Изменения

Перейти к навигации Перейти к поиску

Безопасность в Nemo.Travel

1312 байт добавлено, 14:25, 28 октября 2022
Защита персональных данных
В системе бронирования {{NameSystemNameSystemLink}} используются общепринятые механизмы безопасного хранения, передачи и использования данных.
== Аутентификация и авторизация ==
Аутентификация только по логину и паролю недостаточно безопасна, так как злоумышленник может получить ваш логин и пароль от вас напрямую, например, через [https://ru.wikipedia.org/wiki/%D0%A4%D0%B8%D1%88%D0%B8%D0%BD%D0%B3 фишинг].
При получении электронных писем, от неизвестных вам отправителей проверяйте адреса в ссылкахссылок, указанных в нихтексте письма. Не вводите ваш логин и пароль в формы на подозрительных сайтах, даже если они выглядят как сайты, привязанные к {{NameSystem}}.
Для обеспечения дополнительной защиты в нашей системе была добавлена возможность проводить двухэтапную аутентификацию для ваших сотрудников:
Для включения двухэтапной аутентификации нужно:
# Включить функциональность в разделе настроек '''Управление сайтом → Домены и протоколы''' пользователям с определенными правами. <br> Настройте параметр '''Использовать дополнительную защиту при авторизации для''':#* ''Администраторов''#* ''Менеджеров агентства''#* ''Экспертов агентства''#* ''Менеджеров компаний''#* ''Экспертов компаний''#* Пользователей агентства''#* ''Пользователей компаний''
# При последующем входе в систему этим пользователям будет предложено подтвердить адрес своей электронной почты или номер мобильного телефона через отправку одноразового кода. Данный шаг можно пропустить 5 раз, далее вход в систему будет невозможен без подтверждения указанных выше данных.
# В дальнейшем при входе с нового устройства (браузера) или IP-адреса необходимо будет пройти процедуру верификации, введя код, отправленный при этом на номер телефона или адрес электронной почты
Самостоятельно поменять ранее подтвержденный адрес электронной почты или телефон, возможно только после входа в личный кабинет. При изменении этих данных необходимо будет верифицировать номер телефона или адрес электронной почты повторно. {{Attention|Для подтверждения входа по SMS необходимо иметь подключенный модуль [[СМС_Трафик|SMS Traffic]].|}}
=== Ограничения для аккаунтов сотрудников {{NameSystem}} ===
Система {{NameSystem}} полноценно поддерживает работу веб-сайтов с использованием протокола HTTPS. Этот протокол обеспечивает безопасную передачу данных по открытым каналам связи, используя механизмы асимметричного шифрования. Для корректной работы по этому протоколу вы должны приобрести SSL-сертификат для домена вашего веб-сайта и передать его нашим системным администраторам.
Строго рекомендуется вводить персональные данные покупателей для оформления заказов или логин и пароль для прохождения аутентификации только по ссылкам , открытым по HTTPS протоколу.
=== Авторизация ===
Пользователь по собственному желанию может полностью удалить свой аккаунт из системы, после чего все его персональные данные и данные его профилей будет удалены из системы без возможности восстановления.
 
Ознакомиться с политикой компании в отношении обработки персональных данных можно на странице [[Политика компании в отношении обработки персональных данных]].
== Защита данных о заказах ==
# Авторизоваться в системе (если заказ был сделан авторизованным пользователем)
# Введя Ввести уникальный код доступа (обычно код отправляется на адрес электронной почты, указанный при бронировании)
# Вход через форму с указанием номера заказа и фамилии первого пассажира
# По секретной ссылке из QR-кода на маршрут-квитанции (если QR-код предусмотрен шаблоном документа)
Ограничены переходы по ссылкам (или автоматические перенаправления) со сторонних сайтов на страницы административной панели {{NameSystem}} или на страницы, выполняющие операции с заказами.
В этом случае предварительно у пользователя будет предварительно запрошено подтверждение о переходе. 
=== Проверка по IP ===
Важные запросы от сторонних сервисов, например, от платежных шлюзов, проверяются на допустимость IP-адреса отправителя по "белому списку". Таким образом запрос практически невозможно подделать злоумышленникам .
Важные запросы от API пользователей, например, на выписку билетов, также проверяются по допустимым IP-адресам.
 
=== Блокировки по IP ===
В системе предусмотрены механизмы как ручной, так и автоматической блокировки злоумышленников по IP-адресу
Обо всех критических программных ошибках и подозрительных действиях (которые могут трактоваться как попытка взлома) сотрудники {{NameSystem}} автоматически получают уведомления по электронной почте или на телефон 24x7.
 
==См. также==
*[[Авторизованный пользователь]]
*[[Права доступа]]
*[[Менеджер агентства]]
*[[Пользователь]]
*[[Защищенное соединение]]
*[[Сертификат SSL]]
*[[Протокол]]
144
правки

Навигация

'