziału jego stacji roboczej. Weryfikowanie pieczęci jest możliwe wprost w systemie po wybraniu odpowiedniej funkcji z menu. Dzięki temu niekoniecznie trzeba to robić na lokalnej stacji roboczej po otwarciu dokumentu w przeglądarce Acrobat Reader, która zawiera takie mechanizmy.

PORTAL SERWISOWY

Użytkownicy systemów HEUTHES dzięki internetowemu Portalowi Serwisowemu mają możliwość zgłaszania uwag o charakterze serwisowym, a także podglądu stanu ich realizacji oraz akceptowania wykonanych prac. Portal jest połączony logicznie z systemami wewnętrznymi HEUTHES, ale jednocześnie stanowi odrębne rozwiązanie, które zapewnia odpowiedni poziom bezpieczeństwa danych. Obecnie, średni czas reakcji na zgłoszenie serwisowe klientów wynosi poniżej 4 godzin.

DYŻURNY INFORMATYK

HEUTHES zapewnia użytkownikom swoich systemów również pomoc bezpośrednią w formie dyżurów telefonicznych, które pełnione są przez wykwalifikowanych pracowników od poniedziałku do soboty w godzinach 6:00–22:00, w niedzielę i święta w godzinach 10:00–18:00.

ISOF-CAK DLA SYSTEMU ISOF

Bezpieczeństwo komunikacji z serwerami ISOF podczas pracy w sieci rozległej jest zapewniane przez protokół TLS 1.3 z wykorzystaniem algorytmu ECDHE-RSA (Elliptic Curve Cryptography Diffie-Hellman). Protokół ten wykorzystuje 256-bitowe klucze symetryczne do zapewnienia poufności przesyłanych przez Internet danych oraz asymetryczne klucze RSA 2048 bity do zapewnienia integralności i autentyczności tych danych. Systemy wymagają także, żeby łączący się z nimi użytkownicy identyfikowali się również kluczem prywatnym, którego publiczna część jest certyfikowana przez CAK i zarejestrowana w serwerze. Próba połączenia z przeglądarki nie mającej dostępu do takiego klucza zostanie odrzucona. Podstawą działania jest możliwość automatycznej weryfikacji autentyczności zastosowanych w systemie kluczy. Służy do tego certyfikat klucza publicznego CAK. Klucze: prywatny i CAK mogą mieć postać danych cyfrowych zapisanych na dysku komputera oraz na tokenie kryptograficznym, będącym fizycznym urządzeniem wkładanym do portu USB i zawierającym w sobie oba klucze.

TOKEN KRYPTOGRAFICZNY USB

Firma HEUTHES oferuje token USB ePass 2003, będący kryptograficznym zabezpieczeniem pracy w systemach. Bezpieczeństwo komunikacji z serwerami jest zapewniane przez protokół TLS 1.3 z wykorzystaniem algorytmu ECDHE-RSA (Elliptic Curve Cryptography Diffie-Hellman). Serwis systemu wymaga także, żeby łączący się z nim klient identyfikował się również kluczem prywatnym, którego publiczna część jest certyfikowana przez centrum autoryzacji (CA) firmy HEUTHES i zarejestrowana w serwerze systemu. Próba połączenia z przeglądarki nie mającej dostępu do takiego klucza zostanie odrzucona.

Tokeny stosowane przez HEUTHES są uniwersalne. Niekwalifikowane certyfikaty wygenerowane przez CA HEUTHES mogą być wykorzystywane do podpisu cyfrowego dokumentów, poczty elektronicznej i faktur. Token kryptograficzny to fizyczne urządzenie USB zawierające w sobie procesor pozwalający na wygenerowanie kluczy publicznego i prywatnego oraz ich certyfikację, a także podpis cyfrowy.

Podstawowe cechy i zalety tokena USB:

  • brak możliwości skopiowania;
  • umożliwienie pracy systemów na dowolnym komputerze;
  • wykorzystanie najnowszych technologii stosowanych w kartach z chipem ale w odróżnieniu od nich, dzięki USB, nie wymagające drogiego czytnika;
  • przy każdorazowym otwarciu systemu konieczność znajomości kodu PIN;
  • wszelkie operacje kryptograficzne na kluczu prywatnym są wykonywane w tokenie, co uniemożliwia próby 'przechwycenia' go z zewnątrz;
  • odporność na przypadkowe zniszczenie, awarie dysku twardego czy reinstalację systemu Windows;
  • próby otwarcia powodują zniszczenie tokena;
  • praca bez baterii z zasilaniem poprzez port USB;
  • poręczność (wielkość breloczka do kluczy).

Komputer użytkownika powinien posiadać: Microsoft Windows lub Linux Fedora/Ubuntu, port magistrali USB, sterowniki. Token działa z przeglądarkami Firefox, Chrome oraz Internet Explorer.

Token ePass 2003 wkładany do portu USB zapewnia wysoki poziom bezpieczeństwa dzięki wsparciu algorytmów kryptograficznych RSA 512/1024/2048 bitów, ECDSA 192/256 bitów, DES/3DES, AES 128/192/256 bitów, SHA-1/SHA-256 oraz jest certyfikowany w zakresie spełnienia wymogów Common Criteria EAL 5+.

Forward Secrecy

HEUTHES przywiązuje dużą wagę do kwestii szyfrowania tzw. przyszłej tajemnicy (ang. Forward Secrecy), z wykorzystaniem standardowego algorytmu Diffie-Hellman (DHE) i jego zoptymalizowanej wersji ECDHE (Elliptic Curve Cryptography Diffie-Hellman). Forward Secrecy dotyczy możliwości odszyfrowania nagranego ruchu sieciowego (np. przez PRISM) po uzyskaniu dostępu do klucza prywatnego. W systemach z obsługą Forward Secrecy nie jest to możliwe. Wszystkie usługi internetowe firmy HEUTHES uzyskują w niezależnych testach najwyższe wyniki poziomu bezpieczeństwa serwerów WWW w zakresie wsparcia Forward Secrecy.


Zapytaj o więcej szczegółów! Wyślij zapytanie ›