W skrócie: Studio VSS.net szyfruje transmisję TLS 1.2/1.3, zarządza dostępem przez RBAC i integruje się z Active Directory oraz Azure Entra ID dla SSO. RODO: konfigurowalny okres retencji danych kierowców z automatyczną anonimizacją po upływie okresu przechowywania.
Warstwy bezpieczeństwa w Studio VSS.net
Bezpieczeństwo danych w systemie awizacyjnym dotyczy kilku kategorii informacji: danych operacyjnych (harmonogramy awizacji, dane pojazdów, statusy wizyt), danych osobowych kierowców wymagających ochrony zgodnie z RODO i danych dostępowych użytkowników systemu. Studio VSS.net chroni te dane przez wielowarstwowy model bezpieczeństwa, który obejmuje szyfrowanie transmisji i przechowywania danych, kontrolę dostępu opartą na rolach, integrację z firmowymi systemami zarządzania tożsamością i mechanizmy logowania zdarzeń do celów audytowych.
Szyfrowanie SSL/TLS i bezpieczeństwo transmisji
Cała komunikacja między przeglądarką użytkownika lub aplikacją mobilną a serwerem Studio VSS.net jest szyfrowana protokołem TLS w wersji 1.2 lub wyższej - starsze wersje protokołu są blokowane na poziomie konfiguracji serwera webowego. Certyfikat SSL/TLS jest wystawiany przez zaufany urząd certyfikacji (Let's Encrypt lub certyfikat korporacyjny klienta w modelu on-premise) i jest automatycznie odnawiany. Portal dostawcy i panel dyspozytora dostępne są wyłącznie przez HTTPS - przekierowanie z HTTP na HTTPS jest skonfigurowane na poziomie serwera bez możliwości pominięcia przez użytkownika.
W modelu chmurowym Azure transmisja między centrum danych Microsoft a serwerami aplikacyjnymi Studio VSS.net odbywa się przez prywatne sieci wirtualne Azure Virtual Network, co izoluje ruch między komponentami systemu od publicznego Internetu. W modelu on-premise konfiguracja sieci leży po stronie działu IT klienta - producent dostarcza rekomendacje dotyczące konfiguracji firewalla i separacji sieci dla komponentów systemu.
Kontrola dostępu oparta na rolach
Studio VSS.net stosuje model RBAC (Role Based Access Control) z predefiniowanymi rolami i możliwością tworzenia ról niestandardowych. Każda rola ma precyzyjnie zdefiniowany zestaw uprawnień - które moduły użytkownik może wyświetlać, które może modyfikować i do których danych historycznych ma dostęp. Pracownik ochrony widzi wyłącznie formularz rejestracji pojazdu i listę oczekiwanych awizacji na dziś - nie ma dostępu do konfiguracji systemu ani raportów historycznych. Dyspozytor placu zarządza kalendarzem i przydziałem ramp, ale nie może zmieniać parametrów okien czasowych bez uprawnień administratora.
Zmiany uprawnień i przypisań ról są logowane w dzienniku zdarzeń systemowych z datą, godziną i identyfikatorem administratora, który dokonał zmiany. Logowanie obejmuje też próby nieautoryzowanego dostępu - wielokrotne nieudane próby logowania blokują konto użytkownika zgodnie ze skonfigurowaną polityką haseł i wymagają interwencji administratora lub automatycznego odblokowania przez e-mail.
Integracja z Active Directory i Azure Entra ID
Studio VSS.net integruje się z Active Directory przez protokół LDAP/LDAPS dla uwierzytelniania użytkowników wewnętrznych. Integracja z Azure Entra ID (dawniej Azure Active Directory) odbywa się przez protokół SAML 2.0 lub OAuth 2.0/OpenID Connect, co umożliwia Single Sign-On dla użytkowników zalogowanych do środowiska Microsoft 365. Po skonfigurowaniu SSO użytkownicy wewnętrzni logują się do VSS.net tymi samymi poświadczeniami co do stacji roboczej - eliminuje to problem zarządzania oddzielnymi hasłami do kolejnego systemu i zmniejsza ryzyko użycia słabych lub wielokrotnie używanych haseł.
- TLS 1.2/1.3 - szyfrowanie całej transmisji między przeglądarką a serwerem, HTTPS bez możliwości pominięcia.
- RBAC - kontrola dostępu oparta na rolach z granularnymi uprawnieniami per moduł i per kategoria danych.
- Active Directory i Azure Entra ID - Single Sign-On dla użytkowników wewnętrznych przez LDAP/SAML/OAuth.
- Dziennik zdarzeń - logowanie wszystkich zmian konfiguracji, przypisań ról i prób nieautoryzowanego dostępu.
- RODO - konfigurowalny okres retencji danych, automatyczna anonimizacja i szablon klauzuli informacyjnej dla kierowców.
Dla operacji logistycznych o podwyższonych wymaganiach bezpieczeństwa Studio VSS.net obsługuje też uwierzytelnianie wieloskładnikowe (MFA) dla kont administratorów i dyspozytorów. MFA można skonfigurować przez integrację z Azure Entra ID lub przez moduł MFA wbudowany w platformę - kody jednorazowe przez SMS lub aplikację TOTP (Google Authenticator, Microsoft Authenticator).
RODO i przetwarzanie danych osobowych w systemie awizacyjnym
Studio VSS.net przetwarza dane osobowe kierowców - imię, nazwisko, numer telefonu - w związku z realizacją awizacji dostaw i kontrolą dostępu do obiektu logistycznego. Podstawą prawną przetwarzania jest prawnie uzasadniony interes administratora danych (art. 6 ust. 1 lit. f RODO) lub umowa z dostawcą obejmująca dane pracownika. System pozwala administratorowi skonfigurować okres retencji danych historycznych awizacji i automatycznie anonimizuje dane osobowe po upływie zdefiniowanego okresu - domyślnie 12 miesięcy od daty wizyty. Dane o numerach rejestracyjnych pojazdów są traktowane jako dane techniczne i przechowywane przez pełny okres retencji historii awizacji. Producent dostarcza szablon klauzuli informacyjnej RODO dla kierowców do umieszczenia przy kiosku lub tablicy ogłoszeniowej przy bramie wjazdowej.
Chcesz zobaczyć, jak system wygląda w praktyce? Sprawdź galerię zrzutów ekranów lub przejdź do pełnej instrukcji obsługi Studio VSS.net.
Galeria zrzutów ekranów Instrukcja obsługi VSS.netChcesz zobaczyć Studio VSS.net w działaniu? Bezpłatne demo dostępne bez rejestracji - wystarczy kliknąć i uruchomić.
Zobacz DEMOJak skonfigurować bezpieczeństwo dostępu w Studio VSS.net krok po kroku
Bezpieczeństwo systemu awizacyjnego dotyczy zarówno ochrony danych osobowych dostawców i kierowców (RODO), jak i kontroli dostępu wewnętrznych użytkowników. Poniższe kroki opisują, jak administrator systemu powinien skonfigurować role, hasła i uprawnienia po instalacji. Konfiguracja zajmuje 30-60 minut.
-
Skonfiguruj role użytkowników zgodnie z zasadą minimalnych uprawnień
W panelu administracyjnym utwórz role odpowiadające funkcjom: bramowy, dyspozytor, kierownik logistyki, administrator. Każda rola powinna mieć dostęp tylko do modułów niezbędnych do jej pracy. Unikaj przydzielania roli administratora pracownikom operacyjnym.
-
Włącz wymaganie silnych haseł i politykę wygasania
W ustawieniach bezpieczeństwa systemu skonfiguruj minimalną długość hasła (minimum 10 znaków), wymaganie cyfr i znaków specjalnych oraz okres ważności hasła (zalecane 90 dni). Włącz blokadę konta po 5 nieudanych próbach logowania.
-
Skonfiguruj szyfrowanie połączeń HTTPS
Upewnij się, że instancja VSS.net jest dostępna wyłącznie przez HTTPS (port 443) z certyfikatem SSL/TLS od zaufanego wystawcy. W modelu SaaS (chmura Azure) szyfrowanie jest skonfigurowane przez SoftwareStudio. W modelu on-premise certyfikat konfiguruje administrator IT klienta.
-
Przeprowadź audyt uprawnień po pierwszym miesiącu użytkowania
Po 30 dniach od uruchomienia systemu przeglądnij listę aktywnych kont użytkowników i ich role. Dezaktywuj konta pracowników, którzy przestali pracować z systemem, i zweryfikuj, czy role są nadal adekwatne do wykonywanych funkcji. Audyt powtarzaj co kwartał.
Najczęstsze pytania
Jak Studio VSS.net zarządza dostępem użytkowników i ich uprawnieniami?
Studio VSS.net stosuje model kontroli dostępu oparty na rolach (RBAC - Role Based Access Control). Każdy użytkownik jest przypisany do jednej lub kilku ról, które określają, do których modułów i danych ma dostęp. Predefiniowane role to: administrator systemu (pełny dostęp do konfiguracji), dyspozytor placu (zarządzanie kalendarzem, awizacjami i rampami), pracownik ochrony (rejestracja wjazdu i wyjazdu pojazdów), kierownik logistyki (dostęp do raportów bez możliwości modyfikacji harmonogramu) i dostawca zewnętrzny (wyłącznie rezerwacja okien przez portal). Role można konfigurować i tworzyć niestandardowe profile uprawnień.
Czy Studio VSS.net jest zgodne z RODO przy przetwarzaniu danych kierowców i pojazdów?
Studio VSS.net przetwarza dane osobowe kierowców (imię, nazwisko, numer telefonu) i dane pojazdów (numer rejestracyjny) w związku z realizacją awizacji dostaw. Przetwarzanie tych danych odbywa się na podstawie prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO) w zakresie kontroli dostępu do obiektu logistycznego. System pozwala konfigurować okres przechowywania danych historycznych awizacji i automatycznie usuwać lub anonimizować dane po upływie zdefiniowanego okresu. Producent dostarcza szablon klauzuli informacyjnej RODO dla kierowców do umieszczenia przy kiosku lub bramie wjazdowej.
Jak Studio VSS.net integruje się z Active Directory i Azure Entra ID?
Studio VSS.net integruje się z Active Directory przez protokół LDAP/LDAPS dla uwierzytelniania użytkowników wewnętrznych. Integracja z Azure Entra ID (dawniej Azure AD) odbywa się przez protokół SAML 2.0 lub OAuth 2.0/OpenID Connect, co umożliwia Single Sign-On dla użytkowników zalogowanych do środowiska Microsoft 365. Po skonfigurowaniu SSO użytkownicy wewnętrzni logują się do VSS.net tymi samymi poświadczeniami co do stacji roboczej lub aplikacji Microsoft, bez konieczności zapamiętywania oddzielnego hasła. Konta dostawców zewnętrznych w portalu awizacyjnym są zarządzane oddzielnie poza AD/Entra ID.
Słownik pojęć bezpieczeństwa systemu YMS i ochrony danych
- SSL/TLS
- Protokoły kryptograficzne zabezpieczające transmisję danych między przeglądarką użytkownika a serwerem aplikacji. Studio VSS.net wymaga połączeń HTTPS (TLS 1.2 lub nowszy), co szyfruje wszystkie dane przesyłane podczas logowania, przeglądania awizacji i korzystania z portalu dostawców.
- Zasada minimalnych uprawnień (Principle of Least Privilege)
- Zasada bezpieczeństwa IT, według której każdy użytkownik lub proces powinien mieć dostęp tylko do zasobów niezbędnych do wykonywania swoich zadań. W kontekście VSS.net oznacza przydzielanie ról z ograniczonym zakresem dostępu zamiast roli administratora wszystkim użytkownikom.
- RODO (GDPR)
- Rozporządzenie Unii Europejskiej o ochronie danych osobowych. Dotyczy VSS.net, ponieważ system przetwarza dane kierowców (imię, nazwisko, numer PESEL) i dane kontaktowe dostawców. Studio VSS.net umożliwia konfigurację retencji danych i eksport danych osobowych zgodnie z wymaganiami RODO.
- Audyt uprawnień
- Regularna weryfikacja listy kont użytkowników i przypisanych im ról w systemie. Pozwala wykryć konta nieaktywnych pracowników, nadmierne uprawnienia i niezgodności z bieżącą strukturą organizacyjną. Rekomendowane co kwartał dla systemów obsługujących dane osobowe.
- Szyfrowanie danych w spoczynku (Data at Rest)
- Ochrona danych przechowywanych na dyskach serwera lub w chmurze. W modelu Azure SaaS Studio VSS.net dane są szyfrowane przez Microsoft Azure Storage Service Encryption, co chroni przed nieautoryzowanym dostępem do nośników danych.