GoldenLine
Zaloguj się
Rafał Łożyński

Rafał Łożyński Dyrektor Generalny
(CEO), Varico W
biznesie warto na
nas ...

Temat: Jak DOBRZE rozwiązać problem przyjmowania i przetwarzania...

Problem, który opiszę częściowo mamy już rozwiązany, ale ... tylko częściowo. Na pewno można to zrobić lepiej. Szukam firm/osób, które dobrze i nie ukrywam tanio rozwiązały podobne zagadnienie.

Jesteśmy producentem oprogramowania (dla MSP) i nasi klienci przysyłają nam archiwa. W archiwach są dane poufne/tajne np. listy firm, pracowników, adresy, notatki etc. Dane te muszą pozostać tajne i być po przetworzeniu usunięte. Przetworzenie polega na analizie tych danych czyli z reguły na:
* wczytaniu danych z archiwum (spakowane pliki) do programu (często na lokalnym dysku pracownika),
* analizie tych danych,
* przekazaniu ich innemu pracownikowi (np. programiście),
* dalszej analizie,
* usunięciu problemu,
* sprawdzeniu czy na tych danych problem dalej występuje i na koniec na
* usunięciu tych danych.
Dla utrudnienia dodam, że firma ma 3 miejsca lokalizacji/biura czyli rozwiązanie musi być oparte na Internecie. Mamy niezbędną infrastrukturę (łącza, serwery etc.).

Jak bezpiecznie odbierać te dane/archiwa od klientów?
W jaki sposób udostępniać dane pracownikom aby mieć kontrolę nad ich dystrybucją?
Jak kontrolować proces przekazywania danych i ich późniejszego usuwania z sieciowych/lokalnych dysków?

Będę wdzięczny za wszelkie sugestie czy odnośniki do innych stron.

PS.
Celowo nie opisałem jak to dzisiaj robimy. Nie jest to istotne ponieważ nie jesteśmy z tej formy do końca zadowoleni, chcemy ją zmienić i nie chciałbym też sugerować rozwiązań.
Link do wypowiedziLink

konto usunięte

Temat: Jak DOBRZE rozwiązać problem przyjmowania i przetwarzania...

1) Transfer przez sieć: VPN lub szyfrowany dysk (TrueCrypt).
2) Po odbiorze (na szyfrowany dysk) hashowanie danych krytycznych dla prywatności/identyfikacji klienta (pesel, nip, imie, nazwisko itd, nr klienta).
3) Przekazanie danych do analizy
4) Poprawka danych
5) przekazanie do odkodowania
6) odkodowanie (unhash - na podstawie poprawionych danych i tych oryginalnych)
7) przeslanie wyniku (VPN lub dysk szyfrowany)

Taki przepis zapewnia:
- bezpieczny transfer
- mozliwosc udostepnienia danych dowolnemu programiscie

Nie zapewnia:
- mozliwosci poprawiania dowolnych danych

Rozwiazanie oczywiscie jest bardzo ogolne, ale cos podobnego gdzies widzialem...
Link do wypowiedziLink
Marcin Stelmaszczyk

Marcin Stelmaszczyk em studio

Temat: Jak DOBRZE rozwiązać problem przyjmowania i przetwarzania...

Do punktu 1 i 7 dodalbym jeszcze jako ewentualnosc przesylanie po scp (transfer z uzyciem ssh).
Link do wypowiedziLink
Rafał Łożyński

Rafał Łożyński Dyrektor Generalny
(CEO), Varico W
biznesie warto na
nas ...

Temat: Jak DOBRZE rozwiązać problem przyjmowania i przetwarzania...

Bardzo ciekawe rady - dzięki wielkie!

Zapiszę tak jak zrozumiałem ten proces:
1. Klient umieszcza swoje archiwum na dysku sieciowym np. z poziomu przeglądarki z użyciem SSL.
2. Hashowania danych niestety nie bardzo można zrobić bo klient często powołuje się na szczegóły np. w firma X i przy pracowniku Y jest to do sprawdzenia. Jak zaszyfrujemy to nie dojdziemy która to firma i pracownik.
3. Jak "wydawać" z tego dysku pracownikom te dane do analizy? Zapisywać w logu, że wydano?
4. Jak kontrolować usunięcie danych z dysków lokalnych?
Link do wypowiedziLink
Michał K.

Michał K. Specjalista ds.
bezpieczeństwa
informatycznego

Temat: Jak DOBRZE rozwiązać problem przyjmowania i przetwarzania...

Pani Rafale te dane to chyba tajne nie są, co najwyżej jest to tajemnica przedsiębiorstwa lub dane osobowe.

A może pracownicy firmy nie ściągali by danych na swoje dyski lokalne tylko pracowali zdalnie na serwerze firmowym?
Link do wypowiedziLink
Rafał Łożyński

Rafał Łożyński Dyrektor Generalny
(CEO), Varico W
biznesie warto na
nas ...

Temat: Jak DOBRZE rozwiązać problem przyjmowania i przetwarzania...

Nie są tajne w rozumieniu ABW oczywiście :-) My mamy określenia: tajne (ograniczona grupa osób), poufne (wszyscy pracownicy), publiczne (ktokolwiek z zewnątrz firmy).

Praca na serwerze wymaga jednak dostępności wszystkich możliwych wersji programów np. serwisowych, specjalnych etc. co może znacznie nam utrudniać pracę. Na lokalnym dysku po prostu instaluje się to co jest potrzebne.
Link do wypowiedziLink

konto usunięte

Temat: Jak DOBRZE rozwiązać problem przyjmowania i przetwarzania...

[author]Rafał
Link do wypowiedziLink
Michał K.

Michał K. Specjalista ds.
bezpieczeństwa
informatycznego

Temat: Jak DOBRZE rozwiązać problem przyjmowania i przetwarzania...

Poza tym w tym wypadku trzeba się zastanowić nad "ogłupieniem" stacji programisty - np.:

- brak USB (lub przynajmniej dostępu do zapisu na dysk USB)
- brak możliwości zmiany w rejestrze
- brak dostępu do Internetu
- brak FDD lub FDD szyfrowane (po wyniesieniu dyskietki jest bezużyteczna) - to samo z USB
- oczywiście brak nagrywarki CD/DVD
- itd.

Wystarczy zainstalować odpowiedni program do nadzoru i blokowania/ograniczanie dostępu do FDD, USB czy innych portów.
Link do wypowiedziLink
Tomasz Poradowski

Tomasz Poradowski Specjalista od
wytwarzania
oprogramowania

Temat: Jak DOBRZE rozwiązać problem przyjmowania i przetwarzania...

Do powyższych można by ew. dodać wąską grupę osób stanowiących swego rodzaju "wsparcie 2-go poziomu", która miałaby dostęp do tych danych i mogłaby przeanalizować problem - a następnie przekazać programistom sposób jego odtworzenia (lub niezbędny fragment danych klienta).
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj