Confira a entrevista na íntegra com Nadya Knyazeva, Gerente de Comunicação da ONLYOFFICE, a plataforma open source que possui mais de sete milhões de usuários no mundo e pode ser usada em computadores pessoais, dispositivos móveis, redes locais e em nuvem pública
Portal Crypto ID: Como a plataforma garante evidências como a confidencialidade e a temporalidade dos documentos eletrônicos?
Nadya Knyazeva: Oferecemos ferramentas para garantir a segurança dos dados em todas as frentes. Aqui está uma lista de medidas de segurança com a qual trabalhamos no ONLYOFFICE Workspace:
HTTPS
- Backups automáticos e manuais
- Regras de autenticação: lista de permissões de domínios de IP e e-mail com o quais os usuários podem se registrar, comprimento/tamanho das senhas
- Autenticação de dois fatores
LDAP / SSO
Rastreamento de logins e outras ações de usuários
Direitos de acesso a módulos (Documentos, Projetos, etc) e arquivos para usuários e grupos de usuários
Criptografia em repouso – é possível executar o tipo de criptografia Encrypt-then-MAC (AES-256-CBC + HMAC-SHA256) de todo o corpo de dados na instância ONLYOFFICE. O tipo de criptografia AES 256 com algoritmo simétrico CipherMode.CBC é usado para criptografar os dados no portal, enquanto a função de hash SHA256 emparelhada com a triagem de código de autenticação de mensagem HMAC verifica a integridade e a autenticidade dos dados criptografados.
Colaboração criptografada em salas privadas, locais de trabalho protegidos onde cada símbolo que você digita é criptografado usando o algoritmo AES-256 inquebrável, mesmo se você estiver coeditando documentos com seus colegas de equipe em tempo real. Recomendamos prestar atenção a esse recurso porque é único.
Ninguém antes de nós surgiu com uma solução para proteger a colaboração de documentos em tempo real. Você pode ler mais sobre isso neste post (em inglês). Além disso, a proteção contra acesso não autorizado a documentos com a ajuda do JWT é ativada por padrão. Essa tecnologia protege o tráfego do portal e garante que os usuários não possam acessar mais dados do que é permitido a eles.
Portal Crypto ID: Como a plataforma controla os acessos? Existe uma chave de autenticação por usuário que defina a autoria dos arquivos e alterações? Pode explicar? Além disso, como vocês garantem a integridade dos arquivos, ou seja, como garantem que não houve acesso e alteração dos arquivos por terceiros não autorizados?
Nadya Knyazeva: Vou responder às perguntas 2 e 3 juntas. Quando se trata de editar documentos armazenados no ONLYOFFICE Workspace, a segurança é baseada na assinatura de todas as solicitações mútuas com o JWT. Os editores do ONLYOFFICE solicitam uma assinatura criptografada contida no token. O token é adicionado na configuração quando o Editor de Documentos é inicializado e durante a troca de comandos entre serviços internos (serviço de armazenamento, serviço de edição, serviço de comando e serviço de conversão), portanto, validando o direito de executar uma determinada operação com os dados. Você pode dar uma olhada em nossa documentação de API para saber mais.
Portal Crypto ID: Como garantir para as empresas o acesso aos arquivos nos casos em que funcionários/colaboradores deixarem de fazer parte do quadro da empresa?
Nadya Knyazeva: Complementando o que disse na questão anterior, fornecemos aos administradores todas as ferramentas para controlar o acesso aos arquivos (Gerenciamento dos direitos de acesso, acompanhamento do histórico de login e ações do usuário, etc). Depois que o funcionário deixar a empresa, você deve excluir o usuário do ONLYOFFICE Workspace. Ele nunca será capaz de acessar nada. Armazenamos token de autenticação em cookies. Torna-se inválido depois que o usuário foi excluído.
Portal Crypto ID: Existe sistema de backup?
Nadya Knyazeva: Definitivamente. Você pode configurar backups automáticos e também realizar backups manuais sempre que desejar.
Portal Crypto ID: Vocês tem algum caso de ransomware entre seus clientes? Como resolveram e/ou como evitam?
Nadya Knyazeva: Segundo nossa equipe de suporte, nossos usuários nunca relataram este tipo de problema.
Portal Crypto ID: A plataforma reconhece sistemas de Identificação Digital? Por exemplo: certificados digitais e biometria?
Nadya Knyazeva: No momento ainda não.
Portal Crypto ID: Vocês já imaginaram o uso de blockchain?
Nadya Knyazeva: Ainda mais! Tentamos implementá-lo. Tínhamos uma solução que permitia criptografar documentos usando o algoritmo AES-256 e usamos uma rede Ethereum para armazenamento de senhas e direitos de acesso. Ele tinha um mecanismo de autenticação complicado com uma frase secreta que era muito difícil para os usuários. Decidimos criar uma solução mais fácil de usar e sugerimos as Salas privadas. Mas estamos pensando seriamente em retornar às tecnologias de blockchain.
Portal Crypto ID: Que tipo de empresa deve colocar essa plataforma em seu radar?
Nadya Knyazeva: ONLYOFFICE começou como uma solução para pequenas e médias empresas, mas a maioria de nossos usuários representa grandes empresas, universidades, agências governamentais, instituições de saúde e centros de pesquisa. Também temos muitas pequenas e médias empresas e usuários pessoais, pois também oferecemos soluções econômicas e até gratuitas de código aberto.
Portal Crypto ID: Como uma empresas contrata os serviços? Poderia dar uma escala de valores para um empresa que tem entre 20 ou 50 funcionários e entre 100 e 200 usuários?
Nadya Knyazeva: A versão Enterprise auto-hospedada começa com um valor de $ 1.900,00 (R$ 10.621,88) para 50 usuários. Esse preço aumenta dependendo do número de usuários e dos serviços que você precisa. Por exemplo, para 100 usuários, o valor sobe para $ 3.800,00 (R$ 21.243,75) e para 200 usuários, fica em $ 7.600,00 (R$ 42.487,50).
Portal Crypto ID: Para finalizar, quais os benefícios da sua plataforma em termos de celeridade e redução de custo para empresas se comparada a outras plataformas?
Nadya Knyazeva: Bem, você economiza muito, pois com nossa solução você obtém uma alternativa completa ao MS Office com compatibilidade máxima com DOCX, XLSX, PPTX e suporte para outros formatos populares, além de ferramenta de gerenciamento de projetos, CRM, e-mail, calendário e uma plataforma para construir uma rede social corporativa. Também oferecemos recursos avançados de segurança, incluindo salas privadas.
IBM lança serviço de Blockchain baseado em Open Source
Empresas de hospedagem de sites também estão na mira dos ataques de ransomware