BSGBSG-ITОбсудить задачу
На главную
Безопасность

Как снижаем риски при работах с 1С и данными

В проектах 1С безопасность начинается не с красивых обещаний, а с дисциплины: ограниченные доступы, тестовый контур, понятные изменения, проверяемые интеграции и резервное хранение заявок.

Что важно для заказчика

При внедрении ERP, БИТ.Финанс, 1С:УТ, интеграций и управленческой отчетности подрядчик может видеть учетные данные, документы, справочники, персональные данные, платежные процессы и коммерческую информацию. Поэтому безопасность проекта должна быть частью организации работ, а не отдельной формальностью в конце договора.

Мы заранее обсуждаем, какие данные нужны, где лучше работать в тестовом контуре, как фиксировать изменения, кто принимает результат и что делать, если обмен или доработка ведет себя не так, как ожидалось.

Когда безопасность особенно критична

  • доступ подрядчика шире, чем нужно для задачи;
  • доработка сразу попадает в рабочую базу без проверки;
  • обмен создает дубли или теряет статусы при повторной отправке;
  • нет понятного владельца данных и правил исправления ошибок;
  • резервная копия есть формально, но восстановление давно не проверялось;
  • заявки и контакты клиентов завязаны только на один внешний канал уведомлений.
Проверить готовность к проекту

Практики, которые используем в работе

Доступы по задаче

Запрашиваем только те права, которые нужны для диагностики, разработки или поддержки. Разделяем доступы к рабочей базе, тестовой базе, серверу и внешним сервисам.

Работа через тестовый контур

Критичные доработки, обмены, обновления и переносы данных сначала проверяются на копии или тестовой базе, если это возможно в инфраструктуре клиента.

Фиксация изменений

Согласуем задачу, ожидаемый результат и критерии приемки. Для сложных работ выделяем этапы: диагностика, проектирование, разработка, проверка, запуск.

Контроль интеграций

Для обменов с сайтом, CRM, EDI, WMS, маркетплейсами, банками и BI проверяем статусы, журнал ошибок, повторную отправку и восстановление после сбоя.

Персональные данные

Публичные формы требуют согласие на обработку данных. Обращения сохраняются на сайте и не зависят от одного канала уведомлений.

Закрытая эксплуатация

Не выносим наружу исходники, файлы заявок, переменные окружения и служебные данные. Публичная поверхность регулярно проверяется на доступность и закрытость служебных файлов.

Как выглядит безопасный порядок работ

1

До доступа

Уточняем задачу, контур работ, ответственных, способ подключения и ограничения по данным.

2

Перед изменениями

Проверяем резервную копию или возможность отката, согласуем окно работ и критерии проверки.

3

Во время работ

Держим изменения в рамках задачи, не смешиваем диагностику, разработку и массовые правки данных без согласования.

4

Перед запуском

Проверяем сценарии пользователей, обмены, отчеты, права и критичные документы.

5

После запуска

Смотрим ошибки, обращения пользователей, стабильность обменов и очередь улучшений.

Нужен аудит рисков перед изменениями в 1С?

Можно начать с диагностики: разобрать доступы, резервные копии, критичные обмены, доработки, обновления, ручные правки данных и порядок запуска изменений.

Смотреть форматы диагностики

Запросить диагностику

Коротко опишите, что нужно разобрать: ERP-проект, БИТ.Финанс, интеграции, отчетность или текущую поддержку 1С.

Вопросы о безопасности работ

Можно ли начать без полного доступа к рабочей базе?

Да. Для первого разбора часто достаточно демонстрации экрана, описания симптомов, выгрузок, структуры обменов и тестового доступа. Полный доступ обсуждается только если он нужен для конкретной задачи.

Как безопаснее проверять доработки 1С?

Оптимальный вариант - тестовая база или копия, понятные сценарии проверки и отдельное согласование переноса в рабочий контур. Для критичных изменений заранее обсуждается откат.

Что важно проверить в интеграциях 1С?

Нужны владельцы данных, статусы обменов, журнал ошибок, защита от дублей, повторная отправка и понятный регламент на случай недоступности внешнего API.

Как BSG-IT относится к персональным данным в заявках?

Формы требуют согласие, обращения сохраняются на сайте, а уведомления используются только как дополнительный канал. Публичный сайт не должен отдавать файлы заявок наружу.