Политика контроля доступа PhotoRobot

Этот документ определяет политику контроля доступа PhotoRobot. В ней описывается, как PhotoRobot управляет аутентификацией, авторизацией и учетными записями пользователей. Политика контроля доступа поддерживает соблюдение договорных обязательств PhotoRobot по DPA и SLA. 

‍

‍

Аутентификация

• SSO через Google Identity (OIDC)
• В PhotoRobot Cloud нет локальных паролей
• Сложность паролей и политики MFA, контролируемые Google

‍

‍

Авторизация (RBAC)

Роли включают:

• Производство
• Закулисный
• Ретушер

Доступ предоставляется на основании:

• Обязанности по работе
• Принцип наименьшей привилегии 
• Рабочий процесс утверждения

‍

‍

Снабжение

• Аккаунты, созданные только через SSO
• Доступ предоставлен вручную уполномоченным администратором
• Все назначения задокументированы

‍

‍

Лишение провизии

• Доступ удаляется сразу после упразднения или смены роли
• Контрольный список отчисления под контролем
• Журналы, ведённые для аудита

‍

‍

Управление сессией

• Автоматическое завершение сессии
• Тайм-аут на холостом ходу назначен
• Требуется повторная аутентификация после истечения срока действия

‍

‍

Обзоры доступа к системе

• Периодические аудиты доступа
• Обзор неактивных аккаунтов
• Проверка соблюдения наименьших привилегий

‍

‍

Доступ к API

• Ключи API, привязанные к сервисным аккаунтам
• Клавиши регулярно вращались
• Права ограничены необходимыми ресурсами