Ogólne zasady bezpieczeństwa
Transkrypt
Ogólne zasady bezpieczeństwa
Concordia Ubezpieczenia dokłada wszelkich starań, aby System Obsługi Sprzedaży „Rubinet” oraz przechowywane dane były w pełni bezpieczne. Niniejszy dokument stanowi zbiór informacji i wskazówek dotyczących bezpieczeństwa Systemu Rubinet. Spis treści 1. Bezpieczeństwo systemu Rubinet .......................................................................................... 1 2. Zabezpieczenie konta Użytkownika danych.......................................................................... 3 3. Jak bezpiecznie korzystać z systemu Rubinet ....................................................................... 4 Bezpieczeństwo systemu Rubinet 1. System szyfrowania transmisji danych Twoje hasło i login przekazywane są do Systemu Obsługi Sprzedaży - Rubinet przez internet w formie zaszyfrowanej, przy użyciu protokołu SSL ze 128 bitowym kluczem szyfrującym. System Rubinet wspiera tylko przeglądarki, które obsługują ten protokół szyfrujący, dzięki czemu jest w stanie przeprowadzić zabezpieczoną transmisję danych, co daje całkowitą gwarancję tajności informacji wymienianych z Systemem Rubinet - dotyczy to wszystkich działań w serwisie. 2. Certyfikat Szyfrowanie połączenia z Systemu Obsługi Sprzedaży - Rubinet protokołem SSL gwarantuje pełne bezpieczeństwo danych wymienianych między Systemem a Użytkownikiem, pod warunkiem, że Użytkownik rzeczywiście połączył się z Systemem Rubinet. Istnieje możliwość, że osoba niepowołana spróbuje podszyć się pod prawidłowy serwis www (np. rubinet.pl). Jest to mało prawdopodobne i trudne do przeprowadzenia, ale nie można wykluczyć takiej próby, dlatego najbezpieczniej samodzielnie sprawdzić prawidłowość szyfrowanego połączenia z Systemem Rubinet przy każdym połączeniu z Systemem. Certyfikat SSL systemu Rubinet wystawiony Powszechne Centrum Certyfikacji CERTUM. przez Zasady bezpieczeństwa Strona 1 z 5 Dane o certyfikacie SSL dostępne są w przeglądarce Internet Explorer z rozwijalnego menu „Plik” opcja „Właściwości” (Odpowiednio „File” i „Properties” w anglojęzycznych wersjach przeglądarki). Po wybraniu przycisku „Certyfikaty” należy sprawdzić następujące pozycje: 'Ogólne' (ang. 'General') 'Szczegóły' (ang. 'Details') W zakładce ze szczegółami należy zwrócić uwagę na pole - odcisk palca („Details”, „Thumbprint”). Dla Systemu Rubinet pole to powinno mieć wartość: E9 81 F0 DF 1A C1 3C 17 B8 10 B0 D7 74 31 A2 3A A9 22 2F D5 Użytkownicy, którzy pracują na systemach operacyjnych Windows i korzystają z usług Systemu Rubinet, powinni się upewnić, że mają wgrane wszystkie aktualizacje do systemu, które zabezpieczają przed nieprawidłową identyfikacją strony. Do danych certyfikatu można dotrzeć także klikając dwukrotnie na ikonę połączenia szyfrowanego (żółtą kłódkę), która pojawia się na pasku stanu przeglądarki. Informacje na temat aktualizacji do oprogramowania Windows znajdziesz na stronie: http://technet.microsoft.com/en-us/security/bulletin 3. Nowoczesne Data Center Serwery Systemu Rubinet znajdują się w jednym z najnowocześniejszych Data Center w Polsce, które spełnia najwyższe standardy techniczne i środowiskowe w zakresie bezpieczeństwa organizacyjnego, zasilania, klimatyzacji i łącz telekomunikacyjnych. Potwierdzone zewnętrznymi certyfikatami i audytami. 4. Cookies Po pomyślnej autoryzacji użytkownika w Systemie Rubinet, tworzone jest COOKIE przechowujące identyfikator sesji: (JSESSIONID, przykładowa wartość: 5B8152A6382154772CD9C62521E7B665). Jest to jedyne ciasteczko generowane przez system. W szczególności, nie zawiera ono hasła Użytkownika ani Jego loginu. Ciasteczko wygasa po zakończeniu sesji. Zasady bezpieczeństwa Strona 2 z 5 Zabezpieczenie konta Użytkownika i danych 1. Identyfikatory i hasła Wykonanie dowolnej operacji wymaga zalogowania się do Systemu. Każdy Użytkownik posiada następujące dane: login - niepowtarzalny identyfikator Użytkownika, hasło - hasło Użytkownika. Ze względów bezpieczeństwa hasło Użytkownika nie jest przechowywane w systemie (nie ma więc możliwości jego wykradzenia) - przechowywany jest tylko tzw. zaszyfrowany skrót hasła - hash. Utrata starego hasła powoduje konieczność uzyskania nowego. Hasło do systemu musi spełniać wymogi ustawy o ochronie danych osobowych. W szczególności powinno: - mieć minimum 8 znaków, - zawierać przynajmniej jedną małą i wielką literę alfabetu łacińskiego, - zawierać przynajmniej jedną cyfrę lub znak niealfabetyczny (np. !, $, #, %), - być zmieniane co 30 dni lub częściej. Dodatkowo nie może zawierać loginu Użytkownika ani jego części dłuższej niż dwa kolejne znaki. 2. Ustawa o ochronie danych osobowych System Rubinet spełnia wszystkie wymagania przedstawione w "Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) " na poziomie wysokim. Dotyczy to kwestii ochrony technicznej, kryptograficznej jak i polityki haseł. Concordia Polska jest administratorem danych osobowych przechowywanych w Systemie. 3. Bezpieczne uprawnienia Każdy Użytkownik Systemu Rubinet posiada zestaw indywidualnych uprawnień składających się na rolę. Uprawnienia te regulują w sposób precyzyjny poziom dostępu do elementów Systemu na poziomie Użytkownika jak i Organizacji. Zastosowanie takiego rozwiązania budowy uprawnień, w znaczny sposób wspomaga Administratorów Systemu w bezpiecznym zarządzaniu Użytkownikami Rubinetu oraz gwarantuje ochronę przed nieuprawnionym korzystaniem z elementów Systemu przez osoby trzecie. Zasady bezpieczeństwa Strona 3 z 5 Jak bezpiecznie korzystać z systemu Rubinet Nigdy nie udostępniaj osobom trzecim loginu ani hasła dostępu. Identyfikator (login) jest poufnym ciągiem znaków, który jest nadawany przez system, nie możesz go zmienić. 1. Przed zalogowaniem sprawdź, czy połączenie z systemem RUBINET jest szyfrowane. Adres witryny powinien rozpoczynać się od https://, a w dole ekranu przeglądarki www powinien pojawić się symbol zamkniętej kłódki (Rys. 1). Brak kłódki lub otwarta kłódka oznacza brak szyfrowania - Twoje dane są przesyłane przez Internet tekstem jawnym, co naraża Cię na niebezpieczeństwo podsłuchu transmisji. Rys. 1. Elementy „bezpiecznego” paska adresu przeglądarki Internet Explorer. 2. Sprawdzaj prawidłowość certyfikatu. Zanim wpiszesz identyfikator bądź login i hasło, sprawdź certyfikat witryny (kliknięcie w kłódkę). Sprawdź przede wszystkim datę ważności certyfikatu i dla kogo został wystawiony. Jeśli certyfikat utracił ważność lub nie można go zweryfikować – zrezygnuj z połączenia. 3. Po zalogowaniu do systemu RUBINET nie odchodź od komputera, a po zakończeniu pracy wyloguj się i zamknij przeglądarkę (długość sesji). 4. Jeżeli trzykrotnie pomylisz się przy wpisywaniu hasła, Twoje konto zostanie zablokowane na okres 5 minut. Blokada chroni Twoje konto przed niepożądanymi próbami wejścia osób trzecich. Jeżeli Twoje konto jest zablokowane, a nie podejmowałeś próby zalogowania – zgłoś to pilnie wysyłając e-mail na adres: [email protected] 5. Jeśli przy logowaniu pojawią się nietypowe komunikaty lub prośby o podanie danych osobowych lub dodatkowe pola z pytaniem o hasła do autoryzacji, natychmiast zgłoś problem do swojego Managera Wsparcia Sprzedaży lub w systemie RUBINET w zakładce Pomoc. Zasady bezpieczeństwa Strona 4 z 5 6. Zaleca się okresowe wykonanie skanowania komputera, w szczególności przed wejściem na stronę internetową systemu i wykonaniem jakiejkolwiek transakcji. 7. Nigdy nie używaj wyszukiwarek internetowych do znalezienia strony logowania systemu RUBINET. Wyszukane w nich linki mogą prowadzić do fałszywych stron lub stron zawierających wirusy. 8. Nie zapisuj nigdzie haseł służących do logowania i pamiętaj o ich regularnej zmianie. Jeśli system nie zmusza Cię do zmiany hasła - zmieniaj je samodzielnie przynajmniej raz w miesiącu. 9. Korzystaj z adresu pomocy udostępnionego przez Concordia Ubezpieczenia. Zawsze możesz skorzystać z pomocy, jeśli masz wątpliwości w zakresie bezpiecznych transakcji zakupu ubezpieczenia - wykonywanych za pośrednictwem Internetu. 10. Komputer podłączony do Internetu musi mieć antywirusowy i musi on być na bieżąco aktualizowany. zainstalowany program Niezbędna jest również aktywacja istotnych modułów w pakiecie ochronnym takich jak monitor antywirusowy, skaner poczty czy firewall. Nie należy wyłączać wspomnianych modułów w celu redukcji obciążenia systemu. 11. Aktualizuj system operacyjny i istotne dla jego funkcjonowania aplikacje np. przeglądarki internetowe. Hakerzy stale szukają luk w oprogramowaniu, które są następnie wykorzystywane do przestępstw internetowych. Producenci systemów operacyjnych i aplikacji publikują stosowne „łaty”, których celem jest usuwanie podatności ich produktów na ataki przeprowadzane za pośrednictwem znalezionych luk. PAMIĘTAJ Nawet najlepsze zabezpieczenia nie pomogą, jeżeli nie będziesz chronić swojego indywidualnego identyfikatora (loginu) i hasła przed osobami trzecimi. Zawsze stosuj się do zaleceń przedstawionych w niniejszym dokumencie. Dyr. Biura Infrastruktury IT Marcin Kmetko Zasady bezpieczeństwa Strona 5 z 5