Árvore de páginas

Aqui você encontra informações para não perder nenhuma ação ou facilidade disponibilizada pelo Suporte da TOTVS!

Premissas Linha Consinco

  • A adoção e implementação de uma política de acesso as aplicações e ao banco de dados do ERP, seja a descrita neste documento ou outra semelhante, é de responsabilidade do cliente e deve ser realizada preferencialmente em conjunto com o responsável pela administração do banco de dados (DBA).
  • As medidas descritas neste documento, quando adotadas, visam aumentar o nível de segurança de acesso as informações pela aplicação e eventuais acessos a base de dados do ERP, evitando acessos indevidos ou alterações que não possibilitem a identificação clara do responsável.
  • Medidas de segurança razoáveis devem ser adotadas pelo cliente para restringir e assegurar que o acesso ao banco de dados do ERP ocorrerá somente por pessoas autorizadas e de forma consensual.
  • Recomendamos fortemente a adoção de regras de firewall na infraestrutura do cliente que restrinja o acesso a servidores de aplicação e banco de dados somente a IPs conhecidos, como os utilizados pela TOTVS (primário e contingência), evitando desta forma acessos de origens desconhecidas.
  • Recomendamos que o usuário de sistema “CONSINCO” utilizado para logon no ERP (conta default com nível de administrador) seja desativado, alterando o seu status para “Bloqueado” no módulo Segurança. Com a desativação deste usuário, todo acesso ao ERP deverá ser nominal (nome e sobrenome) e as alterações, se ocorrerem, ficarão vinculadas a pessoa em questão. A orientação é que usuários criados para TOTVERS recebam no campo CODUSUARIO o prefixo C5 (ex: C5JOAOSILVA).
  • Recomendamos o uso periódico da ferramenta da Oracle DBSAT (Oracle Database Security Assessment Tool) ou outra semelhante pelo cliente ou DBA responsável para detectar vulnerabilidades e riscos de segurança de acesso ao banco de dados.
  • Recomendamos fortemente a ativação da auditoria nativa do banco de dados Oracle, afim de assegurar rastreabilidade em acessos e alterações realizadas no banco de dados. É aconselhável avaliação criteriosa em relação ao nível de detalhe escolhido, principalmente para os owners utilizados pelos produtos (CONSINCO, INTEGRACAO, CONSINCOMONITOR, CONSINCODW, NDD_REINF), em decorrência de possível degradação de performance e elevação exponencial no consumo de espaço do banco de dados.
  • Recomendamos o uso de senhas fortes e a troca periódica das senhas de acesso aos ambientes, especialmente quando compartilhadas.
  • Recomendamos que seja habilitado a expiração automática das senhas de acesso aos ambientes, exceto usuários utilizados por serviços e aplicações.
  • Recomendamos fortemente que terceiros ou prestadores de serviço não tenham acesso as credenciais de acesso ao banco de dados utilizadas pelos produtos da TOTVS.
  • Recomendamos fortemente que as senhas de acesso aos ambientes de produção sejam diferentes das senhas de acesso aos ambientes de homologação, incluindo as senhas dos usuários de banco de dados.
  • Recomendamos a adoção de acesso remoto assistido para atendimentos de suporte, por meio de ferramenta disponibilizada pela TOTVS.
  • Recomendamos fortemente a adoção e uso de ambientes de homologação.
  • A TOTVS reserva-se no direito de atualizar, modificar, incluir ou excluir informações deste documento a qualquer momento, sem aviso prévio, decorrente da evolução de seus produtos e tecnologias utilizadas.

Introdução

Esta política visa colaborar com medidas razoáveis que devem ser adotadas pelo cliente para que todo acesso as aplicações e a base de dados pelo atendimento de suporte, serviços e fábrica da TOTVS seja consensual, controlado e registrado, impedindo intervenções sem o prévio conhecimento de nossos clientes. O acesso para consulta dos registros e dos objetos do banco de dados ocorrerá por meio de usuário com acesso restrito e de somente leitura, ficando a critério do cliente mantê-lo liberado permanentemente afim de agilizar atendimentos de suporte.

Para situações que envolvam qualquer tipo de manutenção em registros ou a modificação de objetos de banco de dados do ERP na base de dados de produção, será necessário uma autorização prévia formal do cliente.

Esta autorização deverá ser solicitada e aprovada ou rejeitada por meio de trâmites no chamado referente ao atendimento de suporte em questão. Se aprovado, o suporte utilizará um usuário fornecido pelo cliente com os privilégios necessários para a realização deste trabalho. A critério do cliente, pode-se optar em gerar uma nova senha para este usuário a cada atendimento ou manter uma senha permanente e bloquear a conta do usuário após o atendimento ser concluído.

A política em questão contempla os seguintes usuários de banco de dados:

C5SUPORTE (ou similar): Usuário com permissão de somente leitura dos registros e objetos da base de dados do ERP, sendo a gestão de responsabilidade do cliente. A critério do cliente, este usuário pode permanecer liberado com a finalidade de agilizar o atendimento de suporte.

C5ANALISTA (ou similar): Usuário com permissão para alterações em registros e objetos da base de dados do ERP, sendo a gestão de responsabilidade do cliente. Recomendamos que seja disponibilizada uma nova senha a cada liberação de acesso ou o bloqueio e desbloqueio da conta caso opte-se em trabalhar com a mesma senha. O controle da senha ou a liberação da conta fica sob responsabilidade do cliente. Pode-se também optar por usuários nominais em substituição a criação de usuário único chamado C5ANALISTA.

CONSINCO: Usuário pré-existente com os privilégios necessários para o funcionamento do ERP, conforme pré-requisitos do produto. Com a implementação desta política ou politica similar, o uso deste usuário passa a ser restrito as aplicações do ERP e não deve ser utilizado para acessos diretos ao banco de dados. O conhecimento da senha deste usuário e a sua gestão deve ser única e exclusivamente de responsabilidade do cliente.

Recomendamos que o recurso de auditoria nativo existente no banco de dados seja habilitado em níveis completos para as contas C5SUPORTEC5ANALISTA (similares) e/ou usuários nominais pelo DBA responsável.


Requisitos de Implantação

Abaixo estão os pré-requisitos e concessões que cada usuário de banco de dados precisa ter para o funcionamento desta política.

  • Criação dos usuários C5SUPORTE e C5ANALISTA
  • Criação das roles CONSINCO_SELECT e CONSINCO_MODIFY
  • Conceder o privilégio CONSINCO_SELECT para os usuários C5SUPORTE e C5ANALISTA
  • Conceder o privilégio CONSINCO_MODIFY para o usuário C5ANALISTA 
  • Conceder o privilégio Connect e Resource para os usuários C5SUPORTE e C5ANALISTA
  • Conceder o privilégio Alter System para o usuário C5ANALISTA ou nominais. ¹
  • Conceder o privilégio Alter Any Procedure para o usuário C5ANALISTA ³
  • Conceder o privilégio Alter Any Trigger para o usuário C5ANALISTA ³
  • Conceder o privilégio Alter Any Sequence para o usuário C5ANALISTA ³
  • Conceder o privilégio Alter Any Index para o usuário C5ANALISTA ³
  • Conceder o privilégio Alter Any Type para o usuário C5ANALISTA ³
  • Conceder o privilégio Alter Any Table para o usuário C5ANALISTA ³
  • Conceder o privilégio Create Any Index para o usuário C5ANALISTA ³
  • Conceder o privilégio Create Any Procedure para o usuário C5ANALISTA ³
  • Conceder o privilégio Create Any Sequence para o usuário C5ANALISTA ³
  • Conceder o privilégio Create Any Synonym para o usuário C5ANALISTA ³
  • Conceder o privilégio Create Any Table para o usuário C5ANALISTA ³
  • Conceder o privilégio Create Any Trigger para o usuário C5ANALISTA ³
  • Conceder o privilégio Create Any Type para o usuário C5ANALISTA ³
  • Conceder o privilégio Create Any View para o usuário C5ANALISTA ³
  • Conceder o privilégio Create Any Job para o usuário C5ANALISTA ³
  • Conceder o privilégio Drop Any Index para o usuário C5ANALISTA ³
  • Conceder o privilégio Drop Any Procedure para o usuário C5ANALISTA ³
  • Conceder o privilégio Drop Any Sequence para o usuário C5ANALISTA ³
  • Conceder o privilégio Drop Any Synonym para o usuário C5ANALISTA ³
  • Conceder o privilégio Drop Any Table para o usuário C5ANALISTA ³
  • Conceder o privilégio Drop Any Trigger para o usuário C5ANALISTA ³
  • Conceder o privilégio Drop Any Type para o usuário C5ANALISTA ³
  • Conceder o privilégio Drop Any View para o usuário C5ANALISTA ³
  • Conceder o privilégio Debug Any Procedure para os usuários C5SUPORTE e C5ANALISTA
  • Conceder o privilégio Debug Connect Session para os usuários C5SUPORTE e C5ANALISTA
  • Conceder o privilégio Select Any Dictionary ou Select_Catalog_Role para os usuários C5SUPORTE e C5ANALISTA
  • Conceder o privilégio Unlimited tablespace para os usuários C5SUPORTE e C5ANALISTA
  • Conceder o privilégio de Select na view DBA_USERS para o usuário CONSINCO ²
  • Conceder o privilégio Alter User para o usuário CONSINCO ²
  • Criação da scheduler ou job para execução da procedure spC5_AtualizaGrant

¹ – Opcional, porém, é desejável o privilégio para possibilitar o encerramento das sessões em casos específicos de suporte que exigem tal procedimento para intervenção.
² – Ou para outro usuário que venha a ser utilizado na ferramenta de troca de senha, conforme descrito no capítulo “Administração das Contas”.
³ – A concessão desses privilégios permite ao Suporte e ao Desenvolvimento a atuação em determinados casos, como debug de processos e ajustes em objetos do sistema.


Atualização dos Privilégios

Para que os usuários C5SUPORTE e C5ANALISTA (ou similares) e/ou nominais possam consultar os registros e os objetos do banco de dados do ERP, é necessário a criação de uma scheduler (job) no usuário CONSINCO para atualização periódica dos privilégios de acesso (grants). O agendamento deve invocar a sintaxe abaixo, preferencialmente com intervalo de 1 hora.

Begin
  spC5_AtualizaGrant();
End;

Administração das Contas

A TOTVS Varejo Supermercados disponibiliza uma ferramenta própria para auxiliar na administração da troca das senhas ou o bloqueio e desbloqueio dos usuários de suporte.

A ferramenta é destinada exclusivamente para administração das contas de suporte C5SUPORTE e C5ANALISTA (ou similares).

Além da troca de senha e do bloqueio e desbloqueio das contas dos usuários de suporte, a ferramenta permite ainda a geração de senhas aleatórias com tamanho de senha personalizável para facilitar a administração.

Faça o download da ferramenta na Central de Downloads e salve-a em uma estação de trabalho que contenha o Consinco Client instalado.


Limitações

As versões mais antigas da ferramenta PL/SQL Developer não possuem os tratamentos para possibilitar que usuários com privilégios de visualizar objetos de outros usuários, tenham a mesma experiência de uso quando logado com o usuário dono do objeto. Assim, recomenda-se a utilização de versões mais atuais da ferramenta PL/SQL Developer para possibilitar uma melhor experiência de uso e assim ampliar a agilidade na utilização da ferramenta.

Para correta visualização dos objetos do usuário CONSINCO na ferramenta PL/SQL Developer quando logado com um dos usuários descritos neste documento, é necessário escolher a opção “<CURRENT SCHEMA>” ou “CONSINCO” na barra lateral de navegação chamada de “Object Browser”. A visualização de jobs e schedules pode depender da ativação do parâmetro “Use DBA views if avaliable” em Preferences > Options.

Informações sobre como obter a versão mais atual da ferramenta PL/SQL Developer e sua licença de uso podem ser obtidas em https://www.allroundautomations.com.