Blog

Jak dbać o bezpieczeństwo konta klienta w SMSAPI?

SMSAPI Jak dbac o bezpieczenstwo konta klienta w SMSAPI

Kwestie bezpieczeństwa są w SMSAPI traktowane niezwykle poważnie. Na kontach naszych użytkowników przechowywane są przecież poufne informacje dotyczące klientów firm. Zachowanie podstawowych zasad związanych z ochroną danych logowania może uchronić przed większością nadużyć. Dlatego, postanowiliśmy zebrać i zaprezentować rozwiązania oferowane przez system SMSAPI, które pomogą Ci w zabezpieczeniu konta, nawet w sytuacji wycieku hasła. Poznaj weryfikację dwuskładnikową, bezpieczne szyfrowanie, tokeny i listowanie adresów IP.

Uwaga

Pracownik SMSAPI nigdy nie poprosi Cię o podanie hasła do Twojego konta.

Monitoring 24/7

Zanim przejdziemy do rozwiązań systemowych, które pomogą Ci w zabezpieczeniu konta SMSAPI, warto wspomnieć, że od listopada 2019 w naszej gliwickiej siedzibie działa Network Operations Center. Ten zespół specjalistów zajmuje się ciągłym monitorowaniem poprawnego działania usług SMSAPI.

NOC funkcjonuje w systemie zmianowym, dzięki czemu zapewnia 24-godzinny monitoring, niezależnie od świąt i dni wolnych. Do kompetencji zespołu należy rozwiązywanie wszystkich incydentów i usterek wydarzających się poza godzinami pracy biura, a także opracowywanie rozwiązań, które mają na celu minimalizowanie ryzyka ich powstania.

SMSAPI Marta Wagner 10 Pytań Network Operations Center
Jeżeli chcesz dowiedzieć się więcej na temat pracy działu monitoringu,
zapraszamy do przeczytania wywiadu z Martą Wagner – kierowniczką NOC.

Logowanie z hasłem SMS

Autoryzacja dwuskładnikowa jest dodatkową warstwą zabezpieczającą konto. Opcja logowania z hasłem SMS wymusza podanie przesłanego kodu podczas logowania do systemu. Taki sposób logowania jest bezpieczniejszy od zwykłego, ponieważ poza sprawdzeniem loginu i hasła wymaga także dostępu do zarejestrowanego w systemie telefonu.

Aby uruchomić logowanie przy pomocy wiadomości tekstowej należy przejść do Ustawień konta, a następnie wybrać zakładkę Zabezpieczenia.

SMSAPI Zabezpieczenie Logowania Haslem SMS

Po wpisaniu aktualnego hasła i numeru telefonu, na który mają przychodzić kody autoryzujące, należy jeszcze podać przesłany SMS-em kod weryfikacyjny. Po zatwierdzeniu zabezpieczenia, uwierzytelnianie wielkoskładnikowe zostanie aktywowane. Od tej pory, przy każdym logowaniu będzie wymagane podanie kodu weryfikacyjnego przesłanego SMS-em.

SMS Authenticator – bezpieczne logowanie SMS dla firm

Co więcej, na potrzeby naszych klientów stworzyliśmy także SMS Authenticator. Dzięki tej funkcji, użytkownicy mogą wprowadzić w swoich systemach bezpieczne logowanie za pomocą kodu weryfikacyjnego wysłanego wiadomością tekstową. Działa ono w ten sam sposób, co logowanie z hasłem SMS do konta SMSAPI.

Szyfrowanie połączenia

Połączenie z SMSAPI zabezpieczone jest certyfikatem SSL. Został on wystawiony przez sprawdzonych, renomowanych dostawców, którzy gwarantują wiarygodność naszej strony internetowej. Szyfrowanie dotyczy zarówno przeglądarkowej wersji serwisu, jak i odwołań poprzez API.

Te zabezpieczenia uniemożliwiają przechwycenie informacji podczas połączenie z Platformą przez urządzenia pośredniczące w komunikacji sieciowej (np. dostawcę połączenia internetowego).

Korzystamy z TLS 1.2, starsze wersje nie są już wspierane.

Tokeny OAuth2 – bezpieczne logowanie po API

SMSAPI Product Manager Jakub Kluz
Jakub Kluz
Product Manager w SMSAPI

Token OAuth2 jest ciągiem znaków, który pozwala połączyć się z API serwisu SMSAPI. Dla systemu informatycznego, który chce w sposób zautomatyzowany (nie korzystając z Panelu Klienta) korzystać z naszych usług, token pełni rolę użytkownika i hasła, które wpisujemy wchodząc do Panelu Klienta.

SMSAPI Tokeny OAuth2 API

Oddzielenie tych dwóch sposobów logowania poprawia bezpieczeństwo – informacje i usługi, do których system informatyczny ma dostęp za pomocą tokena, można ograniczyć (na przykład pozwalając na wysyłkę SMS-ów, ale zabraniając sprawdzania bazy kontaktów), a sam token – wyłączyć lub usunąć.

Takie podejście pozwala bardzo szczegółowo określać to, co system informatyczny będzie w stanie zrobić oraz do jakich informacji powiązanych z kontem będzie mieć dostęp.

Warto wykorzystywać te ograniczenia, pamiętając, że jedną z zasad bezpieczeństwa jest minimalizowanie zbieranych i przetwarzanych danych.

Użytkownicy – wydzielanie dostępu do konta

Jeżeli z firmowego konta w SMSAPI korzysta więcej niż jeden pracownik, warto rozważyć utworzenie subkonta Użytkownika. Dzięki temu wydzielisz niezbędne uprawnienia, ustalisz preferowany czas wysyłki wiadomości, przyznasz dostępy do baz kontaktów i pól nadawców oraz przysługujące limity punktów na kampanie.

SMSAPI Dodaj Nowego Uzytkownika

Rozwiązanie sprawdza się zarówno w większych przedsiębiorstwach, jak i sieciach sprzedażowych posiadających oddzielne filie.

Bezpieczne hasło

Zalecamy korzystanie z mocnego, unikalnego hasła, którego nie używasz w żadnym innym serwisie. Wymagamy, aby się składało z przynajmniej 8 znaków, w tym jednej wielkiej litery i cyfry.

IP whitelist – ograniczenie dozwolonych adresów

Rozwiązaniem, które w znaczący sposób ogranicza możliwość uzyskania dostępu do platformy przez niepowołane osoby jest listowanie adresów IP.

Możesz określić, z jakich adresów dozwolone będzie logowanie do Panelu Klienta oraz połączenie poprzez API. Pamiętaj, że są to dwie oddzielne listy.

IP whitelist – API:

SMSAPI Filtr Adresow IP API
W Ustawieniach API (dolna część lewego menu) ustalisz Filtr adresów IP,
z których możliwe ma być połączenie z API.

IP whitelist – Panel Klienta:

SMSAPI Weryfikacja Adresow IP Whitelist
W Ustawieniach konta określisz adresy, z których można się zalogować do Panelu Klienta.

Więcej opcji zabezpieczenia konta

Jeżeli polityka bezpieczeństwa Twojej firmy tego wymaga możesz także wymusić okresową zmianę hasła do konta SMSAPI. Po aktywowaniu tej funkcji, system co 30 dni poinformuje Cię o potrzebie ustawienia nowych danych logowania. Przypomnienie ustawisz w zakładce Zabezpieczenia.

Tam również możesz ustalić preferowany czas trwania sesji. Z rozsuwanej listy wybierz, po jakim czasie braku aktywności nastąpi bezpieczne wylogowanie z systemu. Ta opcja jest przydatna, jeżeli zdarza Ci się pracować w miejscach publicznych lub jeżeli współdzielisz komputer, z którego logujesz się do Platformy.

SMSAPI Email Logowanie SMS

Dodatkowo, w celu ochrony przed nieuprawionym dostęp do konta, system informuje mailowo o próbie logowania z nowego urządzenia. W przypadku podejrzanej aktywności na koncie, sugerujemy zmianę hasła. W razie jakichkolwiek pytań, zapraszamy do kontaktu!