Sikkerhet i Pindena Påmeldingssystem

Like dokumenter
Sikkerhet i Pindena Påmeldingssystem

Sikkerhet i Pindena Påmeldingssystem

Databehandleravtale. mellom. [KUNDE] Behandlingsansvarlig [ORGNUMMER KUNDE] Pindena AS Databehandler

Erlend Oftedal. Risiko og sikkerhet i IKT-systemer, Tekna

Eksamen i Internetteknologi Fagkode: IVA1379

Huldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse

Sikkerhet og internett. Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet

GENERELL BRUKERVEILEDNING WEBLINE

Eksamen i Internetteknologi Fagkode: ITE1526

Til IT-ansvarlige på skolen

Effektiv Systemadministrasjon

Produktdokumentasjon. Madison Møbler Administrasjonsside og Nettbutikk

Sikkerhet og internett

Agenda. Data og grenser Kontekster XSS XSS og kompliserende kontekster Injection attacks Beskyttelse OWASP

Eksamen i Internetteknologi Fagkode: ITE1526

Oblig 5 Webutvikling. Av Thomas Gitlevaag

NATRE Ekspress BRUKERMANUAL

kpmg KPMG Kundeportal Brukerveiledning

Problem med innlogging til Sauekontrollen Web?

Brukerveiledning Webline Portal for E-post Bedrift/E-post Basis

4.1. Kravspesifikasjon

Brukerdokumentasjon for Installatør i bruk av. Elektronisk behandling av rettemeldinger

Pålogging. Hovedsiden på Bilde 1

Småteknisk Cantor Controller installasjon

[GILJE SELSKAPSLOKALER]

[GILJE SELSKAPSLOKALER]

Innsending av timelister. Timeliste. Innsending

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI

PRODUKTBESKRIVELSE. NRDB Internett

KRAVSPESIFIKASJON. Gruppe 2. Hovedprosjekt, Høgskolen i Oslo og Akershus. Våren 2014 KRAVSPESIFIKASJON 1

Google Chrome. Microsoft Edge. Mozilla Firefox. Internet Explorer. Opera. Safari

To-faktor autentisering i Bane NOR

DOKUMENTASJON E-post oppsett

Sikkerhet og tilgangskontroll i RDBMS-er

PERSONVERN ERKLÆRI NG ROYSW EBDESI GN.NO

Mamut Open Services. Mamut Kunnskapsserie. Kom i gang med Mamut Online Survey

User Input / Output Handling. Innocent Code kap 3-4 INF-329 Øystein Lervik Larsen oysteinl@ii.uib.no 7/11-05

Kjøre Wordpress på OSX

KRAVSPESIFIKASJON FORORD

Opus Dental 7.1 Oppdateringsveiledning

Kravspesifikasjon ELEKTRONISK BESØKSREGISTER FOR NC-SPECTRUM ANDREAS STENSRUD S JOAKIM F. MØLLER EMIL R. NEDREGÅRD

MRS Medisinske Registreringssystem Helse Midt-Norge. Mats B. Pettersen, Monica Ramberg Trondheim 9. oktober 2007

Opus Dental 7.1 Oppdateingsveiledning

Brukerveiledning LagerMester ios

minfagplan.no Brukerveiledning - Beskrivelse av SMS funksjonalitet for brukere av minfagplan.no Dokumentnummer: BV-001 Revisjon Dato:

Kom i gang med E-Site - Med E-Site er det enkelt og trygt å redigere dine websider

Brukermanual for drift og installasjon av Pasienttransport, elektronisk rekvisisjon for. ProMed. for Windows. Kundeoppfølging og Administrasjon

Community Administrator

Om informasjonskapsler (cookies) på nettsidene til Stendi

Import av klientfiler er kun mulig fra Akelius Årsavslutning, Akelius Skatt og Akelius Revisjon.

BRUKERHÅNDBOK FOR NETTVERKET

Personvern og sikkerhet

I denne veiledningen skal vi gå igjennom de forskjellige funksjonene som. For å gå til abonnementet ditt klikker du på den blå fanen "Abonnement":

Avvik samhandling. Innhold. veiledning til bedrifter som inviteres inn i et prosjekt

BRUKERVEILEDNING MS-MRS 2.0

Brukerveiledning for nedlastning og installasjon av Office Av Roar Nubdal, fagprøve IKT-servicefag, juni 2014

Installasjon. administrasjon. registreringsapplikasjon. for. svangerskapsavbrudd. utviklet av. Medisinsk fødselsregister

BRUKSANVISNING FOR MOBILSKOLE

Bilag 3: Beskrivelse av det som skal driftes

ErgoGroup AS eway Nydalsveien 28 Postboks 4364 Nydalen 0402 Oslo Tlf.: Faks:

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

God IT-skikk. - Informasjonssikkerhet i Norsvin -

Retningslinjer for børsmeldinger via Internett

Funksjonskravene er delt opp i to deler, krav til spillsekvens og generelle funksjonskrav.

RFID AutoLogOff - et studentprosjekt

Bruker- dokumentasjon. for. Norsk Kompetanseregister

Community Administrator

PRODUKTBESKRIVELSE. NRDB Internett

Gi kundene tilgang til å redigere egne data ved hjelp av landingssider

Kort presentasjon av endinger i forbindelse med søknad om videreføring av flerårige prosjekter

Hurtigguide for oppsett av Foscam FI98xx HD kamera

Brukerveiledning Visma Bizweb i Visma Global

Eksamen i IBE102 Webutvikling Våren 2017.

Kravspesifikasjon. Forord

Installasjonsveiledning PowerOffice SQL

Kravspesifikasjon. Leserveiledning Kravspesifikasjonen består av følgende deler: Presentasjon Om bedriften

Innføring av 2-faktor autentisering ved pålogging - for kunder som benytter Evolution -

Hva er en behandling av personopplysning Alle handlinger som utføres med personopplysninger. Eksempel på handlinger: *lagring av opplysninger

Tilbakestille nettleser

Innhold. Innledning... 13

Mobilbank kontrollspørsmål apper

Kontroller at oppgaven er komplett før du begynner å besvare spørsmålene. Gjør dine egne forutsetninger dersom du mener noe er uklart.

City Nords Personvernerklæring

JOBOFFICE POCKETLINK FOR ANDROID Installasjons- og klargjøringsprosedyre, del 1

Denne rapporten er beregnet for dataansvarlig på Grefsenhjemmet, den som skal installere, vedlikeholde og modifisere systemet.

PERSONVERNERKLÆRING FACE.NO

4.2 Sikkerhetsinstruks bruker

Jara NetBusiness. Ny release 15. april 2013

Transkript:

Sikkerhet i Pindena Påmeldingssystem Versjon: 1.6.9 Oppdatert: 26.11.2014

Sikkerhet i Pindena Påmeldingssystem 2 Innhold OM DOKUMENTET... 3 SIKKERHET PÅ KLIENTSIDEN... 3 SIKKERHETSTILTAK... 3 ROLLESIKKERHET... 3 DATABASESIKKERHET... 3 FALLBACK- SIKKERHET... 3 TEMPLATESIKKERHET... 4 FOREBYGGE ØKTKAPRING (SESSION HIJACKING)... 4 FOREBYGGING AV ANGREP... 4 LOGGING... 5 AUDITLOGG... 5

Sikkerhet i Pindena Påmeldingssystem 3 Om dokumentet Dette dokumentet beskriver hvordan sikkerhet er håndtert i Pindena Påmeldingssystem. Sikkerhet på klientsiden Krypterte forbindelser og sikkerhet i programvaren på serversiden hjelper ikke hvis man har virus/trojanere eller andre sikkerhetshull på sin egen PC. Sikkerheten begynner på den siden brukeren sitter. Brukernavnet og passordet du mottar er personlig ikke gi det til andre. Sikkerhetstiltak All programvare laget i Pindena-rammeverket har følgende sikkerhetstiltak: Rollesikkerhet Hver bruker kan ha null eller flere roller tilknyttet. Rollene kontrollerer: 1. Hvilke maler brukerne kan se. 2. Hvilke menyelementer brukerne kan se. 3. Hvilke funksjoner brukerne kan utføre (klikk på knapper som endrer data etc). 4. Hvilke databasetabeller du kan lese/skrive/oppdatere/slette. Databasesikkerhet Hver kunde har sine egne databasetabeller, som bare kundens installasjon har tilgang til. Alle data lagres i klartekst i databasen bortsett fra passord som er kryptert. Fallback-sikkerhet Uavhengig av rolle søker en fallback-sikkerhetsmodell å minimere skade dersom en ekstern bruker har fått en rolle han ikke skulle hatt. Empatix er oppdelt i tre grensesnitt: 1. Internett. Alle har tilgang som standard. 2. Ekstranett. Krever pålogging. Brukeren kan kun se informasjon relatert til den innloggede brukeren Pindena sjekker at informasjon som vises tilhører enten den innloggede brukeren eller et firma hvor brukeren er tilknyttet. 3. Intranett. Krever pålogging. En bruker får kun full tilgang på intranettet hvis brukeren er knyttet til firmaet som er definert som eier av systemet. Det betyr at hvis en kunde prøver å logge inn med en intern rolletilgang som er gitt ved en feil, vil de bli stoppet med mindre denne brukeren er spesifikt knyttet til malen/funksjonen.

Sikkerhet i Pindena Påmeldingssystem 4 Templatesikkerhet Empatix er mal-/templatebasert, og tilgang gis for hver enkelt template. 1. Nekt først-policy på intranett- og ekstranett-maler. Hvis malen ikke har et definert sikkerhetsnivå har ingen tilgang til disse malene. Det er altså bevisste handlinger som må til for å tilgjengeliggjøre maler og tilgangsnivå til maler for de ønskede rollene. 2. Maler som ikke inngår sikkerhetssystemet er som standard ikke tilgjengelige. 3. Maler i internettgrensesnittet har alle tilgang til, men disse skal ikke være i stand til å endre data uten pålogging. Forebygge øktkapring (session hijacking) Følgende er gjort for å forebygge øktkapring: 1. Session timeout (session utløper etter x timer, og bruker blir logget ut). Antall timer er avhengig av ønsket sikkerhet. Kort utløpstid er mest sikkert (men mindre brukervennlig). 2. Session tidsavbrudd ved inaktivitet (session utløper etter en periode med inaktivitet selv om timeout ikke er nådd, og bruker blir logget ut). Antall timer er avhengig av ønsket sikkerhet. Kort utløpstid er mest sikkert. 3. Bytte av cookie-id ved pålogging for å hindre session fixation. 4. Alle potensielt farlige tegn fjernes fra alle felt og variabler der de ikke er tillatt å bruke. Dette gjør session hijacking med Javascript umulig. 5. Mulig å kryptere kommunikasjonen med HTTPS (ekstra kostnad). 6. Session utløper umiddelbart hvis man prøver å bruke den fra en annen IP-adresse, en annen nettleser eller en annen protokoll enn den ble opprettet fra. Forebygging av angrep Følgende er gjort for å forebygge direkte angrep: 1. Forebygging av SQL Injection attack. 2. Forebygging av XSS attack (Cross Site Scripting). 3. Validering av all input som skal lagres. a. Forhindre lagring av svartelistet kode i input elementer (for eksempel kjørbare Javascript er umulig å lagre). b. All input blir konvertert til den minst sikkerhetskritiske datatypen som løser oppgaven. c. Input i tallfelt blir konvertert til tall. d. Input i datofelt blir konvertert til datoer. e. Tekst som ikke skal ha formatering blir konvertert til ren tekst. f. Siste utvei er lagring av HTML kode som vi prøver å unngå, men der vi må gjøre det blir det vasket mot svartelister for å hindre lagring av kode som kan gi sikkerhetsproblemer. 4. Alle potensielt usikre tegn fjernes fra alle felt og variabler ihht. konvensjoner på variabelnavn og sikkerhetsoppsett før lagring av data i databasen eller presentasjon av data i en mal.

Sikkerhet i Pindena Påmeldingssystem 5 Logging Logger brukes for sporing i tilfelle angrep. Følgende logger finnes: 1. Logger forsøk på tilgang til maler som man ikke har tilgang til. 2. Session-logg over brukersesjoner. 3. Logger for sider som ikke finnes. 4. Logger for bruk. 5. Webserver-logg. 6. Google Analytics-logg i de tilfellene kundene ønsker det. Loggene slettes etter 3 måneder. Auditlogg Pindena har kraftig audit-funksjonalitet. Denne kan skrus på etter kundens ønske. Merk at dette genererer mye data. Audit-logging kan konfigureres på spesifikke felt i tabeller der det er av særskilt interesse å følge med på endringer. Det som logges er: 1. Databasetabell 2. Feltnavn 3. Bruker-id 4. Innhold 5. Tidspunkt Alle endringer i feltet blir logget og man har en full historie på alle verdier som har vært i feltet i tabellen og hvem som endret det og når de endret det. Audit-logger slettes etter 4 måneder.

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding