Содержание статьи
В данной статье мы расскажем, как организована надежная система хранения паролей в нашей компании на примере одного подразделения – отдела маркетинга.
Прежде чем начать описание, хотелось бы отметить высокую важность безопасности хранения логинов и паролей как для отдельно взятого человека, так и для компании в целом. Нарушение безопасности при хранении и создании паролей может привести к взлому и потере конфиденциальных данных, которые влекут за собой финансовый и репутационный ущербы.
Сначала обозначим основные простые правила создания и хранения паролей, соблюдение которых минимизирует риски взлома.
Самые распространенные варианты хранения паролей пользователями, к сожалению, являются не безопасными. Как обычно хранят большинство пользователей свои пароли:
Одним из безопасных способов хранения паролей являются менеджеры паролей. Это специализированные программы и сервисы, которые позволяют генерировать, структурировать и хранить пароли. Таких сервисов много, отличаются они возможностями, интерфейсом, ценой, удобством, дополнительными опциями.
Доверять первому попавшемуся ПО не стоит. Использовать нужно те сервисы, которые уже заслужили доверие пользователей и имеют хорошую отзывную оценку.
Далее мы расскажем об одном из таких сервисов.
Итак, что имеем. В отделе маркетинга нашей компании имеется большое количество доступов в виде логинов и паролей к ресурсам (личные кабинеты, сайты, сервисы), необходимым для работы сотрудников отдела маркетинга. Общее количество ресурсов, логины и пароли, к которым необходимо безопасно хранить и структурировать, достигает порядка 80-ти. При этом пароли и доступы принадлежат нескольким юридическим лицам группы компаний и все ресурсы компании делятся в зависимости от принадлежности к данным юр. лицам.
Ранее пароли сотрудники подразделения хранили в файле Excel без шифрования, что безусловно, было не безопасно.
Задача – организовать удобное, простое и безопасное хранение паролей для предотвращения несанкционированного доступа к ним.
Для организации системы хранения паролей был выбран надежный и удобный сервис.
Перед началом переноса всех доступов в облачный сервис, была разработана простая система правил структурирования всех доступов. Это необходимо для того, чтобы в дальнейшем было просто и быстро искать необходимые пароли в сервисе всем сотрудникам подразделения.
Все доступы были разбиты по юридическим лицам ГК «Визард» и каждому юр. лицу для удобства понимания и поиска были присвоены префиксы, означающие принадлежность. Вот эти префиксы.
Все ресурсы отдела маркетинга были разбиты на несколько типов:
Соответственно каждому вышеописанному ресурсу для удобства понимания и поиска был присвоен префикс
Присвоение уже наименования каждому доступу строилось по следующему правилу:
Префикс юр. лица + префикс типа ресурса + Наименование самого ресурса
Если ресурс не имел наименования, а был только ссылкой, наименование присваивается по логике и основному назначению данного ресурса.
Примеры присвоения наименования некоторым доступам для понимания на скрине ниже. Например, wc service unisender – это рекламный сервис, принадлежащий компании Визард-С, название его unisender. Сотрудники отдела маркетинга сразу понимают, что это за ресурс.
Давайте посмотрим на интерфейс системы хранения паролей после внесения всех данных, закрасив конфиденциальные данные. Справа указаны логины и ссылки на каждый ресурс.
Все доступы разбиты по папкам юр. лиц (слева), каждому доступу присвоено наименование, удобное для поиска.
Через поисковое поле можно начать искать нужный доступ, например, нам необходимы все доступы ко всем сайтам компании. Забиваем в поиске префикс site и далее выбираем нужный ресурс и нужный доступ.
Процесс добавления нового пароля максимально прост и удобен, он показан на скрине ниже.
Теги – это отметки, которые могут использоваться как параметр дополнительного поиска, некая логическая отметка.
Максимально удобно копирование пароля и логина в данном сервисе. Ниже на скрине, например, мы нашли тот доступ, который нам нужен через поиск, кликнули по нему и можем, нажав значок копировать, быстро скопировать логин и пароль, а также перейти по ссылке.
Храните пароли безопасно. Чтобы узнать, каким сервисом мы пользуемся, подпишитесь на наш телеграм-канал: https://t.me/wizardtver
Настоящим Согласием, во исполнение требований законодательства Российской Федерации о персональных данных (Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» с изменениями и дополнениями) я, далее «Субъект Персональных данных», свободно, своей волей и в своем интересе даю свое согласие ООО «Визард-С» (ОГРН 1046900002874, место нахождения: 170006, Тверская обл, Тверь г, Учительская ул, дом № 59 оф. 110) (далее по тексту – Общество) на обработку (включая получение от меня и/или от любых третьих лиц, с учетом требований действующего законодательства Российской Федерации) моих персональных данных.
Под персональными данными я понимаю любую информацию, относящуюся ко мне как к субъекту персональных данных, в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, фото, паспортные данные, адрес фактического проживания и регистрации, место работы, должность, контактные данные (номер телефона, электронной почты).
Под обработкой персональных данных я понимаю совершение действий, предусмотренных пунктом 3 статьи 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", в том числе действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (в том числе распространение, предоставление, доступ), уничтожение персональных данных и т.д.
А также иной информации, которую я как пользователь сайта Общества предоставляю самостоятельно по собственному усмотрению путем заполнения соответствующих форм на сайте Общества.
Дополнительно Обществу могут стать доступны иные мои данные, которые автоматически передаются Обществу при использовании Сайта, а именно: сведения о местоположении; IP-адрес, тип и версия ОС; тип и версия браузера; тип устройства и разрешение его экрана; язык ОС и браузера; информация, сохраненная в файлах «cookies».
Передача Обществом моих персональных данных осуществляется в государственные органы и учреждения в предусмотренных законодательством РФ случаях.
Настоящее Согласие может быть отозвано посредством заявления в произвольной форме от меня или по требованию моего законного представителя либо уполномоченного органа по защите прав субъектов персональных данных в установленных законом случаях.
В случае отзыва Согласия, за исключением случаев обработки персональных данных в соответствии с законодательством РФ, Общество прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий десяти рабочих дней от даты поступления отзыва.
Фактом использования мною сайта Общества (в любой форме, включая нажатие мною кнопки -Отправить, Подписаться, Заказать, Сохранить, Зарегистрироваться, Отправить резюме), я выражает свое согласие с настоящим Согласием и всеми его условиями, а само осуществление мною таких действий признается обеими сторонами безусловным выражением моей воли на осуществление Обществом вышеуказанных действий с моими персональными данными.
Настоящая Политика конфиденциальности персональных данных (далее – Политика
конфиденциальности) действует в отношении всей информации, которую ООО «Визард-С»
(ОГРН 1046900002874, место нахождения: 170006, Тверская обл., Тверь г, Учительская ул,
дом № 59 оф. 110) (далее по тексту – Общество), расположенный на доменном имени
wizard-c.ru, может получить о Пользователе во время использования им сайта Общества.
1. ОПРЕДЕЛЕНИЕ ТЕРМИНОВ
1.1. В настоящей Политике конфиденциальности используются следующие термины:2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Использование Пользователем сайта Общества означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.3. ПРЕДМЕТ ПОЛИТИКИ КОНФИДЕНЦИАЛЬНОСТИ
3.1. Настоящая Политика конфиденциальности устанавливает обязательства Администрации сайта по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет по запросу Администрации сайта при регистрации на сайте Общества или при оформлении заказа для приобретения Товара или заказа оказания Услуг.4. ЦЕЛИ СБОРА ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ ПОЛЬЗОВАТЕЛЯ
4.1. Персональные данные Пользователя Администрация сайта может использовать в целях:5. СПОСОБЫ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ
5.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.6. ОБЯЗАТЕЛЬСТВА СТОРОН
6.1. Пользователь обязан:7. ОТВЕТСТВЕННОСТЬ СТОРОН
7.1. Администрация сайта, не исполнившая свои обязательства, несёт ответственность за убытки, понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п.п. 5.2., 5.3. и 7.2. настоящей Политики Конфиденциальности.8. РАЗРЕШЕНИЕ СПОРОВ
8.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем сайта Общества и Администрацией сайта, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).9. ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ
9.1. Администрация сайта вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.