Kako zdaj podjetja vodijo evidence? Običajno je to paket 1C, nameščen na lokalnem računalniku računovodje, v katerem dela računovodja s polnim delovnim časom ali zunanji strokovnjak. Zunanji izvajalec lahko hkrati vodi več takšnih naročnikov podjetij, včasih celo konkurenčnih.
S tem pristopom se dostop do tekočih računov, orodij za kripto zaščito, elektronsko upravljanje dokumentov in drugih pomembnih storitev konfigurira neposredno na računalniku računovodje.
Kaj to pomeni? Da je vse v rokah računovodje in če se odloči podtakniti lastniku podjetja, potem bo to naredil enkrat ali dvakrat.
film "RocknRolla" (2008)
V tem članku vam bomo povedali, kako varno zakleniti vse storitve, vključno z 1C, v enem oblaku, tako da lahko onemogočite vse storitve z enim gumbom, tudi če je računovodja odletel na čudoviti Bali.
Kaj bi se lahko zgodilo? Dva resnična primera
Sistemski skrbnik Wall Streeta
Žena našega soustanovitelja je izkušena računovodkinja in prejšnji mesec se je velika veriga restavracij v Moskvi obrnila nanjo po pomoč. Restavracija je hranila vse baze podatkov na svojem strežniku, ki jih je vodil stalni sistemski administrator iz ekipe restavracije.
Ravno med delom računovodje je sistemski administrator odšel v spletno igralnico in pobral virus, ki je uničil celotno bazo podatkov. Komu so vse očitali? Tako je, pravkar prispela računovodkinja.
Junakinja ima veliko srečo, da je njen mož poslovodni partner gostovanja in razume takšne stvari. Po dolgem prerekanju po telefonu (naš kolega je bil že pripravljen iti ven in sam očistiti obraz administratorju) so bili najdeni dokazi in krivec kaznovan. Toda baza podatkov je bila izgubljena, to pomeni, da za sistemskega skrbnika ni bilo srečnega konca.
Prenosni računalnik obtičal v stanovanju nekoga drugega
To je stara zgodba drugih ljudi, ki jih poznamo.
Izkušena 64-letna ženska je redno vodila računovodske evidence za spletno trgovino kitajskih pripomočkov z uporabo 1C. Odjemalec in baza podatkov sta bili shranjeni na prenosnem računalniku, ki ga je dobila v službi. Bilo je priročno: enostavno je tiskati iz pisarniških tiskalnikov, osnova je majhna in se prilega na netbook, lahko jo vzamete s seboj v državo ali domov.
Nato se je zgodila tragedija: v petek zvečer so jo z možgansko kapjo odpeljali z rešilcem. Netbook je ostal doma, ker je bila računovodkinja odgovorna in je delala ob koncu tedna.
Prenosnik je bil seveda rešen, računovodkinja je ozdravela, a če to situacijo prenesemo v današnje dni in možgansko kap nadomestimo s koronavirusom, dobi akcija reševanja računalnika iz zaprtega stanovanja povsem drugačne razsežnosti.
Ti lahko dve mački in labradorec odpreta vrata? Tudi če soseda zaliva rože in hrani mačke, vam bo dala računalnik?
Toda preidimo na 1C v oblaku - kakšne so možnosti za uvedbo in delovanje v oblaku.
Kakšne so splošne možnosti za delo z 1C v oblaku?
Možnost 1. Odjemalec + aplikacijski strežnik podjetja + baza podatkov
Primerno za velika podjetja, ki potrebujejo storitve cele ekipe računovodij. To je precej draga možnost (potrebnih je veliko dodatnih licenc), ne bomo je upoštevali, ker članek govori o vzpostavitvi dela računovodje za majhno podjetje.
Možnost 2. 1C: Sveže
1C: Fresh je dokaj priročen način za delo v 1C prek brskalnika. Nastavitve niso potrebne: pri najemu takšne licence bo franšizojemalec vse nastavil sam, vi pa boste prejeli prijavo in geslo.
Obstajata pa dve slabosti:
✗ Visoka cena: osnovna tarifa za eno prijavo zahteva plačilo 6 mesecev hkrati za vsaj dve delovni mesti - 6808 RUR
✗ Ne morete postaviti samega VPS strežnika, na katerem deluje veliko podjetij hkrati. Ključ prejmete samo od sobe v študentskem domu po principu skupnega gostovanja.
Sveže ima tudi konfiguracijo 1C: BusinessStart, naročnina na katero kot promocija stane 400 rubljev. na mesec. Možnosti konfiguracije so precej omejene, brez promocije bo naročnina stala 1000 rubljev, poleg tega pa jo morate plačati vsaj šest mesecev.
Možnost 3: lasten VPS, na katerem sta nameščena odjemalec 1C in baza podatkov
Ta možnost je primerna za majhna podjetja z 1-2 računovodjema - lahko delajo precej udobno brez namestitve aplikacijskega strežnika 1C: Enterprise in strežnika SQL.
Glavna lepota tega pristopa je, da lahko najeti VPS deluje kot polnopravni delovni računalnik za računovodjo s povezavo RDP.
Ko so vse baze podatkov, dokumenti in dostop shranjeni na VPS pod vašim nadzorom, vam ni treba skrbeti, da bodo prenosniki zaklenjeni v vašem stanovanju ali da bosta računovodja in sistemski skrbnik skupaj pobegnila na otoke in odnesla vse dokumente in denar iz trenutnega račun. Dostop lahko onemogočite z enim gumbom, tako da izbrišete uporabnika.
Tudi ta metoda je dobra in tukaj je razlog:
- Ko računovodja dela v izdelkih 1C, 1C ustvari veliko dokumentov Word, Excel, Acrobat. Ko se odjemalec 1C zažene na računalniku računovodje, se vsi dokumenti shranijo na njegov prenosni računalnik. Pri delu na VPS se vse shrani na virtualni stroj.
- Baze podatkov in dokumenti 1C sploh ne pridejo do osebnega računalnika računovodje (če uporabljate 1C: Sveže, bi bilo treba dokumente prenesti).
- Možnost povezave VPS z omrežjem podjetja prek VPN in računovodji zagotovi varen dostop do notranjih virov (če uporabljate 1C: Fresh, bi moral biti osebni računalnik računovodje za to povezan z varnim LAN).
- Nastavite lahko varno integracijo 1C: Enterprise z zunanjimi sistemi: elektronski pretok dokumentov, osebni računi bank, državne službe itd. Če uporabljate 1C: Fresh, bi moral biti dostop do številnih kritičnih storitev konfiguriran na osebnem računalniku računovodje.
In cena, seveda. Najem virtualnega stroja z licenco 1C bo stal približno 1500 rubljev. na mesec, če vzamete kraljevske tarife dragih ponudnikov gostovanja. To ni veliko dražje od minimalnega osnovnega paketa storitev 1C: Fresh in bistveno cenejše od drugih naročnin. Plačujete lahko mesečno.
Licenco je mogoče kupiti pri katerem koli franšiziju, cena pa je odvisna od konfiguracije paketa izdelkov in storitev, po izteku veljavnosti pa boste morali doplačati podporo prek portala 1C: ITS za posodobitve.
Če vzamete pri nas za te namene ponujamo virtualni stroj z vnaprej nameščenim odjemalcem 1C: Enterprise (samo pišite nam v podporo z opisom svoje naloge). Najem virtualnega stroja stane približno 800 rubljev. na mesec, stroški najema licence 1C za eno delovno mesto pa bodo znašali še 700 rubljev. Zagotavljamo podporo brez dodatnih stroškov, medtem ko 1C: Enterprise posodabljajo naši strokovnjaki, če pišete na tehnično podporo.
Za računovodjo bo vse videti popolnoma enako - znano namizje, ikone, lahko celo obesite znano ozadje. In zdaj k bistvu, kako ustvariti in konfigurirati tak oblak, dostop do katerega je mogoče onemogočiti z enim gumbom.
Naročimo VPS z vgrajenim 1C: Enterprise
Za računovodjo je idealen OS Windows. Glede moči VPS - po naših izkušnjah za udobno delo enega ali dveh zaposlenih z različico datotečnega strežnika 1C: Podjetje bo imelo dovolj konfiguracije z dvema računalniškima jedroma, vsaj 4-5 GB RAM-a in hitrim 50 GB SSD.
Storitev ne avtomatiziramo, dokler nismo prepričani, kaj točno stranke potrebujejo, zato njena povezava še ni avtomatizirana in morate naročiti strežnik pri 1C prek sistema vstopnic. Vse vam bomo konfigurirali ročno.
Ko se povežete z ustvarjenim virtualnim strojem prek RDP, boste videli nekaj takega.
Prenos baze podatkov 1C
Naslednji korak je prenos baze podatkov iz različice 1C: Enterprise, ki je bila predhodno nameščena na računovodskem računalniku.
Nato ga morate naložiti na virtualni strežnik prek FTP, prek katerega koli shrambe v oblaku ali tako, da povežete lokalni disk z VPS z odjemalcem RDP.
Nato morate v odjemalski program dodati informacijsko bazo: na posnetkih zaslona prikazujemo, kako to storiti.
Po uspešnem dodajanju baze podatkov 1C: Enterprise ste pripravljeni na delo na lastnem VPS. Preostane le še nastavitev oddaljenih namizij za uporabnike in integracija z različnimi zunanjimi sistemi, kot so osebni bančni računi ali storitve elektronskega upravljanja dokumentov.
Nastavitev oddaljenih namizij
Windows Server privzeto dovoljuje največ dve sočasni seji RDP za sistemsko administracijo. Njihova uporaba za delo ni tehnično težka (dovolj je dodati neprivilegiranega uporabnika v ustrezno skupino), vendar je to kršitev pogojev licenčne pogodbe.
Za uvedbo polnih storitev oddaljenega namizja (RDS) morate dodati vloge in funkcije strežnika, aktivirati strežnik za licenciranje ali uporabiti zunanjega in namestiti ločeno kupljene licence za dostop odjemalca (RDS CAL).
Tudi tukaj lahko pomagamo: pri nas lahko kupite RDS CAL tako, da preprosto pišete . Nadaljevali bomo: namestili jih bomo na naš strežnik za licenciranje in konfigurirali storitve oddaljenega namizja.
Seveda, če želite stvari nastaviti sami, vam ne bomo pokvarili zabave.
Po nastavitvi RDS lahko računovodja začne delati z 1C: Enterprise na virtualnem strežniku kot na lokalnem računalniku. Ne pozabite namestiti standardne računovodske programske opreme na VPS: pisarniški paket, brskalnik tretje osebe, Acrobat Reader.
Zdaj ostane le, da poskrbimo za povezavo odjemalca 1C z bančnimi osebnimi računi.
Postavitev integracije z bankami
1C: Enterprise ima tehnologijo DirectBank za neposredno izmenjavo podatkov z bankami, brez namestitve dodatne programske opreme. Omogoča vam prenos izpiskov in pošiljanje plačilnih dokumentov, ne da bi jih naložili v datoteke, če banka podpira tak standard interakcije (sicer se boste morali zadovoljiti z besedilnimi datotekami v formatu 1C na staromoden način, vendar je to v redu - zdaj shranjeni so na virtualnem stroju).
Za začetek se v računovodskem programu ustvari tekoči račun (če še ni bil ustvarjen), nato pa morate odpreti njegov obrazec na kartici organizacije in izbrati ukaz »Poveži 1C: DirectBank«. Nastavitve izmenjave je mogoče samodejno ali ročno naložiti v 1C: Enterprise: za podrobna navodila se obrnite na spletno mesto banke. V nekaterih primerih je treba integracijo z izdelki 1C omogočiti ločeno v vašem osebnem računu.
Za nastavitev boste morda potrebovali prijavo in geslo za osebni račun podjetja v banki. Najpogostejša uporabljena metoda je dvostopenjska avtentikacija (2FA) prek SMS-a.
Druga priljubljena možnost, varen strojni žeton, za nas ni primerna zaradi uporabe virtualnega strežnika. Poleg tega bi bilo treba zaščiteni medij odnesti iz prostorov podjetja in ga predati računovodji, ki dela na daljavo, s čimer bi izgubil nadzor nad njim.
Opcija s prijavo/geslom in 2FA prek SMS-a je lahko tudi nevarna, čeprav tehnologija DirectBank omogoča le prejemanje izpiskov in pošiljanje plačilnih dokumentov. Za izvedbo plačila bodo morali biti overjeni z elektronskim digitalnim podpisom, ki je shranjen na varnem fizičnem mediju komitenta ali na strani banke. V prvem primeru ni težav: če zunanji računovodja nima dostopa do žetona, bo lahko le generiral dokumente.
V primeru digitalnega podpisa v oblaku se SMS z enkratno kodo za potrditev plačila običajno pošlje na isto telefonsko številko, ki jo uporabljate za avtentikacijo v vašem osebnem računu. Nekatere banke so to težavo rešile same tako, da so strankam omogočile izmenjavo podatkov prek DirectBank brez 2FA. Računovodja bo v tem primeru lahko samo prenašal izpiske in pošiljal dokumente, ne bo pa imel dostopa do denarja ali celo do osebnega računa.
Obstaja še ena možnost za ločevanje ravni dostopa: številne banke vam omogočajo uporabo računa v državnih službah prek enotnega sistema identifikacije in avtentikacije (). Vodja mora samo iti v nastavitve svojega računa, izbrati zavihek »Organizacije« in povabiti zaposlenega. Ko sprejme povabilo, lahko v razdelku »Dostop do sistemov« poiščete svojo banko (po vzpostavitvi integracije z njo) in uporabniku omogočite dostop do svojega osebnega računa. V tem primeru mu ni treba prenesti telefonske številke ali žetona, ki se uporablja za podpisovanje plačilnih dokumentov.
Povezovanje s storitvami EDF
Storitve za izmenjavo elektronskih dokumentov so priročne in zaradi univerzalnega dela na daljavo so preprosto potrebne. Odjemalec 1C: Enterprise se integrira z njimi, vendar pravno pomemben EDI zahteva uporabo kvalificiranega elektronskega podpisa.
Posneti ga je mogoče le na ključek ali shraniti v storitev v oblaku, ki ima ustrezne certifikate domačih regulatorjev.
Elektronskega podpisa ni mogoče naložiti na noben medij ali ga shraniti na VPS, zato računovodja običajno dela z elektronskim upravljanjem dokumentov iz lokalnega računalnika tako, da vstavi bliskovni pogon. Na njem je nameščeno certificirano kriptografsko orodje za zaščito informacij (t.i. kriptoponudnik) in javno potrdilo za elektronski podpis. Njegov zaprti del je shranjen na bliskovnem disku, ki mora biti fizično povezan z računalnikom za podpisovanje dokumentov v programih, ki podpirajo to funkcijo. Za delo z EDI prek spletnega vmesnika potrebujete vtičnike brskalnika.
Da poslovno kritičnega sistema ni treba namestiti na osebnem računalniku strokovnjaka, ki dela na daljavo, je uporaben tudi VPS, vendar možnost s fizičnim žetonom tukaj ne bo delovala.
Težko je reči, kako se bo kriptoponudnik obnašal v virtualnem okolju, še posebej, ko poskuša posredovati vrata USB v VPS prek odjemalca RDP. Ostane le digitalni podpis v oblaku brez fizičnega nosilca, vendar vse storitve e-dokumentnega prometa ne ponujajo takšne storitve. Mimogrede, stane približno tisoč rubljev na leto, ne da bi upoštevali naročnino za samo storitev izmenjave dokumentov, ki je odvisna od obsega.
Dobra novica je, da so skoraj vse priljubljene ruske storitve že dolgo vzpostavile medsebojno gostovanje dokumentov, tako da se lahko povežete s komer koli. Obstaja tudi slaba novica: papirja se ne bo mogoče popolnoma znebiti, saj bodo med nasprotnimi strankami zagotovo tisti, ki ne uporabljajo EDI.
Nastavitev dostopa do storitev s pomočjo certifikatov
Številne storitve omogočajo avtentikacijo in avtorizacijo brez prijave in gesla s pomočjo SSL odjemalskih certifikatov, ki jih je mogoče namestiti tudi na VPS in ne na računalnik računovodje.
Na enak način lahko nastavite avtentikacijo na spletnih virih podjetja. Kako narediti:
- Kupite zaupanja vrednega overitelja potrdil, da ga uporabite za podpisovanje in preverjanje odjemalskih potrdil SSL;
- Ustvarite odjemalska potrdila SSL, podpisana z zaupanja vrednim potrdilom;
- Konfigurirajte spletne strežnike za zahtevanje in preverjanje odjemalskih potrdil SSL;
- Namestite potrdila odjemalca za uporabnike oddaljenega namizja na VPS.
Tema uvajanja 1C: Podjetja za mala podjetja na virtualnih strežnikih je široka, opisali smo le eno metodo, primerno za zagotavljanje varnosti računovodstva.
VPS lahko včasih dobro služi in se izogne namestitvi kritičnih informacijskih rešitev in prenosu zasebnih podatkov podjetja na daljavo v osebni računalnik strokovnjaka.
Upamo, da vam je bil članek koristen.
Vir: www.habr.com