SMSAPI Jak dbac o bezpieczenstwo konta klienta w SMSAPI

Table of Contents

Bezpieczeństwo konta i funkcje, dzięki którym zabezpieczysz dane i dostępy w SMSAPI.

Kwestię bezpieczeństwa traktujemy niezwykle poważnie. Na kontach użytkowników przechowywane są przecież poufne informacje dotyczące klientów. Dlatego w 2021 zdobyliśmy certyfikat ISO 27001, na bieżąco monitorujemy poprawne działanie platformy SMSAPI w systemie 24/7/365. Współpracujemy z policją, CERT i innymi podmiotami odpowiedzialnymi za bezpieczeństwo cyfrowe Polaków.

O co nigdy nie poprosi Cię pracownik SMSAPI?

Pracownik SMSAPI nigdy nie poprosi Cię o:

  • hasło,
  • token,
  • przekazanie kontroli nad komputerem,
  • instalację aplikacji,
  • szybki przelew lub płatność za pomocą przesłanego linku.

Pracownik SMSAPI może zapytać Cię między innymi o:

  • login,
  • adres e-mail,
  • publiczne dane firmy (nazwa, adres, NIP).

Dlaczego kładziemy tak duży nacisk na bezpieczeństwo? Ponieważ bramka SMS to narzędzie masowej komunikacji. Wykorzystując zaprezentowane poniżej narzędzia, możesz znacząco ograniczyć ryzyko utraty dostępu, środków czy wycieku poufnych informacji. Poznaj weryfikację dwuskładnikową SMS, bezpieczne hasła, szyfrowanie, tokeny i listowanie adresów IP.

Przeczytaj więcej na temat bezpieczeństwa w sieci ⤵

SMSAPI posiada certyfikat ISO 27001

Czy wiesz, że od 2021 SMSAPI posiada certyfikat ISO 27001, który co roku ponownie potwierdzamy? Jest to gwarancja wysokiego standardu zabezpieczeń i rzetelnego podejścia do bezpieczeństwa danych i naszej infrastruktury. Przeczytaj więcej na temat certyfikacji oraz tego, co zmienia z perspektywy użytkownika platformy masowych wysyłek SMS.

Monitoring 24/7/365

Zanim przejdziemy do rozwiązań systemowych, które pomogą Ci w zabezpieczeniu konta SMSAPI, warto wspomnieć, że od listopada 2019 w naszej gliwickiej siedzibie działa Network Operations Center. Ten zespół specjalistów zajmuje się ciągłym monitorowaniem poprawnego działania usług SMSAPI i innych firm zrzeszonych w grupie LINK Mobility.

NOC funkcjonuje w systemie zmianowym, dzięki czemu zapewnia 24-godzinny monitoring niezależnie od świąt i dni wolnych. Do kompetencji zespołu należy rozwiązywanie wszystkich incydentów i usterek wydarzających się poza godzinami pracy biura, a także opracowywanie rozwiązań, które mają na celu minimalizowanie ryzyka ich powstania. A to tylko fragment ich kompetencji, więcej na temat przeczytasz w poniższym artykule.

Przeczytaj wywiad z leadem NOC

Bezpieczne hasło – silne, unikalne i co jeszcze?

Silne i unikalne hasło to fundament bezpieczeństwa Twojego konta. Co to jednak znaczy, że dane hasło uważane jest za mocne i niepowtarzalne? Po pierwsze, hasło do konta SMSAPI musi składać się z przynajmniej 8 znaków, w tym jednej wielkiej litery oraz cyfry. Każdy kolejny znak czyni hasło jeszcze trudniejszym do złamania.

Chroń swoje hasło

Nigdy nie udostępniaj nikomu swojego hasła.

Dodatkowo sugerujemy, żeby było unikalne. To znaczy, że nie użyjesz go nigdzie indziej. Dlaczego to takie ważne? Ponieważ w przypadku wycieku danych logowania w innym serwisie np. platformie streamingowej, niepowołane osoby nie będą mogły wykorzystać pozyskanych informacji do wejścia na Twoje konto. Zasada odnosi się oczywiście do wszystkich innych usług online, dlatego wszędzie staraj się korzystać z niepowtarzalnych haseł.

Trzecia rada – rozważ użycie menadżera haseł. Takie narzędzie wygeneruje mocne, unikalne hasła, a także przechowa je w bezpiecznym banku. Możesz skorzystać z rozwiązań płatnych lub darmowych np. KeePass, Bitwarden. Zewnętrzny menadżer haseł nie jest rozwiązaniem idealnym, jednak z pewnością oferuje wyższy poziom zabezpieczeń niż funkcja zapamiętywania danych logowania wbudowana w Twoją przeglądarkę internetową.

Wymuś okresową zmianę hasła

Finalną radą odnośnie danych logowania jest okresowe zmienianie haseł, tak aby zmniejszyć ryzyko ich wycieku i przejęcia konta. W Panelu Klienta SMSAPI w zakładce Zabezpieczenia znajdziesz odpowiednią opcję, dzięki której wymusisz ustawienie nowego co 30 dni.

Dodatkowe zabezpieczenia konta SMSAPI - zmiana hasła co 30 dni

Logowanie z hasłem SMS, czyli 2FA SMS

Autoryzacja dwuskładnikowa (2FA) jest dodatkową warstwą zabezpieczającą konto. Opcja logowania z hasłem SMS wymusza podanie przesłanego kodu podczas logowania do systemu. Taki sposób logowania jest bezpieczniejszy od zwykłego, ponieważ poza sprawdzeniem loginu i hasła wymaga także dostępu do zarejestrowanego w systemie telefonu.

Jak uruchomić zabezpieczenie logowania hasłem SMS?

Logowanie przy pomocy wiadomości tekstowej uruchomisz samodzielnie w zakładce Zabezpieczenia w Panelu Klienta.

Zabezpieczenie Logowania Haslem SMS

Po wpisaniu aktualnego hasła i numeru telefonu, system poprosi Cię o podanie kodu SMS przesłanego na wskazany numer. Po pomyślnej weryfikacji, uwierzytelnianie wieloskładnikowe zostanie aktywowane. Od tej pory, przy każdym logowaniu będzie wymagane podanie kodu przesłanego SMS-em.

Weryfikacja logowania z nowego urządzenia

System SMSAPI wykrywa logowania z nowych urządzeń. Dlatego, gdy próbujesz dostać się do Panelu z innego komputera (lub gdy ktoś inny wpisze login i hasło do Twojego konta), dostaniesz wiadomość SMS z kodem weryfikacyjnym. Przy okazji, możesz dodać nowe urządzenie do zaufanych, tak aby następnym razem logować się już bez potwierdzenia SMS-em.

Bezpieczeństwo SMSAPI wyloguj wszystkie urządzenia
Karta Urządzenia, na której sprawdzisz historię logowań do SMSAPI

W zakładce Zabezpieczenia (karta Urządzenia) sprawdzisz także historię logowań oraz aktualnie zalogowane urządzenia. Jeśli nie rozpoznajesz danej sesji, zalecamy usunięcie jej przy pomocy niebieskiego przycisku po prawej stronie oraz zmianę hasła. Możesz także wylogować wszystkie urządzenia (czerwony przycisk na górze).

SMS Authenticator – bezpieczne logowanie SMS dla firm

Odpowiadając na potrzeby naszych klientów, stworzyliśmy SMS Authenticator. Dzięki tej funkcji wprowadzisz bezpieczne logowanie za pomocą kodu weryfikacyjnego wysłanego wiadomością tekstową. Działa ono w ten sam sposób, co logowanie z hasłem SMS do konta SMSAPI.

Szyfrowanie połączenia

Połączenie z SMSAPI zabezpieczone jest certyfikatem SSL. Został on wystawiony przez sprawdzonych, renomowanych dostawców, którzy gwarantują wiarygodność naszej strony internetowej. Szyfrowanie dotyczy zarówno przeglądarkowej wersji serwisu, jak i odwołań poprzez SMS API.

Te zabezpieczenia uniemożliwiają przechwycenie informacji podczas połączenia przez urządzenia pośredniczące w komunikacji sieciowej (np. dostawcę połączenia internetowego).

Korzystamy z TLS 1.2, starsze wersje nie są już wspierane.

Tokeny OAuth2 – bezpieczne logowanie po API

Justyna Ustrzycka – Product & Project Manager w SMSAPI

Token OAuth2 jest ciągiem znaków, który pozwala połączyć się z API serwisu SMSAPI. Dla systemu informatycznego, który chce w sposób zautomatyzowany (nie przez Panel) korzystać z naszych usług, token pełni rolę użytkownika i hasła, które wpisujemy wchodząc do Panelu Klienta.

Oddzielenie tych dwóch sposobów logowania poprawia bezpieczeństwo – informacje i usługi, do których system informatyczny ma dostęp za pomocą tokena, można ograniczyć (na przykład pozwalając na wysyłkę SMS-ów, ale zabraniając sprawdzania bazy kontaktów), a sam token – wyłączyć lub usunąć.

Takie podejście pozwala bardzo szczegółowo określać to, co system informatyczny będzie w stanie zrobić oraz do jakich informacji powiązanych z kontem będzie mieć dostęp.

Warto wykorzystywać te ograniczenia, pamiętając, że jedną z zasad bezpieczeństwa jest minimalizowanie zbieranych i przetwarzanych danych.

Justyna Ustrzycka – Product & Project Manager w SMSAPI
SMSAPI Tokeny OAuth2 API

Użytkownicy – wydzielanie dostępu do konta

Jeżeli z firmowego konta w SMSAPI korzysta więcej niż jeden pracownik, warto rozważyć utworzenie subkonta użytkownika. Dzięki temu wydzielisz niezbędne uprawnienia, ustalisz preferowany czas wysyłki wiadomości, przyznasz dostępy do baz kontaktów i pól nadawców oraz przysługujące limity punktów na kampanie.

SMSAPI Dodaj Nowego Uzytkownika

Rozwiązanie sprawdza się zarówno w większych przedsiębiorstwach, jak i sieciach sprzedażowych posiadających oddzielne filie. Zobacz, jak ustawić subkonta dla użytkowników.

Jak stworzyć oddzielnego użytkownika konta SMSAPI? Instrukcja wideo

IP whitelist – ograniczenie dozwolonych adresów

Rozwiązaniem, które w znaczący sposób ogranicza możliwość uzyskania dostępu do platformy przez niepowołane osoby jest listowanie adresów IP. Możesz określić, z jakich adresów dozwolone będzie logowanie do Panelu Klienta oraz połączenie SMS API. Pamiętaj, że są to dwie oddzielne listy.

IP whitelist – API:

SMSAPI Filtr Adresow IP API
W Ustawieniach API (dolna część lewego menu) ustalisz Filtr adresów IP,
z których możliwe ma być połączenie z API.

IP whitelist – Panel Klienta:

SMSAPI Weryfikacja Adresow IP Whitelist
W Ustawieniach konta określisz adresy, z których można się zalogować do Panelu Klienta.

Więcej opcji zabezpieczenia konta

W sekcji Zabezpieczenia możesz również ustalić preferowany czas trwania sesji.

Z rozsuwanej listy wybierz, po jakim czasie braku aktywności nastąpi bezpieczne wylogowanie z systemu. Ta opcja jest przydatna, jeżeli zdarza Ci się pracować w miejscach publicznych lub jeżeli współdzielisz komputer, z którego logujesz się do platformy.

Powiadomienia o nowym logowaniu

SMSAPI Email Logowanie SMS

W celu ochrony przed nieuprawnionym dostępem do konta, system informuje mailowo o próbie logowania z nowego urządzenia. W przypadku podejrzanej aktywności na koncie, sugerujemy zmianę hasła.

Ograniczenie krajów wysyłki

Korzystasz z wysyłek SMS za granicę? Sprawdź nową funkcję w Panelu Klienta SMSAPI – Ograniczenie krajów wysyłki. Dzięki niej precyzyjnie określisz, w których destynacjach zagranicznych chcesz prowadzić komunikację. Więcej na temat korzyści wynikających z ograniczania krajów przeczytasz w artykule poniżej.

Blokada wysyłki linków

W celu ochrony końcowych odbiorców wiadomości wprowadziliśmy blokadę wysyłki łączy URL w SMS. Zabezpieczenie dotyczy wyłącznie podejrzanych i nowo zarejestrowanych kont. Ograniczenie usuwamy po weryfikacji danych firmowych.

Rozwiązania klasy enterprise

Szukasz rozwiązań zapewniających wyższy poziom zabezpieczeń? Skontaktuj się z nami. Naszym partnerom biznesowym oferujemy między innymi uwierzytelnianie wzajemne (mTLS), całodobowy serwis techniczny, indywidualny system raportowy zgodny z Twoimi wytycznymi oraz narzędzia poprawiające przepływ informacji wewnątrz firmy.

Jak zgłosić awarię, usterkę lub inny problem z SMSAPI?

Masz cztery sposoby na skontaktowanie się z pracownikiem SMSAPI:

  • chat w prawym dolnym rogu strony,
  • e-mail do konsultanta, adres znajdziesz w lewym dolnym rogu,
  • rozmowa telefoniczna z konsultantem lub biurem obsługi klienta,
  • formularz Zgłoś awarię w menu Pomoc na górze Panelu Klienta.