Kuidas Vantnod kaitseb finantsandmeid ja miks auditijälge saab usaldada
Noor toode ei saa paluda pimedat usaldust. Seepärast näitame arhitektuuri: kus andmed asuvad, kes tohib mida muuta ja mis on teadlikult veel välja lülitatud.
Andmebaas asub Frankfurdis ja taastada saab soovitud ajahetke seisu, ligipääs jõustatakse andmebaasis endas rea kaupa, iga rahaotsus saab serveris templi ning riskantsed liidestused püsivad väljas, kuni need on päris. Turvamudel ilma teatrita.
Küsimus, mis tasub välja öelda
Miks peaksin usaldama oma raamatupidamise noorele tootele? Asutajad küsivad seda meilt otse ja raamatupidajad veel teravamalt. Küsimus on õige ja väärib konkreetset vastust, mitte lehekülge logosid.
Vantnodi taga on Impact Node Oy Espoos, Soomes, kes toodet ehitab ja haldab. Me ei saa viidata aastakümnete pikkusele ajaloole, seega viitame arhitektuurile: kus andmed asuvad, mida andmebaas ise peale sunnib, kuidas ajalugu kirjutatakse ja millised võimalused püsivad väljas, kuni need on turvalised. Kõik allpool kirjeldab toodet sellisena, nagu see täna toodangus töötab.
Üks põhireegel hoiab tervikut koos: tootes ei ole ühtegi väljamõeldud numbrit. Iga arv viib tagasi allikakandeni ja näidisandmed on alati märgitud näidisandmeteks. Jutt turvalisusest peab vastama samale mõõdupuule.
Kus andmed asuvad
Raamatupidamisandmed asuvad EL-is. Andmebaas töötab Frankfurdis (eu-central-1) hallatud ja krüpteeritud taristul ning kogu liiklus on kaitstud TLS-iga.
Varukoopiad tehakse iga päev ja taastada saab ka soovitud ajahetke seisu, mitte ainult eelmise öö koopiat. Raamatupidamises on sel kaalu: null minutit või terve päev kaotatud kandeid on vahe tüli ja päris probleemi vahel.
Me ei lehvita siin sertifikaadiga. Andmete asukoht EL-is ja need disainivalikud toetavad Euroopa ootusi eraelu kaitsele, ja me kirjeldame pigem mehhanisme, kui väidame templit.
- 01Andmebaas Frankfurdis (eu-central-1), EL-i sees.
- 02Igapäevased varukoopiad ja taaste soovitud ajahetkeni.
- 03Hallatud ja krüpteeritud taristu, TLS igal ühendusel.
Auditijälg, mida brauser ei saa ümber kirjutada
Iga rahaga seotud otsus kirjutatakse serveris: kes tegi, mis muutus ja millal. Brauser ei kirjuta ajalukku kunagi otse ega saa seda tagantjärele muuta. Isegi murtud või lihtsalt vigane klient ei suuda jälge võltsida.
Saadetud arve on muutumatu versioon. Kui midagi on vaja parandada, on parandus uus kanne, mis viitab vanale, täpselt nii, nagu korralik raamatupidamine on alati töötanud. Majandusaasta sulgemine järgib sama distsipliini: suletud aastat ei muudeta vaikselt, vaid see tühistatakse ja suletakse uuesti seaduslike vastukannetega.
Praktikas tähendab see, et küsimusele 'kes selle kinnitas, mille alusel ja millal' leidub vastus ilma, et peaksid meilt paluma logi, mida sa ise ei näe.
- 01Server lisab igale rahaotsusele tegija, muudatuse ja aja.
- 02Ajalugu ei saa brauserist kirjutada ega muuta.
- 03Saadetud arved on muutumatud versioonid, parandused on uued kanded.
- 04Suletud majandusaasta muutub ainult tühistamis- ja taassulgemiskannetega.
Kes mida teha tohib ja kus seda jõustatakse
Ligipääsureeglid jõustatakse andmebaasis endas, rea kaupa, mitte ainult rakenduse koodis. Isegi kui koodis oleks viga, keeldub andmebaas andmast ühe ettevõtte ridu teise ettevõtte kasutajale. Rollipõhised õigused määravad selle peal, mida keegi näeb ja teeb.
AI-l on sama piir mis inimestel, ainult rangem: Noa soovitab, inimene kinnitab. Miski ei deklareeri, maksa ega kanna üksi. Halduspind on täiesti eraldi kiht oma ligipääsukontrolliga ning administraatorite identiteedid ja rollid on andmebaasis, kus need on auditeeritavad nagu kõik muu.
Ka brauseri pool on piiratud. Content Security Policy on jõustatud, mitte ainult raporteeriv: skriptid ja võrguühendused on lubatud ainult selge nimekirja järgi ning andmebaasiühendus on kinnitatud projekti enda hosti külge.
- 01Reapõhine turve andmebaasis, ettevõtte kaupa.
- 02Noa soovitab, inimene kinnitab. Miski ei kanna üksi.
- 03Eraldi halduspind, administraatorite identiteedid ja rollid andmebaasis.
- 04Jõustatud CSP lubatud nimekirjaga, andmebaasiühendus kinnitatud projekti hostile.
Mida me teadlikult veel ei tee
Kaks võimalust puuduvad nähtavalt ja meelega. Käibemaksu esitamine maksuhaldurile on ehitatud ja testitud, 31/31 otspunkti, ja siiski pole see toodangus sisse lülitatud. Kellegi teise maksude esitamine ei ole funktsioon, mida toodangus vaikselt proovitakse. See püsib väljas, kuni kogu ahel selle ümber on tõendatult korras.
Pangaühendused tulevad PSD2 litsentsiga agregaatori Enable Banking kaudu. Kuni ühendus pole päris, ei näita toode ühtegi ühendatud panka. Kui need tulevad, jäävad internetipanga tunnused panga ja agregaatori kätte. Vantnod ei näe neid kunagi.
Vaoshoitus on turvaomadus. Toode, mis laseb iga liidestuse välja kohe, kui see kompileerub, palub sul kanda tema riski. Meie näitame pigem ausat 'veel mitte' kui märkeruutu, mis teeb vaikselt vähem, kui lubab.