Documentolog: Data Security on Three Levels

Сейчас на платформе Documentolog автоматизируются кадровые, финансовые процессы, процессы коллегиальных органов, службы технической поддержки и др. С удобством и повышением производительности, закономерно встает вопрос об обеспечении информационной безопасности. Ведь, чем больше процессов компании автоматизировано, тем больше будет потенциальный ущерб в случае взлома. Поэтому надежная защита данных в системе является приоритетом для Documentolog. 

В статье мы постарались подробно ответить на все вопросы.

Какие меры информационной безопасности реализованы в ЭДО Documentolog?

Во-первых, система Documentolog имеет сертификат соответствия требованиям безопасности, установленным в СТ РК/ISO – 15408 с 4 уровнем доверия. Это означает, что программное обеспечение было проверено анализатором кода и специалистами на соответствие международным требованиям по обеспечению информационной безопасности. Простыми словами, это официальный документ, который гарантирует, что доверять нам автоматизацию своих процессов можно и это безопасно.

Во-вторых, система функционирует в дата-центре уровня Tier III. Данный уровень обеспечивает высокий уровень доступности и бесперебойную работу сервисов.

В-третьих, в сервисах Documentolog реализована трехступенчатая система информационной безопасности на разных уровнях: инфраструктурный уровень, уровень программного обеспечения, и человеческий, которые в совокупности формируют целостную систему обеспечения безопасности в компании. Расскажем подробнее о каждом из них. 

1. Инфраструктурный уровень: 

Благодаря самому современному и эффективному оборудованию Documentolog уже на уровне инфраструктуры гарантирует надежное хранение пользовательской информации.

2. Уровень программного обеспечения:

Также вопросы кибербезопасности продуманы и реализованы на уровне продукта и функционала сервиса электронного документооборота. 

- Распределение полномочий согласно ролям. Каждый пользователь имеет доступ только к той информации и документам, которые ему разрешено видеть согласно структуре или предоставленной роли.

- У сотрудников Documentolog нет доступа к данным клиента. Администратор имеет доступ к журналам клиентской системы, но не имеет возможности прочитать содержимое документов.

- Двухфакторная аутентификация и логирование действий. Система запоминает каждую сессию и ее метаданные. Все данные о входе в систему собираются и хранятся в профиле пользователя. Даже если ваш пароль "подсмотрели", вы увидите уведомление о подозрительном входе в почте. Для защиты вашего аккаунта, при входе с нового устройства, система в обязательном порядке потребует код доступа по Email/SMS.

3. Человеческий уровень:

И самый последний уровень безопасности реализован именно на уровне обслуживания сервиса со стороны администраторов системы. На этом уровне мы реализовали:

- Контроль изменений. Любое вмешательство в систему клиента возможно только через заявку через личный кабинет клиента. Без данной заявки любые изменения будут считаться «исключительным» случаем и «нарушением» трудового договора.

- Персональная ответственность по каждому клиенту за сотрудниками компании. Ответственность за клиентов закреплена приказами и прописана в трудовом договоре. 

- Тренинги по основам кибербезопасности:  как сохранить пароли, как защитить свой рабочий и личный компьютер и т.д.  Утверждена карта рисков и инструкции по администрированию системы. Каждый сотрудник в компании теперь четко знает свою зону ответственности и зону ответственности другого сотрудника.