Jak nyní firmy vedou záznamy? Obvykle se jedná o balíček 1C nainstalovaný na místním počítači účetního, ve kterém pracuje účetní na plný úvazek nebo externí specialista. Outsourcing může současně řídit několik takových klientských společností, někdy i konkurenčních.
Díky tomuto přístupu se přístup k běžným účtům, kryptoochranným nástrojům, elektronické správě dokumentů a dalším důležitým službám konfiguruje přímo na počítači účetního.
Co to znamená? Že vše je v rukou účetního a pokud se rozhodne kádrovat majitele firmy, tak to udělá raz dva.
film "RocknRolla" (2008)
V tomto článku vám řekneme, jak bezpečně uzamknout všechny služby, včetně 1C, v jednom cloudu, abyste mohli deaktivovat všechny služby jedním tlačítkem, i když účetní odletěl na báječné Bali.
Co by se mohlo stát? Dva skutečné případy
Správce systému Wall Street
Manželka našeho spoluzakladatele je zkušená účetní a minulý měsíc se na ni obrátil velký řetězec restaurací v Moskvě o pomoc. Restaurace vedla všechny databáze na svém serveru, které spravoval stálý správce systému z týmu restaurace.
Právě když účetní pracovala, správce systému šel do online kasina a sebral virus, který zničil celou databázi. Na koho všechno sváděli? Správně, účetní, která právě dorazila.
Hrdinka má velké štěstí, že její manžel je řídícím partnerem hostingu a takovým věcem rozumí. Po dlouhém dohadování po telefonu (náš kolega už byl připraven jít ven a sám si vyčistit adminův obličej) byly nalezeny důkazy a viník byl potrestán. Ale databáze byla ztracena, to znamená, že pro správce systému nebyl žádný šťastný konec.
Notebook uvízl v cizím bytě
Toto je starý příběh od jiných lidí, které známe.
Zkušená 64letá žena pravidelně vedla účetní záznamy pro internetový obchod s čínskými gadgety pomocí 1C. Klient a databáze byly uloženy na notebooku, který dostala v práci. Bylo to pohodlné: lze snadno tisknout z kancelářských tiskáren, základna je malá a vejde se na netbook, můžete si ji vzít s sebou na venkov nebo domů.
Pak se stala tragédie: v pátek večer ji odvezla sanitka s mozkovou příhodou. Netbook zůstal doma, protože účetní byla zodpovědná a vzala si práci o víkendu.
Notebook se samozřejmě podařilo zachránit, účetní se vzpamatoval, ale pokud tuto situaci přeneseme do dnešních dnů a mrtvici nahradíme koronavirem, tak operace záchrany počítače z uzavřeného bytu nabývá úplně jiných rozměrů.
Mohou vám dvě kočky a labrador otevřít dveře? I když vaše sousedka zalévá květiny a krmí kočky, dá vám počítač?
Ale pojďme k 1C v cloudu – jaké jsou možnosti nasazení a provozu v cloudu.
Jaké jsou obecné možnosti práce s 1C v cloudu?
Možnost 1. Klient + podnikový aplikační server + databáze
Vhodné pro velké společnosti, které vyžadují služby celého týmu účetních. Jedná se o poměrně nákladnou možnost (je vyžadováno mnoho dalších licencí), nebudeme o tom uvažovat, protože článek je o nastavení práce účetního pro malou společnost.
Možnost 2. 1C: Čerstvé
1C: Fresh je poměrně pohodlný způsob, jak pracovat v 1C prostřednictvím prohlížeče. Nejsou nutná žádná nastavení: při pronájmu takové licence si franšízant nastaví vše sám a vy dostanete přihlašovací jméno a heslo.
Ale jsou tu dvě nevýhody:
✗ Vysoká cena: základní tarif za jednu aplikaci vyžaduje platbu na 6 měsíců najednou za minimálně dvě zakázky - 6808 RUR
✗ Nemůžete nastavit samotný VPS server, na kterém funguje mnoho společností najednou. Dostanete klíč pouze od svého pokoje na koleji na principu sdíleného hostingu.
Čerstvé má také konfiguraci 1C: BusinessStart, předplatné, které stojí 400 rublů jako propagace. za měsíc. Možnosti konfigurace jsou výrazně omezené, bez propagace bude předplatné stát 1000 XNUMX rublů a musíte za něj zaplatit alespoň šest měsíců.
Možnost 3: vlastní VPS, na kterém je nainstalován klient a databáze 1C
Tato možnost je vhodná pro malé společnosti s 1-2 účetními - mohou pracovat docela pohodlně bez instalace aplikačního serveru 1C: Enterprise a serveru SQL.
Hlavní krása tohoto přístupu je v tom, že pronajatá VPS může fungovat jako plnohodnotný pracovní počítač pro účetní s připojením RDP.
Když jsou všechny databáze, dokumenty a přístupy uloženy na VPS pod vaší kontrolou, nemusíte se bát, že by vám v bytě zamčené notebooky nebo účetní a systémový administrátor společně utekli na ostrovy a vzali všechny dokumenty a peníze z aktuálního účet. Přístup můžete zakázat jedním tlačítkem smazáním uživatele.
Tato metoda je také dobrá a zde je důvod:
- Když účetní pracuje v produktech 1C, 1C generuje spoustu dokumentů Word, Excel, Acrobat. Po spuštění klienta 1C na počítači účetního se všechny dokumenty uloží do jeho notebooku. Při práci na VPS se vše ukládá na virtuální počítač.
- Databáze a dokumenty 1C se vůbec nedostanou do osobního počítače účetního (při použití 1C: Fresh by se dokumenty musely stáhnout).
- Možnost připojit VPS k podnikové síti přes VPN a poskytnout účetnímu bezpečný přístup k interním zdrojům (pokud používáte 1C: Fresh, musel by být účetní osobní počítač připojen k zabezpečené LAN).
- Můžete nastavit bezpečnou integraci 1C: Enterprise s externími systémy: elektronický tok dokumentů, osobní účty bank, vládní služby atd. Pokud používáte 1C: Fresh, přístup k mnoha důležitým službám by musel být nakonfigurován na osobním počítači účetního.
A cena, samozřejmě. Pronájem virtuálního stroje s licencí 1C bude stát přibližně 1500 1 rublů. za měsíc, pokud si vezmete královské sazby od drahých poskytovatelů hostingu. To není o moc dražší než minimální základní balíček služeb XNUMXC: Fresh a výrazně levnější než ostatní předplatné. Můžete platit měsíčně.
Licenci lze zakoupit u kteréhokoli nabyvatele franšízy a cena závisí na konfiguraci balíčku produktů a služeb a po vypršení termínu si budete muset připlatit za podporu prostřednictvím portálu 1C: ITS za aktualizace.
Pokud si vezmete u nás pro takové účely nabízíme virtuální stroj s předinstalovaným klientem 1C: Enterprise (stačí nám napsat na podporu s popisem vašeho úkolu). Pronájem virtuálního stroje stojí přibližně 800 rublů. za měsíc a náklady na pronájem licence 1C pro jedno pracoviště budou dalších 700 rublů. Poskytujeme podporu bez dalších nákladů, zatímco 1C: Enterprise aktualizují naši specialisté, pokud napíšete na technickou podporu.
Pro účetního bude vše vypadat úplně stejně – známá plocha, ikony, dokonce si můžete pověsit známou tapetu. A teď k věci, jak vytvořit a nakonfigurovat takový cloud, ke kterému lze jedním tlačítkem zakázat přístup.
Objednáváme VPS s vestavěným 1C: Enterprise
Pro účetního je ideální OS Windows. Ohledně síly VPS - podle našich zkušeností pro pohodlnou práci jednoho nebo dvou zaměstnanců se souborovým serverem verze 1C: Podnik bude mít dostatek konfigurace se dvěma výpočetními jádry, alespoň 4-5 GB RAM a rychlých 50 GB SSD.
Služby neautomatizujeme, dokud si nebudeme jisti, co přesně klienti potřebují, takže jeho připojení ještě není automatizované a musíte si objednat server od 1C přes ticket systém. Vše za vás ručně nakonfigurujeme.
Když se připojíte k vytvořenému virtuálnímu stroji přes RDP, uvidíte něco takového.
Přenos databáze 1C
Dalším krokem je stažení databáze z verze 1C: Enterprise dříve nainstalované v účetním počítači.
Poté jej musíte nahrát na virtuální server přes FTP, prostřednictvím libovolného cloudového úložiště nebo připojením místního disku k VPS pomocí klienta RDP.
Dále musíte do klientského programu přidat informační základnu: jak to udělat, ukážeme na snímcích obrazovky.
Po úspěšném přidání databáze 1C: Enterprise jste připraveni pracovat na vlastním VPS. Zbývá pouze nastavení vzdálených ploch pro uživatele a integrace s různými externími systémy, jako jsou osobní bankovní účty nebo služby elektronické správy dokumentů.
Nastavení vzdálených ploch
Ve výchozím nastavení Windows Server umožňuje maximálně dvě současné relace RDP pro správu systému. Jejich používání pro práci není technicky náročné (stačí přidat neprivilegovaného uživatele do příslušné skupiny), jedná se však o porušení podmínek licenční smlouvy.
Chcete-li nasadit plnou službu Remote Desktop Services (RDS), musíte přidat role a funkce serveru, aktivovat licenční server nebo použít externí server a nainstalovat samostatně zakoupené licence pro klientský přístup (RDS CAL).
I zde vám můžeme pomoci: RDS CAL si u nás můžete zakoupit jednoduchým psaním . Pokračujeme dále: nainstalujeme je na náš licenční server a nakonfigurujeme Služby vzdálené plochy.
Ale samozřejmě, pokud byste si chtěli věci nastavit sami, nebudeme vám kazit zábavu.
Po nastavení RDS může účetní začít pracovat s 1C: Enterprise na virtuálním serveru jako na místním počítači. Nezapomeňte si do VPS nainstalovat standardní účetní software: kancelářský balík, prohlížeč třetí strany, Acrobat Reader.
Nyní zbývá pouze postarat se o připojení klienta 1C k bankovním osobním účtům.
Nastavení integrace s bankami
1C: Enterprise má technologii DirectBank pro přímou výměnu dat s bankami, bez instalace dalšího softwaru. Umožňuje stahovat výpisy a odesílat platební doklady bez jejich nahrávání do souborů, pokud banka takový standard interakce podporuje (jinak si budete muset vystačit s textovými soubory ve formátu 1C po staru, ale to nevadí - nyní jsou uloženy na virtuálním počítači).
Nejprve se v účetním programu vytvoří běžný účet (pokud ještě nebyl vytvořen) a poté musíte otevřít jeho formulář na kartě organizace a vybrat příkaz „Connect 1C: DirectBank“. Nastavení výměny lze do 1C: Enterprise načíst automaticky nebo ručně: podrobné pokyny naleznete na webových stránkách banky. V některých případech musí být integrace s produkty 1C povolena samostatně ve vašem osobním účtu.
K nastavení možná budete potřebovat přihlašovací jméno a heslo k osobnímu účtu společnosti v bance. Nejběžnější používanou metodou je dvoufaktorová autentizace (2FA) prostřednictvím SMS.
Další oblíbená možnost, bezpečný hardwarový token, pro nás není vhodná z důvodu použití virtuálního serveru. Chráněná média by navíc musela být vyvezena z areálu společnosti a předána účetnímu pracujícímu na dálku, čímž by se nad nimi ztratila kontrola.
Možnost s přihlášením/heslem a 2FA přes SMS může být také nebezpečná, ačkoli technologie DirectBank umožňuje pouze přijímat výpisy a odesílat platební doklady. Aby mohli provést platbu, budou muset být ověřeni elektronickým digitálním podpisem, který je uložen na bezpečném fyzickém médiu klienta nebo na straně banky. V prvním případě nejsou žádné problémy: pokud externí účetní nebude mít přístup k tokenu, bude moci pouze generovat dokumenty.
V případě cloudového digitálního podpisu je SMS s jednorázovým kódem pro potvrzení platby obvykle zaslána na stejné telefonní číslo, které bylo použito pro ověření ve vašem osobním účtu. Některé banky samy tento problém vyřešily tím, že zákazníkům umožnily výměnu dat přes DirectBank bez 2FA. Účetní v tomto případě bude moci pouze stahovat výpisy a odesílat dokumenty, ale nezíská přístup k penězům a dokonce ani ke svému osobnímu účtu.
Existuje další možnost oddělení úrovní přístupu: mnoho bank vám umožňuje používat účet ve státních službách prostřednictvím jednotného identifikačního a autentizačního systému (). Manažer stačí přejít do nastavení svého účtu, vybrat kartu „Organizace“ a pozvat zaměstnance. Když pozvánku přijme, v sekci „Přístup k systémům“ najdete svou banku (po nastavení integrace s ní) a poskytnete uživateli přístup k vašemu osobnímu účtu. V tomto případě mu není třeba převádět telefonní číslo nebo token používaný k podpisu platebních dokumentů.
Připojení ke službám EDF
Služby pro výměnu elektronických dokumentů jsou pohodlné a díky univerzální práci na dálku jsou prostě nezbytné. Klient 1C: Enterprise se s nimi integruje, ale právně významné EDI vyžaduje použití kvalifikovaného elektronického podpisu.
Lze jej nahrát pouze na flash disk nebo uložit do cloudové služby, která má příslušné certifikáty od tuzemských regulátorů.
Nahrát elektronický podpis na jakékoli médium nebo jej uložit na VPS nelze, proto obvykle účetní pracuje s elektronickou správou dokumentů z lokálního počítače vložením flash disku. Je na něm nainstalován certifikovaný nástroj ochrany kryptografických informací (tzv. cryptoprovider) a certifikát veřejného elektronického podpisu. Jeho uzavřená část je uložena na flash disku, který musí být fyzicky připojen k počítači, aby bylo možné podepisovat dokumenty v programech podporujících tuto funkci. Pro práci s EDI přes webové rozhraní budete potřebovat pluginy prohlížeče.
Aby kritický podnikový systém nemusel být nasazen na osobním počítači specialisty pracujícího na dálku, je užitečné i VPS, zde však nebude fungovat možnost s fyzickým tokenem.
Těžko říct, jak se bude poskytovatel kryptoměn chovat ve virtuálním prostředí, zvláště když se snaží přesměrovat USB port na VPS přes RDP klienta. Zůstává cloudový digitální podpis bez fyzického média, ale ne všechny služby toku elektronických dokumentů takovou službu nabízejí. Mimochodem, stojí to asi tisíc rublů ročně, nepočítaje předplatné za samotnou službu výměny dokumentů, které závisí na objemu.
Dobrou zprávou je, že téměř všechny populární ruské služby již dávno zavedly vzájemný roaming dokumentů, takže se můžete připojit ke komukoli. Je tu také špatná zpráva: nebude možné se úplně zbavit papíru, protože mezi protistranami budou určitě ti, kteří EDI nepoužívají.
Nastavení přístupu ke službám pomocí certifikátů
Mnoho služeb umožňuje autentizaci a autorizaci bez přihlášení a hesla pomocí klientských certifikátů SSL, které lze nainstalovat i na VPS, a ne na počítač účetního.
Stejným způsobem můžete nastavit ověřování u podnikových webových zdrojů. Jak to udělat:
- Kupte si důvěryhodnou certifikační autoritu, abyste ji mohli používat k podepisování a ověřování klientských certifikátů SSL;
- Vytvářejte klientské certifikáty SSL podepsané důvěryhodným certifikátem;
- Konfigurace webových serverů pro vyžádání a ověření klientských certifikátů SSL;
- Nainstalujte klientské certifikáty pro uživatele vzdálené plochy na VPS.
Téma nasazení 1C: Enterprises pro malé podniky na virtuálních serverech je široké, popsali jsme pouze jednu metodu vhodnou pro zajištění bezpečnosti účetnictví.
VPS může někdy dobře sloužit a vyhnout se instalaci kritických IT řešení a vzdálenému přenosu soukromých firemních dat do osobního počítače specialisty.
Doufáme, že pro vás byl článek užitečný.
Zdroj: www.habr.com