Hoe houden bedrijven nu administratie bij? Meestal is dit een 1C-pakket dat op de lokale computer van de accountant wordt geïnstalleerd, waarin een fulltime accountant of een uitbestede specialist werkt. Een uitbesteder kan meerdere van dergelijke klantbedrijven tegelijkertijd beheren, en soms zelfs concurrerende bedrijven.
Met deze aanpak worden de toegang tot betaalrekeningen, crypto-beschermingstools, elektronisch documentbeheer en andere belangrijke diensten rechtstreeks op de computer van de accountant geconfigureerd.
Wat betekent het? Dat alles in handen is van de accountant en als hij besluit de bedrijfseigenaar erin te luizen, dan zal hij dat een of twee keer doen.
film “Rock’nRolla” (2008)
In dit artikel vertellen we je hoe je alle diensten, inclusief 1C, veilig in één cloud kunt vergrendelen, zodat je met één knop alle diensten kunt uitschakelen, zelfs als de accountant naar het fantastische Bali is gevlogen.
Wat zou er kunnen gebeuren? Twee echte gevallen
Systeembeheerder van Wall Street
De vrouw van onze medeoprichter is een ervaren accountant en vorige maand heeft een grote restaurantketen in Moskou haar om hulp gevraagd. Het restaurant bewaarde alle databases op zijn server, die werden beheerd door een vaste systeembeheerder van het restaurantteam.
Terwijl de accountant aan het werk was, ging de systeembeheerder naar een online casino en pikte een virus op dat de hele database vernietigde. Wie gaven ze de schuld van alles? Dat klopt, de accountant die net is gearriveerd.
De heldin heeft veel geluk dat haar man de managing partner van de hosting is en zulke dingen begrijpt. Na veel ruzie via de telefoon (onze collega stond al klaar om zelf het gezicht van de beheerder op te ruimen), werd er bewijs gevonden en werd de dader gestraft. Maar de database ging verloren, dat wil zeggen dat er geen happy end was voor de systeembeheerder.
Laptop zit vast in het appartement van iemand anders
Dit is een oud verhaal van andere mensen die we kennen.
Een ervaren 64-jarige vrouw hield regelmatig de boekhouding bij voor een online winkel met Chinese gadgets met behulp van 1C. De cliënt en de database werden opgeslagen op een laptop die zij op haar werk kreeg. Het was handig: het is gemakkelijk om af te drukken vanaf kantoorprinters, de basis is klein en past op een netbook, je kunt hem meenemen naar het land of naar huis.
Toen sloeg het noodlot toe: vrijdagavond werd ze met een beroerte afgevoerd in een ambulance. De netbook bleef thuis omdat de accountant verantwoordelijk was en in het weekend aan het werk ging.
De laptop werd natuurlijk gered, de accountant herstelde, maar als we deze situatie overbrengen naar de huidige tijd en de beroerte vervangen door een coronavirus, dan neemt de operatie van het redden van een computer uit een gesloten appartement totaal andere proporties aan.
Kunnen twee katten en een Labrador de deur voor je openen? Zelfs als uw buurvrouw de bloemen water geeft en de katten voert, zal zij u dan de computer geven?
Maar laten we verder gaan met 1C in de cloud: wat zijn de opties voor implementatie en gebruik in de cloud.
Wat zijn de algemene mogelijkheden om met 1C in de cloud te werken?
Optie 1. Client + bedrijfsapplicatieserver + database
Geschikt voor grote bedrijven die de diensten van een heel team accountants nodig hebben. Dit is een vrij dure optie (er zijn veel extra licenties vereist), we zullen er niet over nadenken, omdat het artikel gaat over het opzetten van het werk van een accountant voor een klein bedrijf.
Optie 2. 1C: Vers
1C: Fresh is een redelijk handige manier om via een browser in 1C te werken. Er zijn geen instellingen nodig: bij het huren van zo’n licentie stelt de franchisenemer alles zelf in en krijgt u een login en wachtwoord.
Maar er zijn twee nadelen:
✗ Hoge prijs: het basistarief voor één aanvraag vereist betaling gedurende 6 maanden in één keer voor minimaal twee banen - 6808 RUR
✗ Je kunt niet zelf een VPS-server opzetten, waarop veel bedrijven tegelijk opereren. Je krijgt alleen een sleutel van je studentenkamer, gebaseerd op het principe van shared hosting.
De Fresh heeft ook de 1C: BusinessStart-configuratie, een abonnement dat als promotie 400 roebel kost. per maand. De configuratie-opties zijn aanzienlijk beperkt: zonder promotie kost een abonnement 1000 roebel, en je moet er ook minimaal zes maanden voor betalen.
Optie 3: je eigen VPS, waarop de 1C client en database zijn geïnstalleerd
Deze optie is geschikt voor kleine bedrijven met 1-2 accountants - ze kunnen redelijk comfortabel werken zonder de 1C: Enterprise-applicatieserver en SQL-server te installeren.
Het mooie van deze aanpak is dat een gehuurde VPS kan fungeren als volwaardige werkcomputer voor een accountant met een RDP-aansluiting.
Wanneer alle databases, documenten en toegang zijn opgeslagen op een VPS onder uw controle, hoeft u zich geen zorgen te maken over laptops die op slot zitten in uw appartement of dat de accountant en systeembeheerder samen naar de eilanden ontsnappen en alle documenten en geld van de huidige rekening. U kunt de toegang met één knop uitschakelen door de gebruiker te verwijderen.
Deze methode is ook goed en dit is waarom:
- Wanneer een accountant in 1C-producten werkt, genereert 1C veel Word-, Excel- en Acrobat-documenten. Wanneer de 1C-client op de computer van de accountant wordt gestart, worden alle documenten op zijn laptop opgeslagen. Bij het werken op een VPS wordt alles opgeslagen op de virtuele machine.
- 1C-databases en -documenten komen helemaal niet op de pc van de accountant terecht (bij gebruik van 1C: Fresh zouden documenten moeten worden gedownload).
- De mogelijkheid om een VPS via VPN met het bedrijfsnetwerk te verbinden en de accountant veilige toegang te geven tot interne bronnen (bij gebruik van 1C:Fresh zou de personal computer van de accountant hiervoor verbonden moeten zijn met een beveiligd LAN).
- U kunt een veilige integratie van 1C: Enterprise opzetten met externe systemen: elektronische documentenstroom, persoonlijke rekeningen van banken, overheidsdiensten, enz. Als u 1C:Fresh gebruikt, zou de toegang tot veel kritische diensten op de pc van de accountant moeten worden geconfigureerd.
En de prijs natuurlijk. Het huren van een virtuele machine met een 1C-licentie kost ongeveer 1500 roebel. per maand, als u koninklijke tarieven neemt van dure hostingproviders. Dit is niet veel duurder dan het minimale basispakket aan diensten 1C: Fris en aanzienlijk goedkoper dan andere abonnementen. U kunt maandelijks betalen.
Een licentie kan bij elke franchisenemer worden aangeschaft en de prijs is afhankelijk van de configuratie van het producten- en dienstenpakket en na het verstrijken van de looptijd moet u extra betalen voor ondersteuning via de 1C: ITS-portal voor updates.
Als je pakt bij ons bieden wij voor dergelijke doeleinden een virtuele machine aan met een vooraf geïnstalleerde 1C: Enterprise-client (schrijf ons gewoon ter ondersteuning met een beschrijving van uw taak). Het huren van een virtuele machine kost ongeveer 800 roebel. per maand, en de kosten voor het huren van een 1C-licentie voor één werkplek bedragen nog eens 700 roebel. Wij bieden ondersteuning zonder extra kosten, terwijl 1C: Enterprise door onze specialisten wordt bijgewerkt als u schrijft naar technische ondersteuning.
Voor een accountant ziet alles er precies hetzelfde uit: een bekend bureaublad, pictogrammen, je kunt zelfs een bekend behang ophangen. En nu ter zake: hoe u zo'n cloud kunt maken en configureren, waarvan de toegang met één knop kan worden uitgeschakeld.
Wij bestellen een VPS met ingebouwde 1C: Enterprise
Voor een accountant is Windows het ideale besturingssysteem. Wat betreft de kracht van VPS - naar onze ervaring, voor het comfortabele werk van een of twee werknemers met de bestandsserverversie van 1C: een onderneming zal voldoende configuratie hebben met twee rekenkernen, minimaal 4-5 GB RAM en een snelle 50 GB SSD.
We automatiseren de services pas als we zeker weten wat klanten precies nodig hebben. De verbinding is dus nog niet geautomatiseerd en u moet een server bij 1C bestellen via het ticketsysteem. Wij configureren alles handmatig voor u.
Wanneer u via RDP verbinding maakt met de gemaakte virtuele machine, ziet u zoiets als dit.
Overdracht van de 1C-database
De volgende stap is het downloaden van de database van de 1C: Enterprise-versie die eerder op de boekhoudcomputer was geïnstalleerd.
Vervolgens moet u het uploaden naar een virtuele server via FTP, via een cloudopslag of door een lokale schijf met de VPS te verbinden met behulp van een RDP-client.
Vervolgens moet u een informatiebasis toevoegen aan het clientprogramma: we laten zien hoe u dit doet in de schermafbeeldingen.
Nadat je de 1C: Enterprise database succesvol hebt toegevoegd, ben je klaar om aan je eigen VPS te werken. Het enige dat overblijft is het opzetten van externe desktops voor gebruikers en de integratie met verschillende externe systemen, zoals persoonlijke bankrekeningen of elektronische documentbeheerdiensten.
Externe desktops instellen
Standaard staat Windows Server maximaal twee gelijktijdige RDP-sessies toe voor systeembeheer. Het gebruik ervan voor werk is technisch niet moeilijk (het volstaat om een gebruiker zonder rechten aan de juiste groep toe te voegen), maar dit is een schending van de voorwaarden van de licentieovereenkomst.
Om volledige Remote Desktop Services (RDS) te implementeren, moet u serverrollen en -functies toevoegen, een licentieserver activeren of een externe gebruiken, en afzonderlijk aangeschafte clienttoegangslicenties (RDS CAL's) installeren.
Ook hier kunnen wij u bij helpen: u kunt RDS CAL bij ons kopen door simpelweg te schrijven . We gaan verder: installeer ze op onze licentieserver en configureer Remote Desktop Services.
Maar als je het zelf wilt regelen, zullen we de pret uiteraard niet voor je verpesten.
Na het instellen van RDS kan de accountant met 1C: Enterprise aan de slag op een virtuele server als op een lokale machine. Vergeet niet standaard boekhoudsoftware op de VPS te installeren: office suite, browser van derden, Acrobat Reader.
Nu hoeft u alleen nog maar te zorgen voor het verbinden van de 1C-client met persoonlijke bankrekeningen.
Integratie met banken opzetten
1C: Enterprise beschikt over DirectBank-technologie voor directe gegevensuitwisseling met banken, zonder extra software te installeren. Hiermee kunt u afschriften downloaden en betalingsdocumenten verzenden zonder ze naar bestanden te uploaden, als de bank een dergelijke interactiestandaard ondersteunt (anders zult u het op de ouderwetse manier moeten doen met tekstbestanden in 1C-formaat, maar dat is oké - nu ze worden opgeslagen op een virtuele machine).
Om te beginnen wordt een lopende rekening aangemaakt in het boekhoudprogramma (als deze nog niet is aangemaakt), en vervolgens moet u het formulier openen op de kaart van de organisatie en de opdracht "Connect 1C: DirectBank" selecteren. Exchange-instellingen kunnen automatisch of handmatig in 1C: Enterprise worden geladen: voor gedetailleerde instructies verwijzen wij u naar de website van de bank. In sommige gevallen moet de integratie met 1C-producten afzonderlijk worden ingeschakeld in uw persoonlijke account.
Om dit in te stellen, heeft u mogelijk een login en wachtwoord nodig voor de persoonlijke rekening van het bedrijf bij de bank. De meest gebruikte methode is tweefactorauthenticatie (2FA) via sms.
Een andere populaire optie, een veilige hardware token, is voor ons niet geschikt vanwege het gebruik van een virtuele server. Bovendien zouden de beschermde media uit de gebouwen van het bedrijf moeten worden gehaald en overgedragen aan een accountant die op afstand werkt, waardoor hij de controle erover verliest.
Ook de optie met login/wachtwoord en 2FA via SMS kan onveilig zijn, hoewel je met de DirectBank-technologie alleen afschriften kunt ontvangen en betaaldocumenten kunt versturen. Om een betaling te kunnen doen, zullen ze moeten worden gecertificeerd door een elektronische digitale handtekening, die wordt opgeslagen op een beveiligd fysiek medium van de klant of aan de kant van de bank. In het eerste geval zijn er geen problemen: als de externe accountant geen toegang heeft tot het token, kan hij alleen documenten genereren.
In het geval van een digitale handtekening in de cloud wordt doorgaans een sms met een eenmalige code ter bevestiging van de betaling verzonden naar hetzelfde telefoonnummer dat wordt gebruikt voor authenticatie in uw persoonlijke account. Sommige banken hebben dit probleem zelf opgelost door klanten zonder 2FA gegevens via DirectBank te laten uitwisselen. In dit geval kan de accountant alleen afschriften downloaden en documenten versturen, maar krijgt hij geen toegang tot geld of zelfs tot zijn persoonlijke rekening.
Er is nog een andere optie om toegangsniveaus te scheiden: bij veel banken kunt u een rekening bij staatsdiensten gebruiken via een uniform identificatie- en authenticatiesysteem (). De manager hoeft alleen maar naar zijn accountinstellingen te gaan, het tabblad ‘Organisaties’ te selecteren en een medewerker uit te nodigen. Wanneer hij de uitnodiging accepteert, kunt u in het gedeelte ‘Toegang tot systemen’ uw bank vinden (nadat u de integratie ermee heeft opgezet) en de gebruiker toegang geven tot uw persoonlijke rekening. In dit geval is het niet nodig om het telefoonnummer of het token dat wordt gebruikt om de betalingsdocumenten te ondertekenen, aan hem over te dragen.
Verbinding maken met EDF-services
Diensten voor het uitwisselen van elektronische documenten zijn handig, en universeel werken op afstand heeft ze eenvoudigweg noodzakelijk gemaakt. Klant 1C: Enterprise integreert met hen, maar juridisch belangrijke EDI vereist het gebruik van een gekwalificeerde elektronische handtekening.
Het kan alleen worden opgenomen op een flashdrive of worden opgeslagen in een cloudservice die over de juiste certificaten van binnenlandse toezichthouders beschikt.
Het is onmogelijk om een elektronische handtekening naar welk medium dan ook te uploaden of op een VPS op te slaan, dus meestal werkt een accountant met elektronisch documentbeheer vanaf een lokale computer door er een flashdrive in te plaatsen. Er zijn een gecertificeerde tool voor de bescherming van cryptografische informatie (de zogenaamde cryptoprovider) en een openbaar elektronische handtekeningcertificaat geïnstalleerd. Het gesloten deel wordt opgeslagen op een flashdrive, die fysiek op de computer moet worden aangesloten om documenten te ondertekenen in programma's die deze functie ondersteunen. Om via de webinterface met EDI te kunnen werken, heeft u browserplug-ins nodig.
Om ervoor te zorgen dat een bedrijfskritisch systeem niet op de personal computer van een specialist die op afstand werkt, hoeft te worden ingezet, is een VPS ook nuttig, maar de optie met een fysiek token zal hier niet werken.
Het is moeilijk te zeggen hoe een cryptoprovider zich zal gedragen in een virtuele omgeving, vooral wanneer hij probeert een USB-poort via een RDP-client door te sturen naar een VPS. Wat overblijft is een digitale handtekening in de cloud zonder fysiek medium, maar niet alle e-documentstroomdiensten bieden een dergelijke dienst aan. Het kost trouwens ongeveer duizend roebel per jaar, nog afgezien van de abonnementskosten voor de documentuitwisselingsdienst zelf, die afhankelijk is van het volume.
Het goede nieuws is dat bijna alle populaire Russische diensten al lang over wederzijdse roaming van documenten beschikken, zodat u met iedereen verbinding kunt maken. Er is ook slecht nieuws: het zal niet mogelijk zijn om volledig van papier af te komen, aangezien er onder de tegenpartijen zeker degenen zullen zijn die geen gebruik maken van EDI.
Toegang tot services instellen met behulp van certificaten
Veel diensten maken authenticatie en autorisatie mogelijk zonder login en wachtwoord met behulp van SSL-clientcertificaten, die ook op een VPS kunnen worden geïnstalleerd, en niet op de computer van de accountant.
U kunt op dezelfde manier authenticatie instellen op bedrijfswebbronnen. Hoe je dat doet:
- Koop een vertrouwde certificeringsinstantie om deze te gebruiken voor het ondertekenen en verifiëren van client-SSL-certificaten;
- Maak client-SSL-certificaten ondertekend met een vertrouwd certificaat;
- Configureer webservers om SSL-certificaten van clients aan te vragen en te verifiëren;
- Installeer clientcertificaten voor remote desktop-gebruikers op de VPS.
Het onderwerp van het inzetten van 1C: Enterprises voor kleine bedrijven op virtuele servers is breed; we hebben slechts één methode beschreven die geschikt is om de veiligheid van de boekhouding te garanderen.
VPS kan soms goed van pas komen en het installeren van kritische IT-oplossingen en het op afstand overbrengen van privé-bedrijfsgegevens naar de pc van een specialist vermijden.
We hopen dat het artikel nuttig voor u was.
Bron: www.habr.com