Wyzwanie
PayPo, lider w Polsce płatności odroczonych, zwraca uwagę na bezpieczeństwo swoich usług. Rosnąca liczba klientów oraz coraz większy asortyment usług finansowych powoduje wzrost liczby systemów i pracowników.
Utrzymanie zarządzania dostępem w takich okolicznościach przestało być efektywne przy zastosowaniu dotychczasowych metod. Zarządzanie dostępem jest jednym z filarów bezpieczeństwa, wymuszonym również przez prawo i regulacje takie jak Rozporządzenie o Ochronie Danych Osobowych.
Dodatkowo PayPo, będąc instytucją finansową, jest zobligowane do spełnienia szeregu wymagań w zakresie cyberbezpieczeństwa nakładanych przez prawo z tym związane i organy nadzorcze takie jak Komisja Nadzoru Finansowego.
Najważniejsze wymagania, które PayPo postawiło przed przyszłym systemem zarządzania tożsamością:
- Formalizacja zasad wnioskowania, przydzielania, modyfikacji i odbierania dostępu do systemów;
- Automatyzacja procesu onboardingu nowych pracowników w zakresie przyznawania uprawnień;
- Automatyzacja procesu odbierania uprawnień przy zmianie stanowiska lub odejściu pracownika;
- Ograniczenie zakresu nadawanego dostępu do merytorycznego zakresu obowiązków i uprawnień użytkownika;
- Audytowalność nadanych uprawnień oraz automatyzacja generowania raportów niezbędnych do przeglądu uprawnień;
- Opracowanie standardowych profili dostępu dla określonych grup pracowników lub stanowisk pracy;
- Zastosowanie narzędzi automatyzujących proces zarządzania uprawnieniami użytkowników;
- Utrzymanie rejestru wszystkich użytkowników wraz ze strukturą organizacyjną oraz systemów i uprawnień do nich;
- Przechowywanie dowodów na zatwierdzanie i odrzucanie wniosków o uprawnienia.
Ignorowanie regulacji Komisji Nadzoru Finansowego lub RODO może skutkować wyciekiem poufnych informacji, co może narazić firmę na kary finansowe i zaszkodzić jej reputacji.
Rozwiązanie
PayPo przeanalizowało dostępne na rynku narzędzia, które wspierają spełnienie wymagań w obszarze zarządzania tożsamością i dostępami. Wybór padł na nasz system PASK, jednak w wyniku analizy okazało się, że rozwiązanie musi spełnić dodatkowe wymagania, których nie obsługiwało.
Na szczęście, jako producent PASK zawsze mamy możliwość dostosowania systemu do wymagań naszych Klientów. W efekcie, w kolejnych wersjach dostarczyliśmy system realizujący zidentyfikowane potrzeby.
Poza wymaganiami funkcjonalnymi z punktu widzenia PayPo najbardziej istotny był czas wdrożenia, które w przypadku PASK trwało 8 tygodni. Klient wskazywał również na możliwe ograniczenia wynikające z zaangażowania jego zespołu z racji obciążenia innymi obowiązkami. Zależało mu na takim rozwiązaniu, które nie będzie mocno angażowało zasobów firmy na etapie wdrożenia, a zarazem dawało możliwość rezygnacji z subskrypcji w dowolnym momencie.
Jak wyglądał proces wdrożenia systemu PASK w PayPo?
Czas realizacji
Priorytetem PayPo było sprawne wdrożenie PASK, które zostało zrealizowane między majem a czerwcem 2022 r. Z kolei w lipcu odbywał się okres próbny, aby przetestować rozwiązanie.
Następnie zaimplementowane zostały dodatkowe funkcje, które pierwotnie nie były częścią systemu. Dokonano tego w trzyetapowym procesie, a wersje systemu były wydawane kolejno we wrześniu i listopadzie 2022 r., oraz ostateczna wersja w styczniu 2023 r.
W ramach wspomnianych wyżej kolejnych wersji zaimplementowany został zestaw funkcjonalności, które uwzględniły m.in.:
- rozbudowę raportu aktywnych oraz historycznych dostępów tożsamości,
- usprawnienie graficzne konfiguracji powiadomień,
- rozbudowę widoku z uzasadnieniem w przypadku zamykania zadań,
- usprawnienie dotyczące wysyłania powiadomień mailowych z informacją o konieczności podjęcia działań w systemie.
Korzyści biznesowe
W wyniku projektu klient spełnia wszelkie niezbędne wymagania w zakresie zarządzania tożsamością i dostępem, zarówno te związane z regulacjami prawnymi (np. RODO), organami nadzorczymi (KNF) jak i ze standardami i normami bezpieczeństwa informacji jak np. ISO 27001.
Kluczowe wymagania, które zostały spełnione dzięki implementacji systemu PASK:
Wymaganie | W jaki sposób system PASK spełnił wymaganie |
Inwentaryzacja z punktu widzenia chronionych zasobów, użytkowników oraz historii nadawania uprawnień | PASK zapewnia użytkownikom możliwość audytu bieżących i przeszłych dostępów do zasobów, umożliwiając eksportowanie raportów zawierających szczegóły, np. jakie dostępy miała dana tożsamość w określonym czasie, do jakich zasobów oraz kto te dostępy zaakceptował/zrealizował wnioski o dostęp. |
Efektywność procesów nadawania i odbierania uprawnień | System PASK dba o to, aby odpowiednie uprawnienia zostały automatycznie nadane lub cofnięte w ustalonym terminie rozpoczęcia, lub zakończenia współpracy. |
Rekoncyliacja uprawnień | PASK umożliwia generowanie raportów zawierających aktualny stan uprawnień, które są niezbędne w obowiązkowym procesie przeglądu uprawnień. |
Ustandaryzowany proces akceptacji i realizacji wniosków dostępowych | PASK umożliwia konfigurację ścieżek akceptacji i realizacji zadań nadawania dostępów dla poszczególnych zasobów, w tym wskazywanie osób odpowiedzialnych za akceptację uprawnienia oraz realizację nadania dostępów. |
Zastosowanie zasad związanych z zarządzaniem przez role | Zarządzanie dostępami w PASK odbywa się przez Role, czyli skonkretyzowane zestawy uprawnień przydzielone do danego stanowiska czy sprawowanej funkcji. |
Oprócz stosowania się do wymagań zewnętrznych organizacji regulacyjnych i normalizacyjnych jedną z ważniejszych potrzeb PayPo było skrócenie czasochłonnego procesu audytu dostępów. Przed implementacją PASK praca ta zajmowała nawet kilka dni. Obecnie Klient jest w stanie wygenerować raport w kilka minut.
Klientowi zależało również na zminimalizowaniu nakładu pracy, który trzeba było poświęcić wcześniej na zarządzanie dostępem. Proces realizowany był manualnie, głównie poprzez wiadomości e-mail, co powodowało błędy, było coraz trudniejsze i czasochłonne. Jest to tym bardziej istotne dla rozwijających się firm, które mają stale rosnącą liczbę pracowników (PayPo aktualnie zatrudnia 200 osób). PASK usprawnił zarządzanie dostępem, pozwalając również na automatyzację wielu zadań.
Oparty na rolach system PASK do zarządzania dostępem pozwala efektywnie organizować i przydzielać różne poziomy dostępu do poszczególnych stanowisk.
Oparty na rolach system PASK do zarządzania dostępem pozwala efektywnie organizować i przydzielać różne poziomy dostępu do poszczególnych stanowisk.
PASK poprawił precyzję nadawania dostępów, ponieważ tłumaczy komunikaty biznesowe na język techniczny zrozumiały dla administratorów odpowiedzialnych za fizyczne nadawanie dostępów. Dodatkowo uprościł zatwierdzanie wniosków o dostęp poprzez uporządkowanie i automatyzację tego procesu.