会計士による不正行為や 1C のクラウドへの転送を防ぐ方法。 段階的な説明

現在、企業はどのように記録を保持しているのでしょうか? 通常、これは会計士のローカル コンピュータにインストールされる 1C パッケージで、フルタイムの会計士または外部委託された専門家がそこで作業します。 アウトソーサーは、そのような複数のクライアント企業を同時に管理でき、場合によっては競合するクライアント企業も管理できます。

このアプローチでは、当座預金口座、暗号化保護ツール、電子文書管理、その他の重要なサービスへのアクセスが会計士のコンピュータ上で直接設定されます。

それはどういう意味ですか？ すべては会計士の手に委ねられており、会計士が経営者を陥れようと決心すれば、一度や二度はそれを行うだろうということ。

映画『ロックンローラ』（2008）

この記事では、1C を含むすべてのサービスを XNUMX つのクラウドで安全にロックする方法を説明します。これにより、会計士が素晴らしいバリ島に飛んだ場合でも、ボタン XNUMX つですべてのサービスを無効にできます。

一体何が起こる可能性があるのでしょうか？ 実際にあったXNUMXつのケース

ウォール街のシステム管理者

私たちの共同創設者の妻は経験豊富な会計士で、先月モスクワの大手レストランチェーンが彼女に助けを求めました。 レストランはすべてのデータベースをサーバー上に保管しており、レストラン チームの常任システム管理者によって管理されていました。

会計士が仕事をしている間、システム管理者はオンライン カジノに行き、データベース全体を破壊するウイルスを拾いました。 彼らはすべてを誰のせいにしたのでしょうか？ そう、ちょうど来たばかりの会計士です。

ヒロインは、夫がホストのマネージングパートナーであり、そのようなことを理解していることを非常に幸運に思っています。 電話で何度も議論した後（私たちの同僚はすでに管理者の顔を自力で始末する準備ができていました）、証拠が見つかり、犯人は処罰されました。 しかし、データベースは失われ、システム管理者にとってハッピーエンドはありませんでした。

ノートパソコンが他人のアパートに閉じ込められてしまった

これは私たちが知っている他の人々から聞いた古い話です。

経験豊かな 64 歳の女性は、1C を使用して中国製機器のオンライン ストアの会計記録を定期的に保管していました。 クライアントとデータベースは、職場で彼女に与えられたラップトップに保存されていました。 これは便利でした。オフィスのプリンターから簡単に印刷でき、ベースが小さくてネットブックに収まり、田舎や自宅に持ち運べます。

その後、悲劇が起こりました。金曜日の夕方、彼女は脳卒中で救急車で運ばれました。 会計担当者が週末に仕事をしていたので、ネットブックは家に残っていました。

もちろん、ラップトップは救出され、会計士は回復しましたが、この状況を現代に移し、脳卒中をコロナウイルスに置き換えると、閉鎖されたアパートからコンピューターを救出する作業はまったく異なる比率になります。

XNUMX匹の猫とXNUMX匹のラブラドールがあなたのためにドアを開けることができますか? たとえ隣人が花に水をあげたり、猫に餌をあげたりしたとしても、コンピューターをくれるでしょうか?

しかし、クラウドの 1C に移りましょう。クラウドでの展開と運用のオプションは何ですか。

クラウドで 1C を使用するための一般的なオプションは何ですか?

オプション 1. クライアント + エンタープライズ アプリケーション サーバー + データベース

会計士チーム全体のサービスを必要とする大企業に適しています。 これはかなり高価なオプションです (多くの追加ライセンスが必要です)。この記事は小規模な会社で会計士の仕事をセットアップすることに関するものであるため、考慮しません。

オプション 2. 1C: フレッシュ

1C: Fresh は、ブラウザを通じて 1C で作業するための非常に便利な方法です。 設定は必要ありません。このようなライセンスをレンタルする場合、フランチャイジー企業がすべてを自分で設定し、ログインとパスワードが与えられます。

しかし、次の XNUMX つの欠点があります。

✗ 高価格: 6 つのアプリケーションの基本料金は、少なくとも 6808 つのジョブに対して XNUMX か月分の支払いを一度に支払う必要があります - XNUMX RUR
✗ 多くの企業が同時に稼働する VPS サーバー自体をセットアップすることはできません。 共有ホスティングの原則に基づいて、寮の部屋の鍵のみが与えられます。

新しいバージョンには、1C: BusinessStart 構成もあり、プロモーションとして 400 ルーブルのサブスクリプションがかかります。 月あたり。 構成オプションは大幅に制限されており、プロモーションがない場合、サブスクリプションの費用は 1000 ルーブルかかり、少なくとも XNUMX か月間料金を支払う必要もあります。

オプション 3: 1C クライアントとデータベースがインストールされている独自の VPS

このオプションは、会計士が 1 ～ 2 人いる小規模企業に適しています。1C: エンタープライズ アプリケーション サーバーと SQL サーバーをインストールしなくても、非常に快適に作業できます。

このアプローチの主な利点は、レンタルされた VPS が、RDP 接続を備えた会計士の本格的な仕事用コンピューターとして機能できることです。

すべてのデータベース、ドキュメント、およびアクセスが管理下の VPS に保存されている場合、ラップトップがアパートに閉じ込められたり、会計士とシステム管理者が一緒に島に逃げて現在のデータや資金をすべて持ち去ったりすることを心配する必要はありません。アカウント。 ユーザーを削除することで、ボタン XNUMX つでアクセスを無効にすることができます。

この方法も優れており、その理由は次のとおりです。

1. 会計士が 1C 製品を使用する場合、1C は大量の Word、Excel、Acrobat ドキュメントを生成します。 1C クライアントが会計士のコンピュータで起動されると、すべての文書が会計士のラップトップに保存されます。 VPS で作業する場合、すべてが仮想マシンに保存されます。
2. 1C のデータベースとドキュメントは会計士のパソコンにはまったく届きません (1C: Fresh を使用する場合、ドキュメントをダウンロードする必要があります)。
3. VPS を VPN 経由で企業ネットワークに接続し、会計士に内部リソースへの安全なアクセスを提供する機能 (1C: Fresh を使用する場合、そのために会計士のパーソナル コンピュータを安全な LAN に接続する必要があります)。
4. 1C: エンタープライズと外部システム (電子ドキュメント フロー、銀行の個人口座、政府サービスなど) の安全な統合をセットアップできます。 1C: Fresh を使用する場合、多くの重要なサービスへのアクセスを会計士のパソコンで設定する必要があります。

そしてもちろん価格も。 1C ライセンスで仮想マシンをレンタルするには、約 1500 ルーブルの費用がかかります。 高価なホスティングプロバイダーからロイヤルレートを受け取っている場合、月額。 これは、サービスの最小基本パッケージ 1C よりもそれほど高価ではありません。新鮮で、他のサブスクリプションよりも大幅に安価です。 毎月お支払いいただけます。

ライセンスはどのフランチャイズ加盟店からも購入でき、価格は製品とサービスのパッケージの構成によって異なります。期間の満了後は、1C: ITS ポータルを介して更新のために追加のサポート料金を支払う必要があります。

取ったら VPS 当社では、そのような目的のために、1C: Enterprise クライアントがプレインストールされた仮想マシンを提供しています (タスクの説明を添えてサポートの旨を当社までご連絡ください)。 仮想マシンのレンタルには約 800 ルーブルかかります。 1 つの職場で 700C ライセンスをレンタルする場合、さらに 1 ルーブルかかります。 当社は追加料金なしでサポートを提供しますが、XNUMXC: Enterprise は、お客様が次のことを書いた場合、当社のスペシャリストによって更新されます。 チケット テクニカルサポートまで。

会計士にとっては、見慣れたデスクトップ、アイコン、見慣れた壁紙など、すべてがまったく同じに見えます。 さて、本題は、そのようなクラウドを作成して構成する方法であり、ボタンXNUMXつでアクセスを無効にすることができます。

1C: Enterprise が組み込まれた VPS を注文します

会計士にとって理想的な OS は Windows です。 VPS の能力について - 私たちの経験では、ファイル サーバー バージョン 1C を使用して 4 人または 5 人の従業員が快適に作業する場合、企業は 50 つのコンピューティング コア、少なくとも XNUMX ～ XNUMX GB の RAM、および高速 XNUMX GB の RAM を備えた十分な構成を備えています。 GBSSD。

クライアントが何を必要としているのかが正確にわかるまで、サービスは自動化されません。そのため、接続はまだ自動化されておらず、チケット システムを通じて 1C にサーバーを注文する必要があります。 すべてを手動で設定します。

作成した仮想マシンに RDP 経由で接続すると、次のように表示されます。

1C データベースの転送

次の手順では、会計コンピュータに以前にインストールされていた 1C: Enterprise バージョンからデータベースをダウンロードします。

次に、FTP 経由、クラウド ストレージ経由、または RDP クライアントを使用してローカル ドライブを VPS に接続して、仮想サーバーにアップロードする必要があります。

次に、クライアント プログラムに情報ベースを追加する必要があります。これを行う方法をスクリーンショットで示します。

1C: Enterprise データベースの追加が正常に完了すると、独自の VPS で作業する準備が整います。 残っているのは、ユーザー用にリモート デスクトップを設定し、個人の銀行口座や電子文書管理サービスなどのさまざまな外部システムと統合することだけです。

リモート デスクトップのセットアップ

デフォルトでは、Windows Server はシステム管理のために最大 XNUMX つの同時 RDP セッションを許可します。 これらを仕事に使用することは技術的には難しくありません (特権のないユーザーを適切なグループに追加するだけで十分です) が、これは使用許諾契約の条件に違反します。

完全なリモート デスクトップ サービス (RDS) を展開するには、サーバーの役割と機能を追加し、ライセンス サーバーをアクティブ化するか外部サーバーを使用し、別途購入したクライアント アクセス ライセンス (RDS CAL) をインストールする必要があります。

ここでも私たちがお手伝いできます。次のように書くだけで、私たちから RDS CAL を購入できます。 サポートリクエスト。 さらに進んで、ライセンス サーバーにインストールし、リモート デスクトップ サービスを構成します。

もちろん、自分で設定したい場合でも、楽しみを台無しにするつもりはありません。

RDS をセットアップした後、会計担当者は、ローカル マシンと同様に、仮想サーバー上で 1C: Enterprise の操作を開始できます。 VPS に標準の会計ソフトウェア (オフィス スイート、サードパーティのブラウザ、Acrobat Reader) をインストールすることを忘れないでください。

あとは、1C クライアントを銀行の個人口座に接続するだけです。

銀行との統合の設定

1C: Enterprise には、追加のソフトウェアをインストールせずに銀行と直接データ交換できる DirectBank テクノロジーが搭載されています。 銀行がそのようなやり取りの標準をサポートしている場合、明細書をファイルにアップロードせずに明細書をダウンロードし、支払書類を送信することができます (そうでない場合は、昔ながらの方法で 1C 形式のテキスト ファイルを使用する必要がありますが、それは問題ありません - 今では問題ありません)これらは仮想マシンに保存されます)。

まず、会計プログラムで現在の口座が作成されます (まだ作成されていない場合)。その後、組織のカードでそのフォームを開き、「Connect 1C: DirectBank」コマンドを選択する必要があります。 Exchange 設定は、1C: Enterprise に自動または手動でロードできます。詳細な手順については、銀行の Web サイトを参照してください。 場合によっては、1C 製品との統合を個人アカウントで個別に有効にする必要があります。

設定するには、銀行の会社の個人口座のログイン名とパスワードが必要になる場合があります。 最も一般的に使用される方法は、SMS による 2 要素認証 (XNUMXFA) です。

もう XNUMX つの一般的なオプションであるセキュア ハードウェア トークンは、仮想サーバーを使用するため、当社には適していません。 さらに、保護されたメディアは会社の敷地から持ち出され、遠隔地で勤務する会計士に引き渡されなければならず、その管理ができなくなります。

DirectBank テクノロジーでは明細書の受信と支払い書類の送信のみが可能ですが、ログイン/パスワードと SMS 経由の 2FA を使用するオプションも安全ではない可能性があります。 支払いを行うには、電子デジタル署名によって認証される必要があります。電子デジタル署名は、顧客または銀行側の安全な物理媒体に保存されます。 最初のケースでは問題はありません。外部会計士がトークンにアクセスできない場合、彼は文書を生成することしかできません。

クラウド デジタル署名の場合、支払いを確認するためのワンタイム コードを含む SMS が、通常、個人アカウントの認証に使用されたのと同じ電話番号に送信されます。 一部の銀行自体は、顧客が 2FA なしで DirectBank を通じてデータを交換できるようにすることで、この問題を解決しました。 この場合、会計士は明細書のダウンロードと書類の送信のみが可能ですが、金銭や個人口座にさえアクセスできなくなります。

アクセス レベルを分離する別のオプションもあります。多くの銀行では、統一された識別および認証システム (ESIA）。 マネージャーはアカウント設定に移動し、「組織」タブを選択して従業員を招待するだけです。 ユーザーが招待を受け入れると、「システムへのアクセス」セクションで銀行を見つけて (銀行との統合を設定した後)、ユーザーに個人アカウントへのアクセスを許可することができます。 この場合、支払い書類の署名に使用した電話番号やトークンを彼に転送する必要はありません。

EDF サービスへの接続

電子文書を交換するためのサービスは便利であり、ユニバーサルなリモートワークにより、電子文書が必要になっています。 クライアント 1C: Enterprise はクライアントと統合していますが、法的に重要な EDI には適格な電子署名の使用が必要です。

フラッシュドライブに記録するか、国内規制当局からの適切な証明書を持つクラウドサービスにのみ保存できます。

電子署名をメディアにアップロードしたり、VPS に保存したりすることは不可能なので、通常、会計士はフラッシュ ドライブを挿入してローカル コンピューターから電子文書管理を行います。 認定された暗号情報保護ツール（いわゆるクリプトプロバイダー）と公的電子署名証明書がインストールされています。 その閉じた部分はフラッシュ ドライブに保存されます。この機能をサポートするプログラムで文書に署名するには、フラッシュ ドライブをコンピュータに物理的に接続する必要があります。 Web インターフェイス経由で EDI を操作するには、ブラウザ プラグインが必要です。

ビジネスクリティカルなシステムをリモートで作業する専門家のパソコンに展開する必要がないように、VPS も便利ですが、ここでは物理トークンを使用するオプションは機能しません。

特に RDP クライアント経由で USB ポートを VPS に転送しようとする場合、暗号化プロバイダーが仮想環境でどのように動作するかを言うのは困難です。 残るのは物理媒体を使用しないクラウドデジタル署名ですが、すべての電子文書フローサービスがそのようなサービスを提供しているわけではありません。 ちなみに、文書交換サービス自体の購読料を除いて、年間約XNUMXルーブルの費用がかかりますが、これは量に応じて異なります。

良いニュースは、ほとんどすべての人気のあるロシアのサービスは長い間文書の相互ローミングを確立しているため、誰とでも接続できることです。 悪いニュースもあります。取引相手の中には EDI を使用しない企業も確実に存在するため、紙を完全になくすことは不可能です。

証明書を使用したサービスへのアクセスの設定

多くのサービスでは、SSL クライアント証明書を使用して、ログインとパスワードなしで認証と認可を行うことができます。SSL クライアント証明書は、会計士のコンピュータではなく、VPS にインストールすることもできます。

同じ方法で企業 Web リソースに認証を設定できます。 どうやってするの：

• 信頼できる認証局を購入して、クライアント SSL 証明書の署名と検証に使用します。
• 信頼できる証明書で署名されたクライアント SSL 証明書を作成します。
• クライアントの SSL 証明書を要求および検証するように Web サーバーを構成します。
• リモート デスクトップ ユーザーのクライアント証明書を VPS にインストールします。

仮想サーバー上での 1C: Enterprises for Small Business の展開のテーマは多岐にわたりますが、ここでは会計のセキュリティを確保するのに適した方法を XNUMX つだけ説明しました。

VPS は場合によっては有効に機能し、重要な IT ソリューションのインストールや、企業のプライベート データを専門家のパソコンにリモートで転送することを回避できる場合があります。

この記事がお役に立てば幸いです。

出所： habr.com