The system should enforce automatic session termination or require user re-authentication after a defined period of user inactivity
under review
Lauri Juurijoki
The maximum allowable period of inactivity before session timeout should be determined by risk assessment of the client companay but must not exceed xx minutes. Session management processes should be ready for future adjustment as security needs evolve. The solution shall also support regular monitoring and review of timeout settings to ensure compliance and the continued protection of sensitive data.
Teemu Karuluoto
marked this post as
under review
We will probably not implement it exactly like this, but I think we can work something out!
Lauri Juurijoki
Teemu, pääasia, että tulisi kiireisesti käyttöön. Nykyinen ratkaisu ei kestä minkäänlaista tietoturva- tai tietosuojatarkastelua. Minä, GDPR:n mukaisena rekisterinpitäjänä, olen vastuussa kontakteissa olevista henkilötiedoista, ja siten myös vastuussa siitä, että esim. tilitoimistoni ei aiheuta tietosuojaloukkausta. Nyt NoCFOn kirjautumispolitiikan vuoksi olen täysin sen armoilla.
Vastaavissa järjestelmissä, joiden kautta on mahdollista siirtää nopeasti suuriakin summia epärehellisesti, vanhenee kirjautuminen yleensä kymmenissä minuuteissa. NoCFOssa ei taida kirjautuminen vanhentua tällä hetkellä lainkaan :o
Teemu Karuluoto
Lauri Juurijoki Tämä on otettu suunnitteluun ja tehdään se todennäköisesti niin, että tietyn ajan inactivityn jälkeen käyttäjä automaattisesti kirjataan ulos.
Tällä hetkellä kirjautuminen vanhenee, mutta vasta pidemmän ajan kuluessa. Maksujen tekeminen on rajattu käyttöoikeuksissa vain tietyille henkilöille. Ennen kuin saadaan lyhyemmän välin automaattinen log out valmiiksi, voi käyttäjä itse manuaalisesti kirjautua aina käytön jälkeen ulos varmistaakseen ettei kukaan pääse hänen koneella/kännykällä tekemään toimenpiteitä siellä.
Asia etenee siis! Kiitos palautteesta vielä 👍�
I
Ilmo
Teemu Karuluoto Tärkeää olisi että sen ajan pystyy itse säätämään esim tunneista useiksi päiviksi! Nykyisessä kirjapito-ohjelmassamme se heittää liian pian ulos, joka ärsyttää suunnattomasti. NoCFO on kiikarissa tällä hetkellä.
Lauri Juurijoki
Ymmärrän hyvin, että se ärsyttää, mutta tietoturva- ja tietosuojanäkökulmasta on täysin kestämätöntä, että ajan pystyisi säätämään useiksi päiviksi. Vastuu asiakasrekisteristä on yrittäjällä, ja jos yritättäjän kirjanpitäjä pystyy säätämään ajan useiksi päiviksi, ei yrittäjän velvoite huolehtia henkilötietoja sisältävistä tiedoista toteudu. NoCFO ei tällä hetkellä ole GDPR compliant eikä olisi jatkossakaan, jos Ilmo sinun toiveesi toteutettaisiin.
I
Ilmo
Lauri Juurijoki se olikin ehdotus, eli sitten vaikka 4-8 tuntia / kirjautuminen. Esim kallis Procountor mikä meillä on, asiakaspalvelun kautta saa pyydettyä pidemmän kirjatumis ajan