0
Не ошибка

диадок - доступ к чужим данным

Ostrov 6 лет назад обновлен Захаров Владислав (Специалист поддержки) 6 лет назад 1

Вопрос – баг или фича?

Сотрудник работал в Диадоке со своим сертификатом от компании «А», соответственно был внесен в системе Диадок в список сотрудников данной организации. Сертификат закончился летом 2017 года. Сотрудник уволился, но не был удален администратором организации «А»  из списка сотрудников организации в системе Диадок ( важно -  сертификат данного уволившегося сотрудника  уже  недействительный ).

Этот же сотрудник начинает работать в 2018 году в компании  «Б», получает сертификат для Диадока от организации «Б», и  после входа в систему Диадок с новым сертификатом  …. получает возможность выбрать свою старую компанию «А» и  доступ ко всем  документам компании  «A» в Диадоке.

В техподдержке «мудро»  советуют удалить администратору компании  «A» данного сотрудника  из списка сотрудников организации, что бы нормализовать ситуацию.

Вопрос -  как такое может быть В ПРИЦИПЕ, с учетом того, какой пакет документов надо подготовить от организации для получения сертификата сотрудником и какие «суперзащищенные»  КриптоПро предлагается использовать. На каком основании предоставляется доступ к чужим данным, если сертификат сотрудника  ДОЛЖЕН быть  действителен в системе только для доступа к данным конкретной организации и действия администратора клиента не имеют к этому никакого отношения.      

Я рассматриваю данный  инцидент как серьезную ошибку безопасности  Диадока.  Есть другие мнения?

Ответ

Ответ
Не ошибка

Порядок пользования Диадоком определяется договором и пользовательской документацией, выложенной на официальном сайте сервиса. В ней, в частности, есть раздел "Многопользовательский режим", в котором есть информация о том, что клиент (лицензиат по договору) самостоятельно добавляет и удаляет сотрудников в ящике. Администратор ящика самостоятельно принимает решение о добавлении, удалении сотрудников из ящика по различным причинами (например, прием на работу, увольнение, перевод на другую должность, в другое подразделение), контролирует эти вопросы, распределяет права в Диадоке. То есть этот момент находится в поле ответственности администратора ящика - одного или нескольких сотрудников организации-лицензиата. Наша организация, "СКБ Контур", ведёт свой документооборот в электронном виде именно по такой схеме, руководствуясь пользовательской документацией.

Ответ
Не ошибка

Порядок пользования Диадоком определяется договором и пользовательской документацией, выложенной на официальном сайте сервиса. В ней, в частности, есть раздел "Многопользовательский режим", в котором есть информация о том, что клиент (лицензиат по договору) самостоятельно добавляет и удаляет сотрудников в ящике. Администратор ящика самостоятельно принимает решение о добавлении, удалении сотрудников из ящика по различным причинами (например, прием на работу, увольнение, перевод на другую должность, в другое подразделение), контролирует эти вопросы, распределяет права в Диадоке. То есть этот момент находится в поле ответственности администратора ящика - одного или нескольких сотрудников организации-лицензиата. Наша организация, "СКБ Контур", ведёт свой документооборот в электронном виде именно по такой схеме, руководствуясь пользовательской документацией.

Сервис поддержки клиентов работает на платформе UserEcho