Skontaktuj się z nami →

Wdrożenie systemu IdM PASK w PayPo  

Wdrożenie systemu IdM PASK w PayPo  

Systemowe zarządzanie dostępem (z ang. access management) to kluczowy obszar, na który muszą zwrócić uwagę organizacje z branży technologii finansowych, takie jak PayPo. Firmy przetwarzające dane osobowe pracowników, kontrahentów i klientów muszą zagwarantować, że ich technologie zarządzania tożsamością i dostępem zapewniają odpowiedni poziom ochrony. Takie zadanie jest niezwykle trudne lub wręcz niemożliwe do realizacji bez odpowiednich narzędzi IdM/IAM. 
Wdrożenie systemu IdM PASK w PayPo  

Kamila Ciepielewska | 2024-05-10

Wyzwanie 

PayPo, lider w Polsce płatności odroczonych, zwraca uwagę na bezpieczeństwo swoich usług. Rosnąca liczba klientów oraz coraz większy asortyment usług finansowych powoduje wzrost liczby systemów i pracowników. 

Utrzymanie zarządzania dostępem w takich okolicznościach przestało być efektywne przy zastosowaniu dotychczasowych metod. Zarządzanie dostępem jest jednym z filarów bezpieczeństwa, wymuszonym również przez prawo i regulacje takie jak Rozporządzenie o Ochronie Danych Osobowych. 

Dodatkowo PayPo, będąc instytucją finansową, jest zobligowane do spełnienia szeregu wymagań w zakresie cyberbezpieczeństwa nakładanych przez prawo z tym związane i organy nadzorcze takie jak Komisja Nadzoru Finansowego. 

Najważniejsze wymagania, które PayPo postawiło przed przyszłym systemem zarządzania tożsamością: 

  • Formalizacja zasad wnioskowania, przydzielania, modyfikacji i odbierania dostępu do systemów; 
  • Automatyzacja procesu onboardingu nowych pracowników w zakresie przyznawania uprawnień; 
  • Automatyzacja procesu odbierania uprawnień przy zmianie stanowiska lub odejściu pracownika; 
  • Ograniczenie zakresu nadawanego dostępu do merytorycznego zakresu obowiązków i uprawnień użytkownika; 
  • Audytowalność nadanych uprawnień oraz automatyzacja generowania raportów niezbędnych do przeglądu uprawnień; 
  • Opracowanie standardowych profili dostępu dla określonych grup pracowników lub stanowisk pracy; 
  • Zastosowanie narzędzi automatyzujących proces zarządzania uprawnieniami użytkowników; 
  • Utrzymanie rejestru wszystkich użytkowników wraz ze strukturą organizacyjną oraz systemów i uprawnień do nich; 
  • Przechowywanie dowodów na zatwierdzanie i odrzucanie wniosków o uprawnienia. 

Ignorowanie regulacji Komisji Nadzoru Finansowego lub RODO może skutkować wyciekiem poufnych informacji, co może narazić firmę na kary finansowe i zaszkodzić jej reputacji. 

Rozwiązanie 

PayPo przeanalizowało dostępne na rynku narzędzia, które wspierają spełnienie wymagań w obszarze zarządzania tożsamością i dostępami. Wybór padł na nasz system PASK, jednak w wyniku analizy okazało się, że rozwiązanie musi spełnić dodatkowe wymagania, których nie obsługiwało. 

Na szczęście, jako producent PASK zawsze mamy możliwość dostosowania systemu do wymagań naszych Klientów. W efekcie, w kolejnych wersjach dostarczyliśmy system realizujący zidentyfikowane potrzeby. 

Poza wymaganiami funkcjonalnymi z punktu widzenia PayPo najbardziej istotny był czas wdrożenia, które w przypadku PASK trwało 8 tygodni. Klient wskazywał również na możliwe ograniczenia wynikające z zaangażowania jego zespołu z racji obciążenia innymi obowiązkami. Zależało mu na takim rozwiązaniu, które nie będzie mocno angażowało zasobów firmy na etapie wdrożenia, a zarazem dawało możliwość rezygnacji z subskrypcji w dowolnym momencie. 

Jak wyglądał proces wdrożenia systemu PASK w PayPo? 

Czas realizacji 

Priorytetem PayPo było sprawne wdrożenie PASK, które zostało zrealizowane między majem a czerwcem 2022 r. Z kolei w lipcu odbywał się okres próbny, aby przetestować rozwiązanie. 

Następnie zaimplementowane zostały dodatkowe funkcje, które pierwotnie nie były częścią systemu. Dokonano tego w trzyetapowym procesie, a wersje systemu były wydawane kolejno we wrześniu i listopadzie 2022 r., oraz ostateczna wersja w styczniu 2023 r. 

W ramach wspomnianych wyżej kolejnych wersji zaimplementowany został zestaw funkcjonalności, które uwzględniły m.in.:  

  • rozbudowę raportu aktywnych oraz historycznych dostępów tożsamości, 
  • usprawnienie graficzne konfiguracji powiadomień, 
  • rozbudowę widoku z uzasadnieniem w przypadku zamykania zadań,  
  • usprawnienie dotyczące wysyłania powiadomień mailowych z informacją o konieczności podjęcia działań w systemie.  

Korzyści biznesowe 

W wyniku projektu klient spełnia wszelkie niezbędne wymagania w zakresie zarządzania tożsamością i dostępem, zarówno te związane z regulacjami prawnymi (np. RODO), organami nadzorczymi (KNF) jak i ze standardami i normami bezpieczeństwa informacji jak np. ISO 27001. 

Kluczowe wymagania, które zostały spełnione dzięki implementacji systemu PASK: 

Wymaganie  W jaki sposób system PASK spełnił wymaganie  
Inwentaryzacja z punktu widzenia chronionych zasobów, użytkowników oraz historii nadawania uprawnień PASK zapewnia użytkownikom możliwość audytu bieżących i przeszłych dostępów do zasobów, umożliwiając eksportowanie raportów zawierających szczegóły, np. jakie dostępy miała dana tożsamość w określonym czasie, do jakich zasobów oraz kto te dostępy zaakceptował/zrealizował wnioski o dostęp. 
Efektywność procesów nadawania i odbierania uprawnień System PASK dba o to, aby odpowiednie uprawnienia zostały automatycznie nadane lub cofnięte w ustalonym terminie rozpoczęcia, lub zakończenia współpracy. 
Rekoncyliacja uprawnień PASK umożliwia generowanie raportów zawierających aktualny stan uprawnień, które są niezbędne w obowiązkowym procesie przeglądu uprawnień. 
Ustandaryzowany proces akceptacji i realizacji wniosków dostępowych PASK umożliwia konfigurację ścieżek akceptacji i realizacji zadań nadawania dostępów dla poszczególnych zasobów, w tym  wskazywanie osób odpowiedzialnych za akceptację uprawnienia oraz realizację nadania dostępów. 
Zastosowanie zasad związanych z zarządzaniem przez role Zarządzanie dostępami w PASK odbywa się przez Role, czyli skonkretyzowane zestawy uprawnień przydzielone do danego stanowiska czy sprawowanej funkcji. 

Oprócz stosowania się do wymagań zewnętrznych organizacji regulacyjnych i normalizacyjnych jedną z ważniejszych potrzeb PayPo było skrócenie czasochłonnego procesu audytu dostępów. Przed implementacją PASK praca ta zajmowała nawet kilka dni.  Obecnie Klient jest w stanie wygenerować raport w kilka minut. 

Klientowi zależało również na zminimalizowaniu nakładu pracy, który trzeba było poświęcić wcześniej na zarządzanie dostępem. Proces realizowany był manualnie, głównie poprzez wiadomości e-mail, co powodowało błędy, było coraz trudniejsze i czasochłonne. Jest to tym bardziej istotne dla rozwijających się firm, które mają stale rosnącą liczbę pracowników (PayPo aktualnie zatrudnia 200 osób). PASK usprawnił zarządzanie dostępem, pozwalając również na automatyzację wielu zadań. 

Oparty na rolach system PASK do zarządzania dostępem pozwala efektywnie organizować i przydzielać różne poziomy dostępu do poszczególnych stanowisk. 

Oparty na rolach system PASK do zarządzania dostępem pozwala efektywnie organizować i przydzielać różne poziomy dostępu do poszczególnych stanowisk.  

PASK poprawił precyzję nadawania dostępów, ponieważ tłumaczy komunikaty biznesowe na język techniczny zrozumiały dla administratorów odpowiedzialnych za fizyczne nadawanie dostępów. Dodatkowo uprościł zatwierdzanie wniosków o dostęp poprzez uporządkowanie i automatyzację tego procesu. 

Współpraca z firmą Uniteam przebiegała bez zastrzeżeń, wdrożenie PASK zrealizowano sprawnie, terminowo, z wykorzystaniem fachowej wiedzy i doświadczenia.” 
Marcin Kabaciński – CISO, PayPo 
Tweet

2024-07-16
Published by Adriana Krzeminska on 2024-07-16
Kategorie

Czy IT lubi się ze sportem?

Przez lata utarło się przekonanie, że specjalista IT swój wolny czas najchętniej spędza, grając w szachy albo e-sporty, czyli np. gry sportowe czy zręcznościowe strzelanki na konsoli. Ten stereotyp jest bardzo odległy od współczesnych realiów, w jakich żyją przedstawiciele branży IT. Świadomi negatywnego wpływu pracy przed komputerem dbają o zdrowie i prowadzą aktywny tryb życia. Potwierdzają to badania, a także nasze obserwacje osób z zespołu Uniteam.
Do you like it?
Zobacz więcej →
2024-06-12
Published by Kamila Ciepielewska on 2024-06-12
Kategorie

Optymalizacja onboardingu i offboardingu pracownika: najlepsze praktyki zarządzania dostępami w firmie

W każdej firmie funkcjonuje tzw. cykl życia pracownika. Składa się on z kilku kluczowych etapów, ale w kontekście zwinności działania firmy oraz bezpieczeństwa danych szczególnie istotne są dwa: onboarding, czyli rozpoczęcie pracy w organizacji, oraz offboarding, związany z zakończeniem współpracy.
Do you like it?
Zobacz więcej →
2024-05-10
Published by Kamila Ciepielewska on 2024-05-10
Kategorie

Wytworzenie w Jira procesu akceptacji raportów czasu pracy

Projekt został zrealizowany w odpowiedzi na potrzeby klienta z branży telekomunikacyjnej. Firma T-Mobile posiadała rozbudowaną i zróżnicowaną strukturę IT. Klient korzystał z różnych form zatrudnienia pracowników od umów o pracę, przez umowy B2B, po współpracę z firmami outsourcingowymi. Struktura organizacyjna klienta opierała się na zespołach dziedzinowych, tzw. tribe'ach, takich jak analitycy czy developerzy. Członkowie zespołów dziedzinowych angażowani byli nie tylko w wewnętrzne, ale i w zewnętrzne projekty, często kilka w jednym czasie. W ten sposób tworzono oddzielne zespoły projektowe z dodatkową hierarchią zlecania i odbierania prac. 
Do you like it?
Zobacz więcej →