19. november 2012 - 21:46Der er
6 kommentarer og 1 løsning
Sikkerhed for integritet.
Hej eksperter
Er ved at lægge en sidste finger på en mindre opdatering af vores CMS system så vi fremover kan generere fakturaer i dette.
Spørgsmålet er nu. Iflg. dansk lovgivning "Må en faktura ikke kunne ændres, når denne er oprettet". Hvordan i alverden skal det forstås??? ALT KAN ÆNDRES.!! Men er betydningen at brugere af systemet ikke må kunne rette i en faktura?
Jeg kan ikke se hvordan det skulle være muligt at spærre 100% for muligheden for at ændre i databasen / ændre en PDF fil eller lign.
Der laves naturligvis log filer, faktura nr. tabel m.v. for at kunne tracke ændringer i systemet.
Desuden opbygges koden således, at der i "systemet" (Læs CMS systemet) ikke kan ændres i denne type data!
Som du selv siger kan alt i princippet ændres. Du skal derfor sørge for at der er oprettet kompenserende kontroller, for at der ikke uretmæssigt kan foretages ændringer. Ligeledes er det vigtigt at du, som du også selv skriver du, har audit trail på eventuelle ændringer i systemet.
Så væk med standardbrugere og standardpassword. Log på alle ændringer og adgange. Backup. Regelmæssig skift af password. Segregation of duties såfremt i er flere der har skriveadgang til systemet (samme person må ikke have adgang til både produktionsdata og backup) osv.
Foerste niveau af sikkerhed er at applikationen ikke giver mulighed for at rette i data.
Naeste niveau af sikkerhed er at: - driftsfolk har adgang til produktions data men ikke kan rette dem til valide data p.g.a. at de ikke kender diverse krypterings/checksum algoritmer/keys - udviklerne kender diverse krypterings/checksum algoritmer/keys men har ikke adgang til produktions data
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
