- Métodos de Seguridad aplicados
- 1.- Validación de la estación de trabajo
- 2.- Validación de Fecha y Hora de Actualización del ERPe
- 3.- Control de Sucursales de la empresa
- 4.- Control de Ingreso al sistema
- 5.- Accesos y Acciones autorizadas, Nivel de Seguridad de Usuario (NSU)
- 6.- Claves en tiempo real (Persona Responsable, VIP, VIP global y Dinámicas)
- 7.- Historial de Modificaciones
- 8.- Histórico de Eliminados
- 9.- Documentos y Movimientos reservados
- 10.- Movimientos restringidos a los funcionarios
- 11.- Control de la integridad de la información
- 12.- Control de Fecha de la Estación de Trabajo
- 13.- Sincronización de fecha y hora con el Servidor
- 14.- Control de Vencimiento de Contraseñas (Usuario, Persona Responsable, VIP)
- 15.- Administrador del Sistema
- 16.- Encriptación de la Información de Acceso y Seguridad
La Seguridad de la Información de Su Empresa es de gran importancia, y Sigue® ERP apoya esto mediante la aplicación combinada de diferentes métodos para ayudar a garantizar la privacidad e integridad de sus datos.
Métodos de Seguridad aplicados
Lista de los métodos de seguridad de la información más relevantes aplicados en el software, y breve descripción de cada uno. En algunos casos la información correspondiente solo está disponible para el fabricante o representante del producto, o para el encargado de la seguridad informática en la empresa cliente.
- Validación de la estación de trabajo.
- Validación de Fecha y Hora de Actualización del ERPe.
- Control de Sucursales de la Empresa.
- Control de Ingreso al Sistema.
- Accesos y Acciones autorizadas, Nivel de Seguridad de Usuario (NSU).
- Claves en tiempo real (Persona Responsable, VIP, VIP global y Dinámicas).
- Historial de Modificaciones.
- Histórico de Eliminados.
- Documentos y Movimientos reservados
- Movimientos restringidos a los funcionarios
- Control de la integridad de la información
- Control de Fecha de la Estación de Trabajo
- Sincronización de fecha y hora con el Servidor
- Control de Vencimiento de Contraseñas (Usuario, Persona Responsable, VIP)
- Administrador del Sistema
- Encriptación de la Información de Acceso y Seguridad
La empresa puede aumentar o disminuir el grado de aplicación de algunas de estas medidas. Esto es propio del software y no interviene ni excluye las medidas de seguridad que los administradores o proveedores de la plataforma informática deben brindar (hardware, sistema operativo, servicios y otros).
Para que el esquema de seguridad sea efectivo, el usuario responsable de la Seguridad debe limitar a lo estrictamente necesario el acceso a la información de configuración de estos recursos.
1.- Validación de la estación de trabajo
Garantiza que la estación de trabajo donde intenta ejecutar el software, este debidamente autorizada; en caso contrario, avisa y la ejecución se detiene.
2.- Validación de Fecha y Hora de Actualización del ERPe
Garantiza que cada usuario utilice la versión correcta del software en la empresa. Esto es relevante porque en ocasiones usar una versión anterior puede impedir acceso a cierta información que debería estar disponible o podría no actualizar ciertos datos.
3.- Control de Sucursales de la empresa
Garantiza que cada sucursal de la empresa esté bien configurada interna y legalmente, y que haya sido autorizada a operar en el sistema
4.- Control de Ingreso al sistema
La primera pantalla es para ingresar el usuario y su contraseña, los nombres de usuario tienen hasta 12 caracteres, la contraseña una longitud máxima de 10 caracteres. No distinguen entre mayúsculas y minúsculas para facilitar su aplicación, aceptan caracteres especiales para mayor seguridad.
La contraseña al ser ingresada no es mostrada en pantalla por razones de seguridad; en caso de error el usuario tiene 3 oportunidades para ingresar, luego el sistema es abandonado suponiendo que se trata de un intento de violación de seguridad.
Un usuario puede cambiar su clave cuando lo desee. Sigue® vigila su vencimiento (establecido por parámetros) avisando y obligando a cambiarla si desea acceder al sistema.
5.- Accesos y Acciones autorizadas, Nivel de Seguridad de Usuario (NSU)
Su completo esquema de seguridad le permite tener el control sobre los procesos y funciones que sus usuarios pueden acceder. Puede definir usuarios específicos o grupos homogéneos denominados Perfiles de Usuario.
Es prerrogativa del encargado de la seguridad de la información en la empresa, usualmente el Administrador del Sistema, el definir y modificar estos accesos, lo que siempre debería ser autorizado por la dirección de la empresa.
Accesos autorizados
- Permitir o prohibir el acceso al sistema, al menú principal.
- Si entró al sistema, permitir o prohibir el acceso a las distintas opciones del menú principal.
- Si ingresa en alguna opción o proceso, permitir o prohibir el acceso a las operaciones correspondientes.
Permisos o acciones autorizadas
Ver, consultar
Podrá abrir el registro y ver información dentro de esta operación.
Agregar
Si está en alguna tabla, además de ver podrá agregar registros.
Modificar
Si está en alguna tabla, además de ver podrá modificar información.
Eliminar
Si está en alguna tabla, además de ver podrá eliminar registros.
Imprimir
Si está en una tabla o informe, además de obtenerlos por pantalla, podrá imprimirlos en la impresora que elija.
Los permisos no son excluyentes entre sí.
Nivel de Seguridad de Usuario (NSU)
Dentro de algunos módulos, ciertas herramientas y/o información están restringidos a los NSU más altos.
Para ser mostrada o incluida, cierta información está condicionada a un NSU y exige que el usuario que accedió tenga uno igual o mayor.
Opciones
G Gerencia / superior
R Resultados / alto
I Intermedio / medio
E Externo / bajo
Aprovechando lo definido en el perfil del usuario, donde por cada opción del menú del sistema se puede definir el NSU que este tiene cuando accede, se aplican ciertas reglas adicionales definidas por otros datos y/o por código fuente, como en los siguientes casos.
Márgenes, Utilidades y Comisiones
Los 7 Márgenes (y sus Utilidades) y las 2 Comisiones, definen en la tabla de parámetros generales del sistema el NSU mínimo que requieren para ser incluidos en 1) Detalles de Documentos, 2) Informes, 3) Análisis de Negocios o Cabecera de Documentos.
Tipos de Documentos y Tipos de Movimientos
Definen el NSU mínimo requerido para usarlos. Si el usuario que intenta aplicarlos al crear documentos tiene uno inferior, le avisa y no puede continuar.
Clientes y Proveedores
Definen el NSU mínimo requerido para editarlo. Si el usuario que intenta ver, modificar o agregar un cliente o proveedor tiene uno inferior, le avisa y no puede continuar.
Lo mismo aplica para acceder a sus cartolas.
Productos y Servicios
Definen el NSU mínimo requerido para que pueda editarse y para que pueda incluirse en cartolas e informes.
Además, por código fuente, está definido que solo los usuarios con NSU R/G tienen acceso a los folios de Costo y Venta al editar registros, por tanto, los niveles menores no pueden verlos ni editarlos.
Cartera de Documentos a Fecha (CDF)
Por código fuente, el acceso a todas las Herramientas en el navegador de CDF recibidos y emitidos solo está disponible para usuarios con NSU R/G.
Además, según se define el NSU en los registros de la tabla de Clasificación de Movimientos Bancarios, se permite asignar las clasificaciones donde corresponda solo si el usuario tiene el NSU adecuado.
Cotizaciones y Oportunidades de Venta
Por código fuente, modificar Cotizaciones y Oportunidades de Ventas ya finalizadas es permitido con previo aviso y solo para usuarios con NSU R/G.
Precios de Costo
Por código fuente, incluir el PCR, PCPP, PLP y Descuento PLP en cartolas, histórico de activo fijo y similares, está restringido a NSU G.
Archivos Externos
Cada Enlace a Archivos Externos creado en el ERP, define el NSU que el archivo externo referenciado exige para ser incluido en el navegador de archivos externos de la entidad.
Si el archivo externo ya existe y se le crea o modifica un enlace, y en este se cambia su NSU, a partir de ese momento todos los enlaces que lo referencian cambian.
Esto permite que un archivo externo solo pueda ser enlazado y accedido, y por lo tanto modificado su enlace o sus atributos, si el usuario tiene el NSU suficiente para ello, sin importar donde se encuentre o desde donde se intente.
Cartola de Cliente
La cartola de cliente cuenta con un folio que permite modificar algunos parámetros de sus Condiciones Comerciales. Por código fuente, este folio y la posibilidad de hacer la actualización desde acá, solo está disponible si el usuario tiene NSU R/G.
Cartola de Productos y Servicios
Por código fuente, en esta cartola, el folio de Stock y Valores solo está disponible si el usuario tiene NSU R/G.
Historial
Por código fuente, el acceso a ver el texto descriptivo de cada registro del Historial de Autorizaciones, de Seguimiento y de Hitos, está limitado a usuarios con NSU R/G. Lo mismo el acceso a agregar estos registros.
El acceso a ver la información del Historial de Modificaciones es libre.
6.- Claves en tiempo real (Persona Responsable, VIP, VIP global y Dinámicas)
Algunos procesos, como modificar o eliminar movimientos, abonos o documentos en cartera, obtener el análisis de utilidades y comisiones, entre otros, en forma independiente de la contraseña del usuario que ingresó al sistema y sus permisos particulares, requieren del ingreso de la clave de Persona Responsable o de la clave VIP (Very Important Process) del proceso en cuestión.
Para ello se despliega un pequeño diálogo donde el usuario ingresa la clave que se le pide y presiona Enter. Si presiona escape, si la clave es incorrecta o si cierra el diálogo, se le avisa y no habrá acceso. Es simple y rápido. Su propósito es asegurar que usuarios no autorizados que encuentren el sistema abierto no puedan ejecutar procesos para los cuales no tienen permiso. Además, estas claves forman parte de un registro histórico de registros eliminados y de modificaciones.
El usuario con poder para el mantenimiento de las claves VIP podría dejar alguna vacía, en tales casos, asume que no existe la necesidad de pedirla para ejecutar o continuar el proceso que normalmente se hubiera detenido hasta que la ingresara, de este modo se pueden obviar las claves VIP.
Existe una clave VIP global, su uso debe estar reservado solo al usuario responsable de la seguridad. Cuando el sistema detiene algún proceso y pide la clave VIP que corresponde, si ingresa la global continúa siempre.
En las atenciones a clientes, ventas e ingresos revisa que el movimiento cumpla con las condiciones comerciales y actuales del cliente, si se ha parametrizado así, y en la forma en que se haya indicado, entregando avisos o impidiendo el avance si no ingresa una clave VIP o una clave Dinámica según sea.
Las claves Dinámicas, de condiciones comerciales de clientes y de márgenes de negocios, se calculan en tiempo real por los usuarios autorizados para ello, en base a fórmulas privadas personalizadas para la empresa.
Al habilitar el sistema se incluyen dos fórmulas predefinidas para el cálculo de las claves dinámicas, y la empresa puede cambiarlas mediante el código fuente contenido en el registro correspondiente.
Las claves dinámicas también pueden ser sustituidas por la clave VIP global.
Todo es parametrizable, por ejemplo, se puede indicar que sea clave Dinámica y que en el servicio a atención solo entregue un mensaje con las condiciones no cumplidas por el cliente al ingresar el Rut y que al grabar dicho documento recuerde solicitar la clave Dinámica correspondiente, ayudándole incluso para que envíe un e-mail donde puede pegar los datos necesarios aportados por el software; al grabar el documento legal de la venta, basado en esta lógica, pedirá que la clave Dinámica sea ingresada. Eso le da tiempo al usuario que atiende al cliente para pedir la clave sin retrasar la gestión.
Las claves de Persona Responsable y las claves VIP, al igual que las claves de usuario, tienen un plazo de vencimiento que es administrado a través de parámetros. Ver información más adelante en este capítulo.
7.- Historial de Modificaciones
La mayoría de las entidades del sistema (productos, todos los documentos, clientes, proveedores, etc.) cuentan con acceso a un diálogo de Historial, que en su folio de Modificaciones informa la fecha, hora y usuario que había ingresado al sistema cuando se creó el registro actual. También muestra el historial de modificaciones hechas al registro, identificando en cada caso a la persona responsable, la fecha y hora, y un completo detalle de todos los cambios efectuados.
Esta información es acumulativa y está siempre disponible. El sistema administra esta información en forma interna.
8.- Histórico de Eliminados
Cuando un documento de Movimientos (factura, boleta, etc.), de Abonos (ingreso, egreso, ajustes financieros, etc.), de Cartera de Documentos (cheque, letra, etc.) o de Servicios y otros es eliminado, se quita en forma permanente. Sin embargo, existe un registro básico histórico de documentos eliminados que se accede desde el menú principal y que el sistema administra en forma interna, el que también se puede navegar.
Esta tabla informa el tipo y número de cada documento eliminado además de otros datos como la fecha y hora, la estación de trabajo desde la cual se eliminó, y el funcionario que ingresó su clave de Persona Responsable en tiempo real para autorizarlo.
9.- Documentos y Movimientos reservados
De acuerdo a como se definan en las tablas de tipos de documentos y de tipos de movimientos, estos pueden quedar autorizados para cierto NSU solamente o para todos.
Al indicar el documento y movimiento que se desea crear, el sistema verifica si el usuario que ingresó al sistema tiene el NSU adecuado para ello, en caso contrario avisa y no lo permite.
También la empresa puede declarar en un determinado momento que un tipo de documento y tipo de movimiento no están autorizados en la empresa, y a partir de ese momento ya no son incluidos en las ayudas correspondientes, ni son aceptados al agregar documentos, aunque su historial permanece disponible.
10.- Movimientos restringidos a los funcionarios
En la tabla de funcionarios existe un campo donde se pueden indicar todos los movimientos (compra anticipada, atención de vehículo, ingresos, etc.), que le están prohibidos. Cuando se ingresa una clave de persona responsable, verifica luego que el tipo de movimiento que se indique no esté restringido o avisará y detendrá el proceso.
Esta función de seguridad pretende administrar correctamente las situaciones en que los usuarios deben tener acceso al módulo respectivo, aunque no puedan ingresar determinados movimientos dentro de ese grupo.
11.- Control de la integridad de la información
Constantemente al crear, consultar o listar documentos el sistema valida su información comprobando el cumplimiento de los atributos y reglas definidas; la cuadratura entre el valor total del documento y sus detalles, cuotas, documentos abonados o lo que corresponda; también valida que existan los correspondientes documentos en cartera. Cuando encuentra alguna anomalía avisa y el usuario debe considerar esa información.
12.- Control de Fecha de la Estación de Trabajo
En resumen, si la fecha de la estación de trabajo es alterada, el sistema avisa siempre; y solo si corresponde permite continuar.
13.- Sincronización de fecha y hora con el Servidor
Aplica en modo Cliente-Servidor, con conexión local o remota, y en línea.
Se utiliza este control para garantizar que todas las Estaciones de Trabajo (ET) tengan la fecha correcta en relación a su servidor, logrando que no se produzcan malos usos y que se conserve la lógica necesaria en la información.
14.- Control de Vencimiento de Contraseñas (Usuario, Persona Responsable, VIP)
Es muy común que los usuarios usen su clave durante tiempo indefinido, y peor aún, que en alguna ocasión se la presten a otros.
También puede suceder que alguien llegue a conocer una clave ajena, con lo que esta queda expuesta.
Para tener un sistema de claves eficiente, cada usuario puede modificar la suya cuando lo desee y, además, Sigue® mantiene un control del tiempo de validez de la clave de acceso de cada uno, obligando a cambiarla cuando este plazo se vence.
Esta misma lógica se aplica para las claves de personas responsables y un proceso similar para las claves VIP.
El Administrador del Sistema define y administra los días de duración de cada clave de usuario en la tabla de usuarios y de las claves de funcionarios o personas responsables en la tabla de funcionarios. También controla la duración de todas las claves VIP con un rango en días establecido para ellas en forma genérica.
El proceso de avisar la cercanía del vencimiento (desde 2 días antes) y el proceso de obligar a modificar la clave vencida (desde el mismo día de vencimiento) para los usuarios se hace al ingresar al sistema, una vez que ha digitado el nombre y la contraseña actual.
Las claves de personas responsables (funcionarios) y las claves VIP operan de forma similar, siendo controladas durante la ejecución del sistema cada vez que son usadas en cualquier parte de éste. Las claves de personas responsables serán modificadas por cada quien en forma voluntaria u obligatoria.
Las claves VIP solo podrán ser modificadas por quien tenga acceso a esa tabla, en estos casos Sigue® solo avisa su vencimiento, la que esté vencida debe ser actualizada por el encargado en formas manual. Como el rango de tiempo para estas claves es genérico, la fecha de control de cada una se opera manualmente (no en forma automática ni interna al actualizar la clave), para poder adaptarlas si fuera necesario logrando así que en la práctica operen con rangos de vencimiento distinto o que actualizando la fecha no sea necesario cambiar la clave.
15.- Administrador del Sistema
Existen ciertos recursos del sistema que están restringidos al usuario regular, aun cuando tenga amplios permisos sobre el módulo o herramienta que los incluye.
El “Administrador del Sistema”, en cada empresa, es uno o más usuarios capacitados en el uso de Sigue®, y generalmente con un cierto grado de conocimientos técnicos y de autoridad en la organización. Son quienes transmiten al fabricante las dudas y las situaciones en las que creen se requiere su ayuda.
La contraseña de Administrador del Sistema es semi dinámica, es decir, es una contraseña que se compone de una parte fija y una que cambia en tiempo real. El Administrador del Sistema, en cada organización, debería ser el único usuario que conozca y utilice dicha contraseña, la que se accede desde las Herramientas.
Existen ciertos recursos que están disponibles solo cuando se activa la clave de Administrador del Sistema.
- Menú del Sistema. Acceso a los campos al editar registros (agregar y modificar).
- Lectura de Seguridad. Para apoyar la gestión de contraseñas de usuarios y funcionarios, la gestión de información de conexión de las estaciones de trabajo y sucursales de la empresa, e información de acceso web de clientes.
- Gestor Base de Datos Principal. Los índices de las tablas (en combinación con el Nivel de Seguridad de Usuario) y los datos reservados de conexión con el servidor.
- Gestión en Terreno. Cambiar el estado de sistema de los registros.
- Informes. Acceso a actualizar y a crear nuevos informes personalizados.
El Administrador del Sistema usualmente cumple también el rol de Encargado de la Seguridad de la Información.
16.- Encriptación de la Información de Acceso y Seguridad
Mediante métodos propios, el ERP encripta o codifica la información de accesos y de seguridad contenida en su base de datos. Por tanto, esa información no es legible a las máquinas o personas cuando acceden a la base de datos con herramientas externas.
Al acceder o requerir esos datos, el ERP aplica su método propio para desencriptarlos o decodificarlos. Esto aplica cuando es el sistema que los usa de forma interna o cuando es un usuario debidamente autorizado.