Zabezpieczenia zastosowane w systemie Asystent EFS+ spełniają wymagania techniczne i organizacyjne, jakim muszą odpowiadać urządzenia i systemy służące do przetwarzania danych osobowych. System jest jednocześnie dostosowany do wymogów RODO.
Dostęp do danych uczestników projektów ma tylko Administrator lub upoważnieni przez niego użytkownicy. System daje możliwość nadania uprawnień (dostępu) poszczególnym użytkownikom do konkretnych danych poprzez przydzielenie odpowiednich ról do konkretnego projektu. Dane uczestników wydarzeń przechowywane są w bazach danych w sposób, który uniemożliwia dostęp do nich osobom niepowołanym.
Dostęp użytkowników systemu do panelu administracyjnego jest automatycznie szyfrowany z wykorzystaniem protokołu HTTPS / SSL, co gwarantuje poufność i bezpieczeństwo informacji przesyłanych przez Internet pomiędzy użytkownikiem a serwerem. Dane przechowywane w bazach danych oraz na serwerze są również szyfrowane.
Systemy operacyjne przygotowane są od podstaw pod wymagania systemu Asystent EFS+. Zdalny dostęp ograniczony jest do koniecznego minimum (konserwacja systemów) i realizowany przez systemy firewall i VPN.
W celu wykrywania potencjalnie niebezpiecznych zdarzeń w systemie stosujemy rozbudowany monitoring poprzez: rejestrowanie istotnych zdarzeń systemowych i aktywności użytkowników, używanie systemów do wykrywania włamań (IDS) i zapobiegania włamaniom (IPS). Dla ochrony przed atakami stosowane są: przygotowane zapytania (prepared statements) i ORM (Object-Relational Mapping) – SQL Injection, prowadzona jest walidacja i kodowanie danych wejściowych oraz wyjściowych – XSS, używane są tokeny CSRF do weryfikacji autentyczności żądań.
