SMSAPI Jak dbac o bezpieczenstwo konta klienta w SMSAPI

Spis treści

Kwestię bezpieczeństwa traktujemy niezwykle poważnie. Na kontach użytkowników przechowywane są przecież poufne informacje dotyczące klientów. Dlatego w 2021 zdobyliśmy certyfikat ISO 27001, na bieżąco monitorujemy też działanie platformy SMSAPI. Poznaj weryfikację dwuskładnikową SMS, bezpieczne hasła, szyfrowanie, tokeny i listowanie adresów IP.

O co nigdy nie poprosi Cię pracownik SMSAPI?

Pracownik SMSAPI nigdy nie poprosi Cię o:

  • hasło
  • token
  • przekazanie kontroli nad komputerem
  • instalajcę aplikacji
  • szybki przelew lub płatności za pomocą przesłanego linku

Pracownik SMSAPI może zapytać Cię o:

  • login
  • adres e-mail
  • publiczne dane firmy (nazwa, adres, NIP)

SMSAPI posiada certyfikat ISO 27001

Czy wiesz, że od 2021 SMSAPI posiada certyfikat ISO 27001? Jest to gwarancja wysokiego standardu zabezpieczeń i rzetelnego podejścia do bezpieczeństwa danych i naszej infrastruktury. Przeczytaj więcej na temat certyfikacji oraz tego, co zmienia z perspektywy użytkownika platformy masowych wysyłek SMS.

Monitoring 24/7

Zanim przejdziemy do rozwiązań systemowych, które pomogą Ci w zabezpieczeniu konta SMSAPI, warto wspomnieć, że od listopada 2019 w naszej gliwickiej siedzibie działa Network Operations Center. Ten zespół specjalistów zajmuje się ciągłym monitorowaniem poprawnego działania usług SMSAPI.

NOC funkcjonuje w systemie zmianowym, dzięki czemu zapewnia 24-godzinny monitoring, niezależnie od świąt i dni wolnych. Do kompetencji zespołu należy rozwiązywanie wszystkich incydentów i usterek wydarzających się poza godzinami pracy biura, a także opracowywanie rozwiązań, które mają na celu minimalizowanie ryzyka ich powstania.

Przeczytaj wywiad z leadem NOC

Bezpieczne hasło – silne, unikalne i co jeszcze?

Silne i unikalne hasło to fundament bezpieczeństwa Twojego konta. Co to jednak znaczy, że dane hasło uważane jest za mocne i niepowtarzalne? Po pierwsze, hasło do konta SMSAPI musi składać się z przynajmniej 8 znaków, w tym jednej wielkiej litery oraz cyfry. Każdy kolejny znak czyni hasło jeszcze trudniejszym do złamania!

Dodatkowo sugerujemy, żeby było unikalne. To znaczy, że nie użyjesz go nigdzie indziej. Dlaczego to takie ważne? Ponieważ w przypadku wycieku danych logowania w innym serwisie, niepowołane osoby nie będą mogły wykorzystać pozyskanych informacji do wejścia na Twoje konto. Zasada odnosi się oczywiście do wszystkich innych usług online.

Łączy się z nią trzecia rada – rozważ użycie menadżera haseł. Możesz skorzystać z rozwiązań płatnych lub darmowych np. wbudowanych w Twoją przeglądarkę internetową. Takie narzędzie wygeneruje mocne, unikalne hasła, a także przechowa je w bezpiecznym banku.

Wymuś okresową zmianę hasła

Finalną radą odnośnie danych logowania jest okresowe zmienianie haseł, tak aby zmniejszyć ryzyko ich wycieku i przez to przejęcia konta. Co miesiąc system poprosi Cię o podanie nowego hasła. W Panelu Klienta SMSAPI, w zakładce Zabezpieczenia znajdziesz odpowiednią opcję.

Dodatkowe zabezpieczenia konta SMSAPI - zmiana hasła co 30 dni

Logowanie z hasłem SMS, czyli 2FA SMS

Autoryzacja dwuskładnikowa (2FA) jest dodatkową warstwą zabezpieczającą konto. Opcja logowania z hasłem SMS wymusza podanie przesłanego kodu podczas logowania do systemu. Taki sposób logowania jest bezpieczniejszy od zwykłego, ponieważ poza sprawdzeniem loginu i hasła wymaga także dostępu do zarejestrowanego w systemie telefonu.

Logowanie przy pomocy wiadomości tekstowej uruchomisz w zakładce Zabezpieczenia.

Zabezpieczenie Logowania Haslem SMS

Po wpisaniu aktualnego hasła i numeru telefonu, system poprosi Cię o podanie kodu SMS przesłanego na wskazany numer. Po pomyślnej weryfikacji, uwierzytelnianie wielkoskładnikowe zostanie aktywowane. Od tej pory, przy każdym logowaniu będzie wymagane podanie kodu weryfikacyjnego przesłanego SMS-em.

SMS Authenticator – bezpieczne logowanie SMS dla firm

Na potrzeby klientów SMSAPI stworzyliśmy SMS Authenticator. Dzięki tej funkcji, użytkownicy mogą wprowadzić w swoich systemach bezpieczne logowanie za pomocą kodu weryfikacyjnego wysłanego wiadomością tekstową. Działa ono w ten sam sposób, co logowanie z hasłem SMS do konta SMSAPI.

Szyfrowanie połączenia

Połączenie z SMSAPI zabezpieczone jest certyfikatem SSL. Został on wystawiony przez sprawdzonych, renomowanych dostawców, którzy gwarantują wiarygodność naszej strony internetowej. Szyfrowanie dotyczy zarówno przeglądarkowej wersji serwisu, jak i odwołań poprzez API.

Te zabezpieczenia uniemożliwiają przechwycenie informacji podczas połączenia z Platformą przez urządzenia pośredniczące w komunikacji sieciowej (np. dostawcę połączenia internetowego).

Korzystamy z TLS 1.2, starsze wersje nie są już wspierane.

Tokeny OAuth2 – bezpieczne logowanie po API

Product Manager Jakub Kluz

Token OAuth2 jest ciągiem znaków, który pozwala połączyć się z API serwisu SMSAPI. Dla systemu informatycznego, który chce w sposób zautomatyzowany (nie przez Panel) korzystać z naszych usług, token pełni rolę użytkownika i hasła, które wpisujemy wchodząc do Panelu Klienta.

Oddzielenie tych dwóch sposobów logowania poprawia bezpieczeństwo – informacje i usługi, do których system informatyczny ma dostęp za pomocą tokena, można ograniczyć (na przykład pozwalając na wysyłkę SMS-ów, ale zabraniając sprawdzania bazy kontaktów), a sam token – wyłączyć lub usunąć.

Takie podejście pozwala bardzo szczegółowo określać to, co system informatyczny będzie w stanie zrobić oraz do jakich informacji powiązanych z kontem będzie mieć dostęp.

Warto wykorzystywać te ograniczenia, pamiętając, że jedną z zasad bezpieczeństwa jest minimalizowanie zbieranych i przetwarzanych danych.

Jakub Kluz – Product & Frontend Manager w SMSAPI
SMSAPI Tokeny OAuth2 API

Użytkownicy – wydzielanie dostępu do konta

Jeżeli z firmowego konta w SMSAPI korzysta więcej niż jeden pracownik, warto rozważyć utworzenie subkonta użytkownika. Dzięki temu wydzielisz niezbędne uprawnienia, ustalisz preferowany czas wysyłki wiadomości, przyznasz dostępy do baz kontaktów i pól nadawców oraz przysługujące limity punktów na kampanie.

SMSAPI Dodaj Nowego Uzytkownika

Rozwiązanie sprawdza się zarówno w większych przedsiębiorstwach, jak i sieciach sprzedażowych posiadających oddzielne filie.

Jak stworzyć oddzielnego użytkownika konta SMSAPI? Instrukcja wideo

IP whitelist – ograniczenie dozwolonych adresów

Rozwiązaniem, które w znaczący sposób ogranicza możliwość uzyskania dostępu do platformy przez niepowołane osoby jest listowanie adresów IP. Możesz określić, z jakich adresów dozwolone będzie logowanie do Panelu Klienta oraz połączenie poprzez API. Pamiętaj, że są to dwie oddzielne listy.

IP whitelist – API:

SMSAPI Filtr Adresow IP API
W Ustawieniach API (dolna część lewego menu) ustalisz Filtr adresów IP,
z których możliwe ma być połączenie z API.

IP whitelist – Panel Klienta:

SMSAPI Weryfikacja Adresow IP Whitelist
W Ustawieniach konta określisz adresy, z których można się zalogować do Panelu Klienta.

Więcej opcji zabezpieczenia konta

W sekcji Zabezpieczenia możesz również ustalić preferowany czas trwania sesji. Z rozsuwanej listy wybierz, po jakim czasie braku aktywności nastąpi bezpieczne wylogowanie z systemu. Ta opcja jest przydatna, jeżeli zdarza Ci się pracować w miejscach publicznych lub jeżeli współdzielisz komputer, z którego logujesz się do Platformy.

SMSAPI Email Logowanie SMS

W celu ochrony przed nieuprawnionym dostępem do konta, system informuje mailowo o próbie logowania z nowego urządzenia. W przypadku podejrzanej aktywności na koncie, sugerujemy zmianę hasła.

Blokada wysyłki linków

W celu ochrony końcowych odbiorców wiadomości wprowadziliśmy blokadę wysyłki łączy URL w SMS. Zabezpieczenie dotyczy wyłącznie podejrzanych i nowo zarejestrowanych kont. Ograniczenie usuwamy po weryfikacji danych firmowych przez naszego pracownika.

Jak zgłosić awarię, usterkę lub inny problem z SMSAPI?

Masz cztery sposoby na skontaktowanie się z pracownikiem SMSAPI:

  • Chat w prawym dolnym rogu strony
  • E-mail do opiekuna konta znajdziesz w lewym dolnym rogu
  • Rozmowa telefoniczna z opiekunem lub Biurem Obsługi Klienta
  • Formularz Zgłoś awarię w menu Pomoc na górze Panelu Klienta