Bezpieczeństwo danych w systemie ERP

Bezpieczeństwo danych w systemie ERP powinno być zgodne z polityką bezpieczeństwa obowiązującą w całej infrastrukturze IT firmy. Na wstępie warto zatem przeanalizować, czy nowy element w postaci systemu ERP spełnia wymagania naszej firmy. W systemie klasy ERP przechowywane i przetwarzane są dane z wielu kluczowych dla firmy obszarów, zatem ich zmiana lub utrata może się wiązać z poważnymi konsekwencjami.

Podstawowe aspekty, na które warto zwrócić uwagę, to:

  1. Polityka nadawania uprawnień do danych

Każdy z użytkowników powinien mieć dostęp i korzystać jedynie z tych funkcjonalności i danych, które są mu niezbędne, do codziennej pracy. Istotną kwestią jest możliwość samodzielnego nadawania uprawnień przez administratora wewnątrz firmy.

Dostęp do zasobów powinien następować po:

  • identyfikacji,
  • uwierzytelnieniu,
  • dwustopniowej autoryzacji.

System powinien wymuszać regularną zmianę haseł użytkowników oraz zezwalać na kombinacje, pomagające podnieść bezpieczeństwo (o odpowiedniej długości i użyciu zróżnicowanych znaków).

  1. Zgodność z rozporządzeniem o ochronie danych osobowych (GDPR)

Rozporządzenie określa wiele obowiązków z zakresu ochrony danych, które są narzucone na działy IT firm, nie omija to także danych przechowywanych w systemie ERP. System musi mieć jasno określone obszary, w których przetwarza i przechowuje dane osobowe. Każda ich modyfikacja powinna być zapisana wraz z datą i informacją o osobie dokonującej zmiany.

  1. Sposób zabezpieczenia danych

Warto sprawdzić sposób identyfikacji, autentyfikacji i autoryzacji u użytkowników systemu. Kluczową kwestią jest używanie przez system certyfikowanych technologii zabezpieczania i przechowywania danych, oraz szyfrowania przesyłanych danych. Istotny jest także poziom stosowanych zabezpieczeń w bazach danych i przy tworzeniu ich kopii zapasowych.

  1. Doświadczenie zespołu wdrażającego system

Istotna jest tu świadomość, że to ludzie przygotowują system do funkcjonowania w środowisku IT danej firmy. Zatem to oni ostatecznie odpowiadają za to, czy mechanizmy bezpieczeństwa oferowane przez system zostaną uruchomione poprawnie i będą działały podczas użytkowania oprogramowania.

Pytania związane z bezpieczeństwem systemu, są jednymi z pierwszych, jakie zadają nam firmy rozważające wdrożenie systemu ERP od Microsoft.

Jakie zatem zabezpieczenia oferowane są wraz z MS Dynamics 365 Business Central?

  1. Uwierzytelnianie użytkownika odbywa się na kilka sposobów, takich jak na przykład za pośrednictwem konta Windows (Active Directory) czy konta Microsoft 365 (Azure Active Directory). Zarówno do usług stacjonarnych, jak i online można zastosować uwierzytelnienie wieloskładnikowe. Po uwierzytelnieniu następuje sprawdzenie, czy użytkownik jest autoryzowany do zasobów, do których próbuje uzyskać dostęp – takich jak raporty, dokumenty czy zasoby sieciowe. Autoryzacja może dotyczyć nie tylko możliwości odczytu, ale także np. możliwości edycji tylko wybranych rekordów, czy pojedynczych elementów raportu.

W przypadku dostępu do usług internetowych (REST API, SOAP, OData) Business Central wymagane jest natomiast uwierzytelnianie OAuth.

  1. Dane należące do jednej dzierżawy są przechowywane w izolowanej bazie danych i nigdy nie są mieszane z danymi innych dzierżawców. Zapewnia to całkowitą separację danych w codziennym użytkowaniu, a także w scenariuszach tworzenia kopii zapasowych i ich przywracania. Ponadto, w przypadku Business Central Online, dane przechowywane są w postaci zaszyfrowanej, przy użyciu przezroczystego szyfrowania danych (TDE), kopie zapasowe są tak samo zabezpieczone. Cały ruch sieciowy wewnątrz usługi jest szyfrowany, przy użyciu certyfikatów SSL. Dane Business Central można szyfrować, generując nowe lub importując istniejące klucze szyfrowania, jest to ustawienie które można włączyć w konfiguracji instancji serwera Business Central, który łączy się z bazą danych.
  2. Cykl rozwoju zabezpieczeń (SDL) firmy Microsoft to proces tworzenia oprogramowania, który pomaga deweloperom tworzyć bezpieczniejsze oprogramowanie i spełniać wymagania dotyczące zgodności z zabezpieczeniami. Autoryzowani partnerzy muszą przejść wymagane szkolenia, potwierdzone zdanym egzaminem z zakresu bezpieczeństwa danych. Uruchamianie, dostosowywanie i wprowadzania późniejszych zmian w wymaganych przez Microsoft standardach zabezpieczeń dedykowanych dla systemu Business Central odbywa się zawsze przy wieloetapowej kontroli zabezpieczeń po stronie zespołu wdrożeniowego, jak i po stronie Microsoft.

Opublikowano
arrow_back Poprzedni
apps Zobacz pozostałe