Політика контролю доступу PhotoRobot

Цей документ визначає політику контролю доступу PhotoRobot. У ній описується, як PhotoRobot керує автентифікацією, авторизацією та обліковими записами користувачів. Політика контролю доступу підтримує дотримання договірних зобов'язань PhotoRobot відповідно до DPA та SLA. 

‍

‍

Автентифікація

• SSO через Google Identity (OIDC)
• У PhotoRobot Cloud немає локальних паролів
• Складність паролів і політики MFA, які впроваджує Google.

‍

‍

Авторизація (RBAC)

Ролі включають:

• Виробництво
• Лаштунками
• Ретушер

Доступ надається на підставі:

• Обов'язки роботи
• Принцип найменшого привілею 
• Робочий процес затвердження

‍

‍

Забезпечення

• Акаунти, створені лише через SSO
• Доступ надано вручну уповноваженим адміністратором
• Усі призначення задокументовано

‍

‍

Депровізія

• Доступ видаляється одразу після припинення або зміни ролі
• Контрольний список виходу з борту виконується
• Журнали, що зберігаються для аудиту

‍

‍

Керування сесією

• Автоматичне закінчення сесії
• Тайм-аут на хозу примусово
• Після закінчення терміну дії потрібна повторна автентифікація

‍

‍

Огляди доступу до системи

• Періодичні аудити доступу
• Огляд неактивних акаунтів
• Перевірка відповідності найменшим привілеям

‍

‍

Доступ до API

• Ключі API, прив'язані до сервісних облікових записів
• Клавіші оберталися регулярно
• Дозволи обмежені необхідними ресурсами