Comment les entreprises tiennent-elles désormais des registres ? Il s'agit généralement d'un package 1C installé sur l'ordinateur local du comptable, dans lequel travaille un comptable à temps plein ou un spécialiste externalisé. Un infogérant peut gérer simultanément plusieurs de ces sociétés clientes, parfois même concurrentes.
Avec cette approche, l’accès aux comptes courants, les outils de crypto-protection, la gestion électronique des documents et d’autres services importants sont configurés directement sur l’ordinateur du comptable.
Qu'est-ce que ça veut dire? Que tout est entre les mains du comptable et s'il décide de piéger le propriétaire de l'entreprise, il le fera une ou deux fois.
film « RocknRolla » (2008)
Dans cet article, nous vous expliquerons comment verrouiller en toute sécurité tous les services, y compris 1C, dans un seul cloud, afin que vous puissiez désactiver tous les services avec un seul bouton, même si le comptable s'est envolé pour la fabuleuse Bali.
Que pourrait-il arriver ? Deux cas réels
Administrateur système de Wall Street
L’épouse de notre cofondateur est une comptable expérimentée et le mois dernier, une grande chaîne de restaurants de Moscou s’est tournée vers elle pour obtenir de l’aide. Le restaurant conservait toutes les bases de données sur son serveur, qui étaient gérées par un administrateur système permanent de l'équipe du restaurant.
Alors que le comptable travaillait, l'administrateur système s'est rendu dans un casino en ligne et a détecté un virus qui a détruit toute la base de données. À qui ont-ils tout reproché ? C'est vrai, le comptable qui vient d'arriver.
L'héroïne a beaucoup de chance que son mari soit l'associé directeur de l'hébergement et comprenne de telles choses. Après de nombreuses discussions au téléphone (notre collègue était déjà prêt à sortir et nettoyer lui-même le visage de l'administrateur), des preuves ont été trouvées et le coupable a été puni. Mais la base de données a été perdue, c'est-à-dire qu'il n'y a pas eu de fin heureuse pour l'administrateur système.
Ordinateur portable coincé dans l'appartement de quelqu'un d'autre
C'est une vieille histoire racontée par d'autres personnes que nous connaissons.
Une femme expérimentée de 64 ans tenait régulièrement la comptabilité d'une boutique en ligne de gadgets chinois utilisant 1C. Le client et la base de données étaient stockés sur un ordinateur portable qui lui avait été remis au travail. C'était pratique : il est facile d'imprimer à partir d'imprimantes de bureau, la base est petite et tient sur un netbook, vous pouvez l'emporter avec vous à la campagne ou à la maison.
Puis le drame est arrivé : vendredi soir, elle a été emmenée en ambulance à la suite d'un accident vasculaire cérébral. Le netbook est resté à la maison parce que le comptable était responsable et travaillait le week-end.
L'ordinateur portable, bien sûr, a été sauvé, le comptable a récupéré, mais si nous transférons cette situation à l'époque actuelle et remplaçons l'accident vasculaire cérébral par un coronavirus, alors l'opération de sauvetage d'un ordinateur d'un appartement fermé prend des proportions complètement différentes.
Deux chats et un labrador peuvent-ils vous ouvrir la porte ? Même si votre voisine arrose les fleurs et nourrit les chats, vous donnera-t-elle l’ordinateur ?
Mais passons au 1C dans le cloud - quelles sont les options de déploiement et d'exploitation dans le cloud.
Quelles sont les options générales pour travailler avec 1C dans le cloud ?
Option 1. Client + serveur d'applications d'entreprise + base de données
Convient aux grandes entreprises qui nécessitent les services de toute une équipe de comptables. Il s'agit d'une option assez coûteuse (de nombreuses licences supplémentaires sont nécessaires), nous ne l'envisagerons pas, car l'article concerne la mise en place du travail de comptable pour une petite entreprise.
Option 2. 1C : Frais
1C : Fresh est un moyen assez pratique de travailler en 1C via un navigateur. Aucun paramétrage n'est requis : lors de la location d'une telle licence, l'entreprise franchisée configurera tout elle-même et vous recevrez un identifiant et un mot de passe.
Mais il y a deux inconvénients :
✗ Prix élevé : le tarif de base pour une demande nécessite un paiement pendant 6 mois d'affilée pour au moins deux travaux - 6808 RUR
✗ Vous ne pouvez pas configurer vous-même un serveur VPS, sur lequel plusieurs entreprises opèrent en même temps. Vous recevez uniquement la clé de votre dortoir, sur le principe de l'hébergement mutualisé.
Le Fresh dispose également de la configuration 1C : BusinessStart, un abonnement auquel coûte 400 roubles en promotion. par mois. Les options de configuration sont considérablement limitées : sans promotion, un abonnement coûtera 1000 XNUMX roubles et vous devrez également le payer pendant au moins six mois.
Option 3 : votre propre VPS, sur lequel le client et la base de données 1C sont installés
Cette option convient aux petites entreprises avec 1 à 2 comptables - elles peuvent travailler assez confortablement sans installer le serveur d'applications 1C : Enterprise et le serveur SQL.
La principale beauté de cette approche est qu'un VPS loué peut servir d'ordinateur de travail à part entière pour un comptable disposant d'une connexion RDP.
Lorsque toutes les bases de données, documents et accès sont stockés sur un VPS sous votre contrôle, vous n'avez pas à vous soucier des ordinateurs portables enfermés dans votre appartement ou du comptable et de l'administrateur système s'enfuyant ensemble vers les îles, emportant tous les documents et l'argent du compte actuel. compte. Vous pouvez désactiver l'accès avec un seul bouton en supprimant l'utilisateur.
Cette méthode est également bonne et voici pourquoi :
- Lorsqu'un comptable travaille dans les produits 1C, 1C génère de nombreux documents Word, Excel, Acrobat. Lorsque le client 1C est lancé sur l'ordinateur du comptable, tous les documents sont enregistrés sur son ordinateur portable. Lorsque vous travaillez sur un VPS, tout est enregistré sur la machine virtuelle.
- Les bases de données et les documents 1C n'arrivent pas du tout sur l'ordinateur personnel du comptable (si vous utilisez 1C : Fresh, les documents devront être téléchargés).
- La possibilité de connecter un VPS au réseau d'entreprise via VPN et de fournir au comptable un accès sécurisé aux ressources internes (si vous utilisez 1C : Fresh, l'ordinateur personnel du comptable devra être connecté à un réseau local sécurisé pour cela).
- Vous pouvez mettre en place une intégration sécurisée de 1C : Enterprise avec des systèmes externes : flux de documents électroniques, comptes personnels des banques, services gouvernementaux, etc. Si vous utilisez 1C : Fresh, l'accès à de nombreux services critiques devra être configuré sur l'ordinateur personnel du comptable.
Et le prix, bien sûr. La location d'une machine virtuelle avec une licence 1C coûtera environ 1500 1 roubles. par mois, si vous bénéficiez des tarifs royaux de fournisseurs d'hébergement coûteux. Ce n'est pas beaucoup plus cher que le forfait minimum de services de base XNUMXC : frais et nettement moins cher que les autres abonnements. Vous pouvez payer mensuellement.
Une licence peut être achetée auprès de n'importe quel franchisé, et le prix dépend de la configuration de l'ensemble de produits et services, et après l'expiration de la durée, vous devrez payer un supplément pour l'assistance via le portail 1C : ITS pour les mises à jour.
Si vous prenez chez nous, à ces fins, nous proposons une machine virtuelle avec un client 1C : Enterprise préinstallé (écrivez-nous simplement en support avec une description de votre tâche). La location d'une machine virtuelle coûte environ 800 roubles. par mois, et le coût de location d'une licence 1C pour un lieu de travail sera de 700 roubles supplémentaires. Nous fournissons une assistance sans frais supplémentaires, tandis que 1C : Enterprise est mis à jour par nos spécialistes si vous écrivez au support technique.
Pour un comptable, tout sera exactement pareil : un bureau familier, des icônes, vous pouvez même accrocher un papier peint familier. Et maintenant au point, comment créer et configurer un tel cloud, dont l'accès peut être désactivé avec un seul bouton.
Nous commandons un VPS avec 1C intégré : Entreprise
Pour un comptable, le système d’exploitation idéal est Windows. Concernant la puissance du VPS - d'après notre expérience, pour le travail confortable d'un ou deux employés avec la version serveur de fichiers de 1C : Une entreprise aura suffisamment de configuration avec deux cœurs de calcul, au moins 4 à 5 Go de RAM et un processeur rapide de 50 Go. Go SSD.
Nous n'automatisons pas les services tant que nous ne sommes pas sûrs de ce dont les clients ont besoin, donc sa connexion n'est pas encore automatisée et vous devez commander un serveur auprès de 1C via le système de tickets. Nous configurerons tout manuellement pour vous.
Lorsque vous vous connectez à la machine virtuelle créée via RDP, vous verrez quelque chose comme ceci.
Transfert de la base de données 1C
L'étape suivante consiste à télécharger la base de données depuis la version 1C : Enterprise préalablement installée sur l'ordinateur comptable.
Ensuite, vous devez le télécharger sur un serveur virtuel via FTP, via n'importe quel stockage cloud ou en connectant un lecteur local au VPS à l'aide d'un client RDP.
Ensuite, vous devez ajouter une base d'informations dans le programme client : nous montrons comment procéder dans les captures d'écran.
Après avoir ajouté avec succès la base de données 1C : Entreprise, vous êtes prêt à travailler sur votre propre VPS. Il ne reste plus qu'à mettre en place des postes de travail distants pour les utilisateurs et l'intégration avec divers systèmes externes tels que des comptes bancaires personnels ou des services de gestion électronique de documents.
Configuration de postes de travail distants
Par défaut, Windows Server autorise un maximum de deux sessions RDP simultanées pour l'administration du système. Les utiliser pour le travail n'est pas techniquement difficile (il suffit d'ajouter un utilisateur non privilégié au groupe approprié), mais il s'agit d'une violation des termes du contrat de licence.
Pour déployer des services Bureau à distance (RDS) complets, vous devez ajouter des rôles et des fonctionnalités de serveur, activer un serveur de licences ou en utiliser un externe, et installer des licences d'accès client achetées séparément (CAL RDS).
Nous pouvons également vous aider : vous pouvez acheter RDS CAL chez nous en écrivant simplement . Nous allons procéder plus loin : installez-les sur notre serveur de licences et configurez les services Bureau à distance.
Mais bien sûr, si vous souhaitez organiser les choses vous-même, nous ne gâcherons pas votre plaisir.
Après avoir configuré RDS, le comptable peut commencer à travailler avec 1C : Enterprise sur un serveur virtuel comme sur une machine locale. N’oubliez pas d’installer un logiciel comptable standard sur le VPS : suite bureautique, navigateur tiers, Acrobat Reader.
Il ne reste plus qu'à s'occuper de connecter le client 1C aux comptes personnels bancaires.
Mise en place de l'intégration avec les banques
1C : Enterprise dispose de la technologie DirectBank pour l'échange direct de données avec les banques, sans installer de logiciel supplémentaire. Il vous permet de télécharger des relevés et d'envoyer des documents de paiement sans les télécharger dans des fichiers, si la banque prend en charge une telle norme d'interaction (sinon vous devrez vous contenter de fichiers texte au format 1C à l'ancienne, mais ce n'est pas grave - maintenant ils sont enregistrés sur une machine virtuelle).
Pour commencer, un compte courant est créé dans le programme de comptabilité (s'il n'a pas déjà été créé), puis vous devez ouvrir son formulaire dans la carte de l'organisation et sélectionner la commande « Connect 1C : DirectBank ». Les paramètres d'échange peuvent être chargés dans 1C : Entreprise automatiquement ou manuellement : pour des instructions détaillées, vous devez vous référer au site Web de la banque. Dans certains cas, l'intégration avec les produits 1C doit être activée séparément dans votre compte personnel.
Pour la configuration, vous aurez peut-être besoin d’un identifiant et d’un mot de passe pour le compte personnel de l’entreprise à la banque. La méthode la plus couramment utilisée est l’authentification à deux facteurs (2FA) via SMS.
Une autre option populaire, un jeton matériel sécurisé, ne nous convient pas en raison de l'utilisation d'un serveur virtuel. De plus, les médias protégés devraient être sortis des locaux de l’entreprise et remis à un comptable travaillant à distance, perdant ainsi le contrôle sur ceux-ci.
L'option avec login/mot de passe et 2FA par SMS peut également s'avérer dangereuse, bien que la technologie DirectBank vous permet uniquement de recevoir des relevés et d'envoyer des documents de paiement. Pour effectuer un paiement, ils devront être certifiés par une signature numérique électronique, stockée sur un support physique sécurisé du client ou du côté de la banque. Dans le premier cas, il n'y a aucun problème : si le comptable externe n'a pas accès au token, il pourra uniquement générer des documents.
Dans le cas d'une signature numérique cloud, un SMS avec un code à usage unique pour confirmer le paiement est généralement envoyé au même numéro de téléphone utilisé pour l'authentification dans votre compte personnel. Certaines banques elles-mêmes ont résolu ce problème en permettant aux clients d'échanger des données via DirectBank sans 2FA. Dans ce cas, le comptable ne pourra télécharger que des relevés et envoyer des documents, mais il n'aura pas accès à l'argent ni même à son compte personnel.
Il existe une autre possibilité de séparer les niveaux d'accès : de nombreuses banques permettent d'utiliser un compte sur les Services de l'Etat via un système d'identification et d'authentification unifié (). Il suffit au manager de se rendre dans les paramètres de son compte, de sélectionner l'onglet « Organisations » et d'inviter un collaborateur. Lorsqu'il accepte l'invitation, dans la rubrique « Accès aux systèmes », vous pourrez retrouver votre banque (après avoir configuré l'intégration avec celle-ci) et donner à l'utilisateur l'accès à votre compte personnel. Dans ce cas, il n'est pas nécessaire de lui transférer le numéro de téléphone ou le token utilisé pour signer les documents de paiement.
Connexion aux services EDF
Les services d'échange de documents électroniques sont pratiques et le travail à distance universel les a rendus tout simplement nécessaires. Client 1C : Enterprise s'y intègre, mais l'EDI juridiquement significatif nécessite l'utilisation d'une signature électronique qualifiée.
Il ne peut être enregistré que sur une clé USB ou stocké dans un service cloud disposant des certificats appropriés des régulateurs nationaux.
Il est impossible de télécharger une signature électronique sur un support ou de la stocker sur un VPS, c'est pourquoi un comptable travaille généralement avec la gestion électronique des documents à partir d'un ordinateur local en insérant une clé USB. Un outil certifié de protection des informations cryptographiques (appelé cryptoprovider) et un certificat de signature électronique public y sont installés. Sa partie fermée est stockée sur une clé USB, qui doit être physiquement connectée à l'ordinateur afin de signer des documents dans des programmes prenant en charge cette fonction. Pour travailler avec l'EDI via l'interface Web, vous aurez besoin de plugins de navigateur.
Pour qu'un système critique pour l'entreprise n'ait pas besoin d'être déployé sur l'ordinateur personnel d'un spécialiste travaillant à distance, un VPS est également utile, cependant, l'option avec un jeton physique ne fonctionnera pas ici.
Il est difficile de dire comment un fournisseur de crypto se comportera dans un environnement virtuel, notamment lorsqu'il tentera de transférer un port USB vers un VPS via un client RDP. Il ne reste qu'une signature numérique cloud sans support physique, mais tous les services de flux de documents électroniques n'offrent pas un tel service. À propos, cela coûte environ mille roubles par an, sans compter les frais d'abonnement au service d'échange de documents lui-même, qui dépendent du volume.
La bonne nouvelle est que presque tous les services russes populaires ont établi depuis longtemps une itinérance mutuelle des documents, afin que vous puissiez vous connecter à n'importe qui. Il y a aussi une mauvaise nouvelle : il ne sera pas possible de se débarrasser complètement du papier, car parmi les contreparties il y aura certainement celles qui n'utilisent pas l'EDI.
Configuration de l'accès aux services à l'aide de certificats
De nombreux services permettent l'authentification et l'autorisation sans login ni mot de passe à l'aide de certificats clients SSL, qui peuvent également être installés sur un VPS, et non sur l'ordinateur du comptable.
Vous pouvez configurer l'authentification sur les ressources Web de l'entreprise de la même manière. Comment faire:
- Achetez une autorité de certification de confiance pour l'utiliser pour signer et vérifier les certificats SSL des clients ;
- Créez des certificats SSL clients signés avec un certificat de confiance ;
- Configurer les serveurs Web pour demander et vérifier les certificats SSL des clients ;
- Installez les certificats clients pour les utilisateurs de bureau à distance sur le VPS.
Le sujet du déploiement de 1C : Entreprises pour les petites entreprises sur des serveurs virtuels est vaste, nous n'avons décrit qu'une seule méthode adaptée pour assurer la sécurité de la comptabilité.
Les VPS peuvent parfois bien servir et éviter d’installer des solutions informatiques critiques et de transférer à distance des données privées d’entreprise vers l’ordinateur personnel d’un spécialiste.
Nous espérons que l'article vous a été utile.
Source: habr.com