OSI.CSS Produkt OSI.CSS (Central Signature Services, Cloud Signature Services) omogoča varnostne storitve na osnovi varnega digitalnega podpisa, ki so potrebne za zagotavljanje integritete in avtentičnosti dokumentov ter transakcij v okviru izvajanja poslovnih storitev preko spletnih portalov ali storitev v računalniškem oblaku.
Ključna prednost OSI.CSS je, da omogoča ustvarjanje digitalnih podpisov na daljavo v skladu z uredbo EU, ki podaja pravno podlago za ustvarjanje digitalnih podpisov na daljavo, pri katerih okolje za ustvarjanje digitalnega podpisa upravlja zaupanja vreden ponudnik storitev v imenu podpisnika. Uvedba digitalnega podpisa na daljavo pomeni, da so kriptografski ključi imetnikov varno shranjeni na oddaljenem sistemu in da se tudi podpis izvaja na oddaljenem sistemu. To pomeni, da podpisnik na svoji strani ne potrebuje nobene namenske strojne in programske opreme za hrambo ključev in izvajanje podpisa. Zato lahko podpisnik storitev uporablja s poljubne naprave, kot je osebni računalnik, pametni telefon ali tablica, ki ima nameščen spletni brskalnik. Imetnik je prepoznan preko močne avtentikacije: uporabniškega imena in gesla v kombinaciji z dodatnim mehanizmom enkratnega gesla SMS ali namenske naprave, mobilne aplikacije za enkratna gesla ali digitalnega potrdila. Rešitev OSI.CSS sestavlja več modulov, kar omogoča fleksibilno namestitev in lažjo integracijo v okolja, ki imajo posamezno primerljivo funkcionalnost že vzpostavljeno. OSI.CSS (»Subscribo«) omogoča varnostne storitve na osnovi kvalificiranega digitalnega podpisa, ki so potrebne za zagotavljanje integritete in avtentičnosti dokumentov ter transakcij v okviru izvajanja poslovnih storitev preko spletnih portalov ali storitev v računalniškem oblaku. Ključna prednost OSI.CSS (»Subscribo«) je, da omogoča ustvarjanje kvalificiranih digitalnih podpisov na daljavo v skladu z uredbo EU, ki podaja pravno podlago za ustvarjanje kvalificiranih digitalnih podpisov na daljavo, pri katerih okolje za ustvarjanje digitalnega podpisa upravlja zaupanja vreden ponudnik storitev v imenu podpisnika.
Rešitev OSI.CSS sestavlja več modulov, kar omogoča fleksibilno namestitev in lažjo integracijo v okolja, ki imajo posamezno primerljivo funkcionalnost že vzpostavljeno.
OSI.CSS (»Subscribo«) omogoča varnostne storitve na osnovi kvalificiranega digitalnega podpisa, ki so potrebne za zagotavljanje integritete in avtentičnosti dokumentov ter transakcij v okviru izvajanja poslovnih storitev preko spletnih portalov ali storitev v računalniškem oblaku.
Ključna prednost OSI.CSS (»Subscribo«) je, da omogoča ustvarjanje kvalificiranih digitalnih podpisov na daljavo v skladu z uredbo EU, ki podaja pravno podlago za ustvarjanje kvalificiranih digitalnih podpisov na daljavo, pri katerih okolje za ustvarjanje digitalnega podpisa upravlja zaupanja vreden ponudnik storitev v imenu podpisnika.
Produkt OSI.CSS.CRYPTO s ključi podpisnikov izvaja funkcije kriptografskih operacij, ki so potrebne za ustvarjanje digitalnih podpisov na daljavo.
Modul je nameščen v varnem segmentu omrežja pri zaupanja vrednem ponudniku storitve in je dostopen avtenticiranim ponudnikom aplikativnih storitev preko programskega vmesnika in avtenticiranim imetnikom preko spletne strani. Modul skrbi za tvorbo kriptografskih objektov preko uporabe kriptografskega strojnega varnostnega modula (HSM), na katerem se izvajajo vse operacije s ključi podpisnikov.
Varna hramba kriptografskih ključev je zagotovljena z močnimi šifrirnimi mehanizmi kriptografskega strojnega varnostnega modula, ki ne omogočajo dostopa do ključa nikomur, razen imetniku. Ključi imetnikov se lahko aktivirajo in uporabijo za ustvarjanje digitalnega podpisa na daljavo le po uspešni avtentikaciji imetnika.
Produkt OSI.CSS.SIGN zagotavlja funkcije za pripravo zahtevka za podpis in oblikovanje digitalne ovojnice podpisa dokumentov v različnih oblikah. Podprte so oblike digitalnega podpisa XML/XAdES, PDF/PAdES in PKCS7/CMS/CAdES.
OSI.CSS.SIGN je lahko nameščen pri ponudniku storitve digitalnega podpisa na daljavo ali pri ponudniku aplikativne storitve spletnega portala oziroma storitve v računalniškem oblaku. Postavitev pri ponudniku aplikativne storitve je predvsem primerna, kadar ni zaželeno, da se vsebina dokumenta za podpis posreduje ponudniku storitve digitalnega podpisa na daljavo.
V primeru postavitve pri ponudniku aplikativne storitve, dokumenta ni treba poslati ponudniku storitve digitalnega podpisa in vsebina dokumenta “ostaja” pri ponudniku aplikativne storitve. Ponudniku storitve digitalnega podpisa se posreduje le zgoščena vrednost dokumenta, ki se predhodno izračuna na lokalnem sistemu OSI.CSS.SIGN.
Produkt OSI.CSS.PKI je namenjen upravljanju digitalnih potrdil, ki se uporabljajo za ustvarjanje digitalnega podpisa na daljavo, v okviru sistema OSI.CSS.CRYPTO.
Rešitev podpira funkcije za avtomatizirano upravljanje celotnega življenjskega cikla digitalnih potrdil ali pa le funkcije, potrebne glede na že vzpostavljeno okolje overitelja. Na primer, če ima ponudnik storitve že vzpostavljen sistem overitelja digitalnih potrdil, se lahko OSI.CSS.PKI uporabi le za operacije prevzema digitalnih potrdil na ključe, ustvarjene na OSI.CSS.CRYPTO. Odprta zasnova OSI.CSS.PKI omogoča integracijo s produkti za upravljanje digitalnih potrdil različnih proizvajalcev (npr.: Entrust, Microsoft, EJBCA…).
Produkt OSI.CSS.VERIFICATION je namenjen preverjanju veljavnosti digitalnega podpisa dokumentov v različnih oblikah. Podprte so oblike digitalnega podpisa XML/XAdES, PDF/PAdES in PKCS7/CMS/CAdES.
OSI.CSS.VERIFICATION je lahko nameščen pri ponudniku storitve digitalnega podpisa na daljavo ali pri ponudniku aplikativne storitve oziroma pri subjektu, ki preverja veljavnost digitalnega podpisa. Postavitev modula OSI.CSS.VERIFICATION pri ponudniku aplikativne storitve je predvsem primerna, kadar ni zaželeno, da se vsebina dokumenta za preverjanje posreduje zunanjemu ponudniku storitve preverjanja digitalnega podpisa.
OSI.KMS.ENTERPRISE je produkt za izvajanje različnih kriptografskih operacij, ki so potrebne za varno generiranje kriptografskih ključev, varen izvoz in prenos kriptografskih ključev, izpeljavo (“derivation”) ključev, generiranje kriptografskih ključev na osnovi gesla in močnih zgoščevalnih funkcij, generiranje in varen prenos PIN-kod, generiranje RSA kriptografskih ključev elektronskih potnih listov, generiranje EC kriptografskih ključev elektronskih potnih listov ter druge kriptografske operacije glede na specifične potrebe posameznega naročnika.
Produkt podpira vse standardne kriptografske mehanizme, kot so RSA, EC, AES, DES, 3DES, SHA1, SHA256, SHA512… Končni nabor mehanizmov je odvisen od uporabljenega kriptografskega strojnega varnostnega modula (HSM). Rešitev je zasnovana okoli kriptografskega jedra, ki ima razširljivo konfiguracijsko shemo profilov, v okviru katerih se opišejo kriptografske lastnosti posamezne kriptografske operacije. Vse kriptografske operacije se izvajajo izključno na kriptografskih strojnih varnostnih modulih z uporabo protokola PKCS#11. Rešitev podpira uporabo zunanjih kriptografskih strojnih varnostnih modulov različnih proizvajalcev.
OSI.KMS.CMS (Card Management System) omogoča celovito upravljanje kriptografskih ključev in digitalnih potrdil v okviru avtomatiziranega procesa masovne izdaje pametnih kartic.
OSI.KMS.CMS ima vlogo integracijskega modula med zajemom podatkov o imetnikih, overiteljem digitalnih potrdil, OSI.KMS.Enterprise za pripravo kriptografskih ključev in sistemom za tiskanje oziroma električno personalizacijo pametnih kartic. Odprta zasnova integracijskih vmesnikov omogoča povezavo z zunanjimi sistemi preko različnih mehanizmov, kot so spletne storitve (Web Services), sporočilne vrste (message queuing) ali specifični aplikativni razvojni vmesniki (API).
Tipična postavitev obsega postavitev jedra OSI.KSM.CMS ter prilagoditve na specifično okolje, kar obsega izdelavo specifikacije vmesnikov do zunanjih sistemov in realizacijo zunanjih vmesnikov.
OSI.KMS.CMS.ENTERPRISE je sistem upravljanja pametnih kartic in je prilagojen za uporabo v podjetjih oziroma okoljih, v katerih ni primerna oziroma smotrna uporaba sistema za masovno izdajo pametnih kartic.
Omogoča pripravo posamezne pametne kartice ali manjšega seta pametnih kartic. Tipična uporaba je v povezavi z namiznim tiskalnikom pametnih kartic, ki omogoča vidni potisk in hkrati električno personalizacijo. Električna personalizacija obsega generiranje kriptografskih ključev na pametni kartici, posredovanje zahtevka za izdajo digitalnega potrdila overitelju digitalnih potrdil ter uvoz digitalnega potrdila na pametno kartico.
Dodatne možnosti so lahko še varna hramba ključev za dešifriranje za potrebe povrnitve ob izgubi kartice, varno generiranje kode PIN in/ali PUK in izpeljava (“derivation”) specifičnih ključev za upravljanje pametne kartice (npr. za upravljanje na Java Card Manager nivoju).
OSI.KMS.TACHOCA je namensko razvita rešitev za upravljanje kriptografskih ključev in digitalnih potrdil v okviru sistema za izdajo kartic EU digitalnih tahografov. Rešitev je zgrajena okoli lastnega razvoja programskih knjižnic za oblikovanje, podpis in preverjanje specifičnih CV (“Card Verifiable”) digitalnih potrdil digitalnih tahografov.
OSI.KMS.TOKENIZATOR je namenski modul za generiranje, posredovanje, upravljanje in sledenje dostopom e-žetonov in podatkom, ki so povezani z žetoni. Žetoni omogočajo maskiranje varnostno občutljivih podatkov v okviru elektronske obdelave in prenosa. Pri občutljivih podatkih se namesto pravih podatkov uporablja žeton, ki ga tvori OSI.KMS.TOKENIZATOR in ga na varen način poveže z dejansko vsebino. Omogoča naslednje funkcije: tvorbo, ponovno obdobno izdajo, delno maskiranje podatkov…
OSI.ID (Identity Management) omogoča poenotenje in centralizacijo avtentikacijskih in avtorizacijskih storitev, tako za enterprise IT-okolja, zunanje spletne storitve podjetja, kot tudi za storitve v oblaku. OSI.ID vzpostavi okolje za enotno digitalno identiteto s centralnim upravljanjem uporabniških prijav, pravic uporabnikov v aplikacijah, revizijsko sledjo dostopov do podatkov in sistemov za poročanje. OSI.ID podpira različne mehanizme za prijavo, od uporabniškega imena in gesla, enkratnih gesel SMS, strojnih ključkov enkratnih gesel TOTP, mobilnega avtentikatorja enkratnih gesel, pa do digitalnega potrdila na poljubnem mediju.
Produkt OSI.ID (»Rekono«) sestavljajo moduli, ki se medsebojno dopolnjujejo in lahko nastopajo samostojno ali povezani v širšo centralno rešitev.
OSI.ID.AUTOSCHEME omogoča implementacijo celotne varnostne sheme podjetja za zunanje in notranje uporabnike. V varnostni shemi se poleg vlog definira še pravice nad posameznimi deli aplikacije oziroma posameznimi podatki. Upravljanje pravic dostopov do vsebine aplikacij in podatkov je pomemben izziv za vsako podjetje. OSI.ID.AUTOSCHEME omogoča centralizacijo pravic preko upravljanja varnostne sheme, zunanjih in notranjih uporabnikov in virov dostopa. Z OSI.ID.AUTOSCHEME stranka pridobi centralno rešitev, ki poenoti upravljanje pravic in prek standardnih API-jev omogoča enostavno integracijo v aplikacije za poenotenje avtorizacijskih filtrov.
Lastnik podatkov upravlja pravice dostopov do svojih podatkov. OSI.ID.AUTHSELFCARE omogoča končnemu lastniku podatkov, da prek spletnega vmesnika izdaja pooblastila za dostope do svojih podatkov. Končni uporabnik lahko dvodimenzionalno določi, do katere kategorije vsebin in katerih stolpcev lahko pooblastitelj dostopa, pri čemer lahko dostope tudi časovno omeji za določeno obdobje.
OSI.ID.AUTHENTICATIONHANDLERS omogoča napredno avtentikacijo uporabnika z mehanizmi, kot so X509, PWD, SMS, TOTP, BIO, OpenID Connect, Kerberos… Različni prijavni mehanizmi so centralizirani in razpoložljivi končnim aplikacijam, da podprejo enega ali več veljavnih mehanizmov avtentikacije, pri čemer lahko različni mehanizmi prijave omogočajo tudi višji nivo pravic dostopa do podatkov.
Praktični primeri prijave v aplikacije, ki so nameščene pri ponudniku:
Uporabniško ime in geslo
Žeton preko SMS-a ali preko geselnika
Transparentna prijava preko obstoječe prijave na delovni postaji
Prijava s certifikatom
GoogleID/FacebookID/TweeterID…
OSI.ID.AUTHENTICATIONHANDLERS omogoča tudi razvoj podpore za prijavni mehanizem po meri.
OSI.ID.IDENTITYPROVIDER je modul, ki je odgovoren za ugotavljanje identitete uporabnikov, ki želijo sodelovati v sistemu, ter posredovanje le te ponudnikom storitev. Poleg osnovnih informacij o uporabniku modul omogoča posredovanje še ostalih informacij iz OSI.ID.AUTHSCHEME ter podpira različne standardne protokole za izmenjavo informacij: SAML v1 in v2, REST, WEB service, OpenID Connect…
OSI.ID.ONEPASS je geselnik v obliki aplikacije za Android in iOS, ki omogoča generiranje enkratnih TOTP OATH gesel.
OSI.ID.ONEPASSTAN je modul oziroma aplikacija za podpisovanje transakcij, ki omogoča končnemu uporabniku avtorizacijo transakcije na osnovi enkratnih žetonov.
OSI.ID.REGISTRATIONMANAGEMENT je gradnik, ki omogoča funkcije registracije računa končnega uporabnika in registracije mehanizmov prijave:
uporabniško ime in geslo
enkratno geslo SMS
enkratno geslo na mobilni napravi
digitalno potrdilo
Poleg registracije je uporabniku omogočen tudi celovit nadzor nad upravljanjem računa in dostop do portala samopomoči.
OSI.AUDITTRAIL je na voljo v dveh različicah in sicer v BASIC in ADVANCED.
OSI.AUDITTRAILBASIC omogoča konsolidacijo revizijskih sledi, ki se generirajo v bazah podatkov, datotečnih sistemih, aplikacijah, dnevnikih dogodkov, virih po meri, ter upravljanje skozi celoten življenjski cikel (vnos, obdelava, uničevanje).
OSI.AUDITTRAILADVANCED omogoča časovno žigosanje, podpisovanje in enkripcijo revizijskih sledi z ali brez uporabe HSM, kar zagotavlja neizpodbitno avtentičnost revizijske sledi.
OSI.AUDITTRAIL ponuja več modulov, in sicer:
OSI.AUDITTRAILXMLCOLLECTOR je namenjen pridobivanju revizijskih sledi iz nestandardnih virov.
OSI.AUDITTRAILDBCOLLECTOR je namenjen pridobivanju revizijskih sledi iz baz podatkov.
OSI.AUDITTRAILSYSLOGCOLLECTOR je namenjen pridobivanju revizijskih sledi preko syslog protokola.
Podjetje OSI je za svoje stranke, ki zahtevajo visoke varnostne standarde, razvilo sistem OSI.KMS. OSI.KMS zagotavlja varno in zanesljivo ravnanje s kriptografskimi ključi za naprave, kot so pametni merilniki - ustvarja, shranjuje, varno prenaša ali izvaja kriptografske operacije. Sistem OSI.KMS je zasnovan tako, da kriptografski ključi nikoli ne zapustijo sistema(-ov) v berljivi oziroma nešifrirani obliki. V podjetju OSI smo upoštevali tudi to, da se nešifrirani ključi nikoli ne obdelujejo ali shranjujejo v glavnem pomnilniku sistema KMS ali celo shranjujejo v sistemu podatkovnih zbirk, prav tako pa je za kriptografske funkcije uporabljen izključno certificiran strojni varnostni modul (HSM oz. hardware security module). Sistem OSI.KMS sestavlja 5 (pet) različnih modulov:
OSI.KMS priporočamo podjetjem, ki potrebujejo visoko raven varnosti upravljanja in uporabe kriptografskih ključev iz poslovnih razlogov ali zaradi zahtev področnih standardov in/ ali zakonodaje.
ReverseProxy: Uporablja se standardni strežnik Apache httpd, ki je konfiguriran kot povratni posrednik. Povratni posredniški strežnik se uporablja tudi za upravljanje varne povezave z odjemalci (TLS) in avtentikacijo na podlagi potrdil odjemalcev.
Prednji krmilnik API: Njegov glavni namen je zagotavljanje vmesnika API med odjemalcem in KMS.
Podatkovna baza: Kot modul podatkovne baze se uporablja MariaDB/ MySql.
Sistem za upravljanje ključev: je po meri izdelan modul, ki uporablja programski jezik Java in ogrodje SpringBoot. Namen modula je zagotoviti poslovno logiko in most med prednjim krmilnikom in strojnim varnostnim modulom (HSM).
Strojni varnostni modul (HSM).
OSI.TIMETRACKER je spletna aplikacija, ki je namenjena spremljanju aktivnosti zunanjih in notranjih izvajalcev.
Osnovna različica zajema funkcije:
Izdelava poročila o opravljenem delu v času in denarju, na podlagi vnesenih elementov pogodb in ostalih kriterijev
Vodenje evidence opravljenega dela na projektih oziroma nalogah
Ročni vnos in popravljanje dogodkov preko spletnega uporabniškega vmesnika
Poročanje v obliki izpisov/poročil po projektih, nalogah, časovnem obdobju …; Izvozi v Excel, CSV, HTML …
Predpriprava vsebin za komunikacijo, izpise in preglede, ki so dostopni v realnem času (brez dodatnih obdelav podatkov)
© OSI 2023, vse pravice pridržane.
Made with ⚝ by Starfiniti d.o.o.