Возник такой вопрос:
Есть некая фирма, занимающаяся техподдержкой своего продукта.
В том числе - с удаленным подключение к клиентам.

Вопрос: если клиент скажет - ваш сотрудник подключался ко мне, запустил какой-то скрипт и после этого у меня через клиент-банк ушли деньги на незнакомый счет. Или что сотрудник загрузил какой-то вирус, который требует там денег, не знаю, или тупо собирает инфу.

как фирме защититься от таких обвинений?

Например бухфон позволяет записывать видео

(0)[как фирме защититься от таких обвинений?]
нормальный одинэсник ни когда не нажимает кнопки сам, для этого есть бухи

(2) Ахах, браво!

(2) Но как ты это докажешь?

(4) элементарно Ватсон
отсутствием захода со стороны предприятия под собственным аккаунтом , только в конфигураторе


надо проверять как работает система - поднимаю копию

(5) речь идёт не про внутренних пользователей - а про внешних.
Пример - франчайзи. Позвонили во франч, сотрудник подключился по тимвьюверу, полазил по регистрам, пооткрывал конфигуратора, что-то там поделал..

А на след день бух звонит и говорит, что у неё с клиент-банка ушла крупная сумма денег и обвиняет в этом сотрудника франча

Полазил удаленно в конфигураторе и через 8 месяцев половина бухгалтерии ушла в декрет.

не надо лазить по базе. Подключаться только в режиме просмотра, при этом голосом заявлять это заранее.
Все исправления делать на копии.
Результаты - отправлять тамошнему итишнику на верификацию и внесение в рабочую базу.

А в договоре-то что написано?

(8) тогда это уже не техподдержка

(10) сфигали?

Кстати, да. Все нормальные франчи и не франчи подписывают с клиентами соглашение о неразглашении и безопасности данных.
Если исполнитель не подписал - его можно выставлять на бабки на законных условиях...

>> как фирме защититься от таких обвинений?

прописать в договоре поддержки что права доступа должны быть вам настроены чтобы вы никуда не лазили.

(2) поддерживаю, когда то с меня пытались страсти подписанную бумажку что моя программа правильно вознаграждение рассчитала...

отказался и дал взамен бумажку что моя программа при правильных введенных исходных данных все считает правильно (по данному ТЗ)

а ответственность на том кто нажимает кнопку ))
все как у взрослых бухов, где за ошибку в 1С отвечает не прог а бух

(0) Да очень просто. Если клиент обвиняет, то он должен доказать, что это по вине исполнителя со счета ушли бабки или вирус залетел. А клиент фиг это докажет. Он может, конечно, обратиться в правоохранительные органы, но тогда ему придется предоставить свои компы на экспертизу. А ему это надо?

(9) а что должно быть написано в договоре?

(16) В идеале все спорные моменты.

Типа - ваш сотрудник подключался ко мне, запустил какой-то скрипт и после этого программа мне говорит, что этот ваш сотрудник теперь владелец моей фирмы.

(16) читай 13
обычно аутстаферам выделяют отдельную тестовую машину или тестовый сервер и они при всем их желании никуда не влезут.

>>Подключаться только в режиме просмотра
тогда нет никакого смысла в подключении и в поддержке.
в режиме просмотра можно запросить и скриншоты у пользователя.

(19) +1


пиши на видео свои действия

(19) скрины тебе не помогут, ибо не видишь, что именно делает юзверь.

(0) Чтобы подобных казусов не было, в договоре нужно прописать, что ВСЕ удаленные соединения записываются в виде видео и аудио, с фиксированием передвижений курсора мыши на удаленном компьютере, а также нажатых клавиш. Эти копии, согласно договора, хранятся столько-то времени, и могут быть предоставлены таким-то должностям из конторы клиента, по таким-то запросам, согласно такому-то регламенту.

(6) А ключевой носитель для подписи платежек сотрудник франча тоже удаленно через тимвьювер достал из сейфа и вставил в комп ?

(23) нет, он может быть воткнут в момент подключения.
и прав бухгалтерских вполне хватит, чтобы отправить платежку, запустить вирусы и пр

(24) а это их проблемы

(24) так это халатность со стороны клиента, ему и отвечать за нее
ключ надо убирать после завершения работы сражу же

(0) А вот представьте выехал ваш менеджер заключать к клиенту доровор, и вдруг там кого-то убили, как ему доказать что это не он и защититься от подобных обвинений ?

(0) нет таких скриптов которые заставят клиент банк куда то отпраивть деньги.
Это бред.

Все клиент банки сейчас практически снабжены электронными ключами с защитой и каждый платеж может быть подтвержден только паролем. И если надо даже с системой оповещения.
Это раз.

Это только в голивудских боевиках деньги с расчетных счетов уходят нажатием одной кнопки и при этом куда то утекают

(28) если бух может отправить отправить платеж со своего компа, значит, это может сделать любой, кто подключился к его компу.
И не важно, кто это сделал на самом деле - раз у сотрудника была возможность - бух обвинит его

(28) зачем интригу разрушаешь?

(29) флеху с ключами тоже удаделнно воткнешь?

(31) флешку с ключами могут не вынимать из компа целый день

(32) Вот это и пиши в договоре

(32) Можно на входную дверь со стороны подъезда приделать кармашек и хранить в нем ключи, а потом обвинять всех соседей что это они хлопнули твою квартиру.

(34) да не в ключах дело. обвинить ведь могут в чем угодно - начиная от кражи пароля на вконтактик, заканчивая сменой ОС.

Вопрос в том - как организовать работу удаленного подключения к внешним пользователям с минимальными рисками

(35) Обвинить могут всех во всем. Надежда только на то, что следствие разберется :)

(32) могут. Заодно видать могут и банк грохнуть ибо там платежи пишутся лог

(35) Ну если так, то остается режим "Только просмотр"

Отладка конф, только на выделенном сервере на копии базы с мин правами

(39) да-да. я и забыл, что у каждой организации есть свой выделенный тестовый сервер

(40) Ты просто хочешь чисто юридически вопрос решить?

(41) и юридически и технически. У нас встал вопрос сопровождения своих решений у клиентов, но служба безопасности не пропускает вариант простого прямого подключения

(42) Тогда только по старинке - выезд к клиенту за его счет )))

(42) СБ чья ?
ваша или клиента ?

(44) наша

Для исправления большинства ошибок достаточно описания порядка воспроизведения ошибки. В тяжелых случаях еще необходима база для воспроизведения. Подключаться в этом случае ни к кому не надо.

(46) базу никто не даст

(5) Это не показатель. Прог почти всегда может зайти в 1С  под любым пользователем, и пользователь про это не узнает.

(47) ты не понял.

Никто не мешает воспроизвести проблему на чистой базе. В самом тяжелом случае никто не мешает воспользоваться обработкой с ИТС по обработке конфиденциальной информации.

Ну и традиционно, нет ножек - нет мультиков.

(49) на чистой все работает. не работает там, где кривые данные

(0) Что-то вы неправильно делаете.  У нас работа с заказчиками на 90% состоит именно в удалённом доступе (тим, rdp, radmin, etc). Ни разу не слышал, чтобы нам что-то предъявляли.

Техподдержка не может отвечать за данные, за них отвечает пользователь.

(0) странный сабж... защитится от подобных наездов можно тремя способами

1. договор который изначально снимает с тебя всю ответственность
2. иметь доверие у главного в компании (например директора)
3. не работать вообще...