אבטחת מידע

גיבוי ופרטיות במערכת EasyCount

אם יש נושא שיש בו פער עצום בין הזמן והמשאבים שאנחנו משקיעים, לבין המודעות של הלקוחות שלנו לכך, זהו נושא אבטחת המידע והתשתיות במערכת.

בניגוד אולי למקובל בשוק, תמיד העדפנו לפתח ולהשקיע קודם כל בתשתית הטכנולוגית ואבטחת הנתונים ורק לאחר מכן להוסיף עוד תכונה קטנה למערכת.

אנחנו מאמינים שמערכת איתנה וחזקה ניתן לבנות רק אם מייצרים לה יסודות חזקים, כאלו שיכולים לעמוד בכל תרחיש אשר יהיה.

כדי להמחיש זאת באופן ברור יותר, נחשוף למטה כמה פרטים על שכבות ההגנה והגיבוי שלנו, שיתנו לכם מושג על היקף השקעת הזמן והכספים שאנחנו מייחדים לנושא ב-EZcount.

עוד נתון שכדאי לציין הוא שמכיוון ויש לנו עשרות אלפי משתמשים, חלות עלינו דרישות אבטחת נתונים של משרד המשפטים בנוגע לניהול מאגרי מידע.

לא רק שאילו דרישות שלא חלות על רוב החברות האחרות בשוק הקטנות מאיתנו משמעותית, אלא שרמות האבטחה והבדיקות שאנחנו מבצעים (המפורטות מטה) גדולות משמעותית מאילו שאנחנו מחויבים אליהן.

אבטחת ופרטיות החשבון

חלק חשוב מאבטחת מידע, הוא לא רק אבטחת המערכת כנגד פורצים, אלא יצירת תנאים שיאפשרו למשתמשים במערכת לקבל רמות גבוהות יותר של פרטיות בשימוש במערכת.

אחת האפשרויות שיצרנו כדי לאפשר פרטיות מקסימלית ללקוחות שלנו, היא האופציה לחסום את נתוני החשבון בצורה מוחלטת, כדי שלאף אחד לא תהיה גישה לנתונים שלכם.

זה אומר שבמידה ותבחרו, הנתונים שלכם לא יהיו חשופים אפילו למחלקת שירות הלקוחות ואף למחלקה הטכנית שלנו. אנחנו מאמינים שהמידע הפיננסי שלכם צריך להיות רק שלכם.

בנוסף לרמת הפרטיות הגבוהה, יצרנו אפשרות (ללקוחות המעוניינים בכך) להתחבר לחשבון בצורה מאובטחת במיוחד, באמצעות שימוש בשירות אימות דו-שלבי (2FA).

אם בחרתם בדרך הזו, בזמן ההתחברות למערכת אתם תקישו את סיסמת הכניסה שלכם ותקבלו מידית מסרון למכשיר הנייד עם מספר מזהה שאותו יש צורך להזין כדי להתחבר לחשבון.

למעשה גם במקרה שמישהו השיג את הסיסמה שלכם למערכת, הוא עדיין לא יוכל להיכנס משום שיחסר לו שלב האימות הנוסף.

גיבוי נתונים במערכת

אלמנט נוסף שחשוב לכל מערכת מידע היא רמת הגיבויים. אנחנו מאוד גאים בכך שאנחנו מציעים את רמת הגיבוי הגבוהה ביותר הקיימת בשוק החשבוניות הדיגיטליות.

הנושא הזה כל-כך חשוב למנהל הטכנולוגי שלנו, שהוא עושה לילות כימים כדי לדאוג שגם במקרה קיצון (מלחמה, רעידת אדמה, זכייה בארוויזיון וכו ' 🙂 ) אף לקוח לא לא יאבד נתונים ומסמכים.

איך זה עובד? ננסה להסביר את המערכת המורכבת בצורה פשוטה ככל הניתן:

לבסיס הנתונים (Database) שבו נשמרים כל הנתונים והפעולות שאתם עושים במערכת, יש גיבוי בזמן אמת לבסיס נתונים נוסף בשרת סמוך. אתם רגועים? מצוין. לנו זה לא מספיק.

אחת לשעה יש גיבוי מלא נוסף לחוות שרתים שנמצאת במיקום אחר לגמרי, ככה שגם אם תפרוץ שריפה בחוות השרתים הראשית, הנתונים יהיו מגובים למשנית. מסופקים? מעולה אבל לא המנהל הטכנולוגי שלנו.

בנוסף, יש גיבוי נוסף של הנתונים החשובים מידי 5 דקות. חושבים שהגזמנו? טוב אולי אתם צודקים אבל עדיין לא סיימנו.

בנוסף לכל הגיבויים לגיבויים, יש לנו גיבוי נוסף של המסמכים עצמם בשרתים של אמזון, שירות שבעצמו יוצר גיבוי לכל קובץ כמה פעמים ומפזר אותם בין שרתים שונים.

אחרי הפירוט של כל הגיבויים שציינו, תוכלו עוד לעשות גיבוי נוסף אצלכם, הוספנו תכונה נחמדה שתעזור לכם בכך.

פיתחנו אפשרות לחבר את חשבון הDropbox או הGoogle Drive שלכם לחשבון EZcount כך שכל מסמך שיצרתם יתעדכן בסנכרון בין המערכות, ולאחר זמן קצר יופיע לכם בתיקייה על המחשב שלכם באופן אוטומטי.

אבטחת נתונים וסקרי אבטחה

אבטחת הנתונים הגבוהה מושגת באמצעות שני דברים: בניית המערכת בצורה מאובטחת, בדיקות תקופתיות ושדרוגים שאנחנו עושים למערכת.

מבנה המערכת

ארכיטקטורת המערכת מושתתת על הפרדה מלאה בין כל החלקים במערכת (מערכת הלקוחות, מסד הנתונים וכו'), כך שכל אחד מהם יושב על תשתית נפרדת, מה שמשפר משמעותית את היציבות וההגנה.

כל השרתים נמצאים מאחורי 3 חומות-אש (Firewalls) מסוגים שונים, בנוסף לרשת פרטית (Private Network) בין השרתים שלנו אשר מופרדים מהעולם החיצון (האינטרנט).

בדיקות וסקרי אבטחה

כשזה נוגע לאבטחה של כלל המערכת, אנחנו מבצעים מגוון פעולות ובדיקות תקופתיות על מנת לזהות נקודות הדורשות חיזוק ודואגים לטפל בהן באופן מיידי.

בסקר אבטחה תקופתי אנחנו מבצעים כמה פעולות:
הראשונה היא הרצת תוכנות שבודקות פרצות במערכות תוכנה, כלומר אנחנו חושבים ומשתמשים בכלים של האקרים כדי לוודא שאין נקודות חולשה כלשהן במערכת.

בנוסף אנחנו מבצעים בדיקות תקינות לקוד באופן תקופתי לוודא שכל ענייני האבטחה מקבלים בו ביטוי, זאת גם בהתאם לדרישות משרד המשפטים בנוגע למאגרי מידע.

בדיקה שלישית היא בדיקה תקופתית של כל בעלי ההרשאות בחברה, לוודא שרק משתמשים מורשים מגיעים לחלקים המיועדים להם במערכת.

עמידות המערכת וביצועים

כאשר בונים מערכת טכנולוגית עם מאגר מידע משמעותי, יש תמיד התלבטות כיצד לחלק את המשאבים – האם לכוון ליותר ביצועים או לחילופין לאפשר יותר עמידות, שמתבטאת ביציבות המערכת והיקף הגיבויים.
 

אנחנו בחרנו בנתיב שמשלב את שתי האפשרויות בצורה המיטבית. זה דרש מאיתנו תכנון מדוקדק ומתוחכם של המערכת וכמו כן, דורש מאיתנו המשך השקעת משאבים מידי חודש על תחזוקת מערך שרתים גדול במיוחד.
 

המונח המקצועי המתאר את הגישה הזאת הוא יתירות (Redundancy), שמשמעותו הוא בכך שהיקף יכולת העבודה של המערכת בכל רגע, גבוהה משמעותית מהשימוש בפועל. זאת כדי להיות מוכנים לכל צורך או תרחיש.
 

זה בערך כמו לקנות למשפחה של 4 נפשות,  2 מכוניות לשימוש קבוע ובנוסף להחנות עוד 4 מכוניות מתודלקות ומתוחזקות בחנייה כגיבוי.
 

כך גם המערכת שלנו יודעת להגדיל את יכולת העבודה שלה בהתאם לעומסים שהיא מקבלת ומציגה יכולת עבודה ועמידות יוצאי דופן. המערכת מאפשרת:

אישורים ותקני אבטחה

למעלה הסברנו את הפעולות הרבות והמשאבים הרבים שאנחנו משקיעים בתשתיות מאובטחות, יציבות ואיכותיות.

עכשיו נזכיר כמה אישורים מרשויות המדינה שקיבלנו ולאחר מכן שיטות ותקני אבטחת נתונים שאנחנו עושים בהם שימוש.

אישורי רשויות ועמידה בדרישות

יש לנו אישור מרשות המיסים לרישום EasyCount כתוכנה לניהול מערכות חשבונות ממוחשבת ברשות המיסים. פירוט נוסף כאן

כמו כן, אנחנו עומדים בדרישות החוק והנהלים בנוגע לחתימה אלקטרונית:
"חתימה אלקטרונית התשס"א – 2001"
"מסמך רקע על חתימה אלקטרונית (משרד המשפטים, 2009)"

תקן ISO 27001

כפי שניתן לראות במסמך המצורף מטה, המערכת שלנו נבחנה ונסקרה על ידי מכון התקנים הישראלי וקיבלה תעודה בגין עמידה בתקן אבטחת המידע הבינלאומי ISO 27001.

תקן ISO 27001, מערב בחינה וסקירה מקיפה של כל גורמי אבטחת המידע, החל מאובדן מידע, חדירה למערכת, מוירוסים עד למסחר מקוון, כניסות בלתי חוקיות למערכת ושחזור המערכת. 

ISO 27001 מציב רמה חדשה לטיפול במידע רגיש והוא מושתת על עקרונות ISO הידועים וכולל סעיפים כגון מבדקים פנימיים, סקרי הנהלה, פעולות מתקנות ומונעות, בקרת מסמכים ורשומות.

תעודה ממכון התקנים הישראלי

עמידה בתקנים ושיטות אבטחת נתונים

בבניית המערכת עשינו שימוש בתקני אבטחת מידע ושיטות מתקדמות להצפנת נתונים ואימות (Authentication):

סיכום

במאמר חשפנו כמה פרטים על מבנה המערכת והיכולות הטכנולוגיות שלנו על מנת שתבינו כמה משאבים אנחנו משקיעים מאחורי הקלעים.

אנחנו מספקים את המערכת עם התשתית הטכנולוגית הכי מאובטחת ויציבה מכלל המערכות בשוק הנהלת החשבונות באינטרנט.

אם אתם לקוחות קיימים, רצינו שתדעו את כל זה כדי שתהיו שקטים עוד יותר, לאחר שתבינו כמה אנחנו משקיעים כדי להגן על המידע שלכם ולאפשר לכם נגישות מקסימלית למערכת.

אם אתם עדיין לא לקוחות שלנו, מקווים שהצלחנו להעביר כמה ענייני אבטחה ופרטיות חשובים בעיננו.

בהנחה שהגנה על הנתונים החשבונאיים שלכם זה דבר חשוב עבורכם, זה יעזור לכם לבחור את מערכת הנהלת החשבונות בענן המתאימה לכם.