- Контур.Диадок
-
Ошибки
диадок - доступ к чужим данным
Вопрос – баг или фича?
Сотрудник работал в Диадоке со своим сертификатом от компании «А», соответственно был внесен в системе Диадок в список сотрудников данной организации. Сертификат закончился летом 2017 года. Сотрудник уволился, но не был удален администратором организации «А» из списка сотрудников организации в системе Диадок ( важно - сертификат данного уволившегося сотрудника уже недействительный ).
Этот же сотрудник начинает работать в 2018 году в компании «Б», получает сертификат для Диадока от организации «Б», и после входа в систему Диадок с новым сертификатом …. получает возможность выбрать свою старую компанию «А» и доступ ко всем документам компании «A» в Диадоке.
В техподдержке «мудро» советуют удалить администратору компании «A» данного сотрудника из списка сотрудников организации, что бы нормализовать ситуацию.
Вопрос - как такое может быть В ПРИЦИПЕ, с учетом того, какой пакет документов надо подготовить от организации для получения сертификата сотрудником и какие «суперзащищенные» КриптоПро предлагается использовать. На каком основании предоставляется доступ к чужим данным, если сертификат сотрудника ДОЛЖЕН быть действителен в системе только для доступа к данным конкретной организации и действия администратора клиента не имеют к этому никакого отношения.
Я рассматриваю данный инцидент как серьезную ошибку безопасности Диадока. Есть другие мнения?
Ответ
Порядок пользования Диадоком определяется договором и пользовательской документацией, выложенной на официальном сайте сервиса. В ней, в частности, есть раздел "Многопользовательский режим", в котором есть информация о том, что клиент (лицензиат по договору) самостоятельно добавляет и удаляет сотрудников в ящике. Администратор ящика самостоятельно принимает решение о добавлении, удалении сотрудников из ящика по различным причинами (например, прием на работу, увольнение, перевод на другую должность, в другое подразделение), контролирует эти вопросы, распределяет права в Диадоке. То есть этот момент находится в поле ответственности администратора ящика - одного или нескольких сотрудников организации-лицензиата. Наша организация, "СКБ Контур", ведёт свой документооборот в электронном виде именно по такой схеме, руководствуясь пользовательской документацией.
Сервис поддержки клиентов работает на платформе UserEcho
Порядок пользования Диадоком определяется договором и пользовательской документацией, выложенной на официальном сайте сервиса. В ней, в частности, есть раздел "Многопользовательский режим", в котором есть информация о том, что клиент (лицензиат по договору) самостоятельно добавляет и удаляет сотрудников в ящике. Администратор ящика самостоятельно принимает решение о добавлении, удалении сотрудников из ящика по различным причинами (например, прием на работу, увольнение, перевод на другую должность, в другое подразделение), контролирует эти вопросы, распределяет права в Диадоке. То есть этот момент находится в поле ответственности администратора ящика - одного или нескольких сотрудников организации-лицензиата. Наша организация, "СКБ Контур", ведёт свой документооборот в электронном виде именно по такой схеме, руководствуясь пользовательской документацией.