Kust ma Chaindociga alustan?

Mine Kiire alustamise juhendisse. See juhendab sind läbi konto loomise, esimese dokumendi üleslaadimise ja allkirjastamiseks saatmise. Võtab umbes viis minutit, kui sul on juba dokument valmis.

Kas on olemas API viide?

Jah. API viide hõlmab kõiki endpointe, sealhulgas autentimist, dokumendi üleslaadimist, allkirjastajate haldamist ja webhooki konfigureerimist. Iga endpoint sisaldab päringu ja vastuse näiteid, mida saad sandboxis testida.

Millised SDKd on Chaindocis saadaval?

Chaindocil on SDKd JavaScript/TypeScripti, Pythoni ja Go jaoks. SDKde ja teekide lehel on paigaldusjuhised ja koodinäited. Kui su keelt pole loetletud, REST API töötab iga HTTP kliendiga.

Kuidas webhookid Chaindocis töötavad?

Chaindoc saadab POST päringuid sinu endpointi, kui sündmusi juhtub: dokument allkirjastatud, vaadatud, aegunud ja nii edasi. Webhookide juhend näitab, kuidas konfigureerida endpointe, verifitseerida allkirju ja käsitleda uuesti proovimisi.

Kas ma vajan kontot Chaindoc sandboxi kasutamiseks?

Jah, aga see on tasuta. Registreeru chaindoc.io ja saad sandboxi juurdepääsu automaatselt. Krediitkaarti pole vaja. Sandbox peegeldab tootmist, nii et kõik, mida seal ehitad, töötab samamoodi, kui lülitad ümber.

Kust ma leian Chaindoc koodinäiteid?

Igal dokumentatsiooni lehel on inline koodilõigud. Täielike töötavate näidete jaoks sisaldab juhendite sektsioon lõpuni allkirjastamise vooge, hulgioperatsioone ja mallipõhiseid töövooge kopeeri-kleebi koodiga.

Turvalisuse parimad tavad

Chaindoc krüpteerib dokumendid puhkeolekus (AES-256) ja ülekandel (TLS 1.3), kontrollib terviklikkust blockchainil ja logib iga toimingu. Siin lehel on kirjas, mis töötab automaatselt ja mida peaksid eluks käivitamiseks seadistama.

Suurem osa turvalisusest töötab ilma sekkumiseta. Aga on seadeid, mis tuleks sisse lülitada (MFA, IP piirangud) ja harjumusi, mida meeskond peaks järgima (võtmete vahetus, juurdepääsu ülevaatused). See juhend käsitleb mõlemaid.

Autentimine

Mitmefaktoriline autentimine

Lülita MFA sisse kõigile, mitte ainult adminnidele. Asi on selles – see on üks tõhusamaid asju, mida teha saad. Chaindoc toetab:

Autentimisrakendusi (TOTP) — Google Authenticator, Authy, 1Password
SMS koode — töötab, aga on nõrgem. Kasuta võimalusel autentimisrakendusi.
Riistvara turvavõtmeid (FIDO2/WebAuthn) — kõige tugevam variant
Biomeetrilist autentimist mobiilseadmetes

Paroolipoliitikad

Kui SSO-d ei kasuta, kehtesta tugevad paroolid. Chaindoc võimaldab seadistada minimaalset pikkust (soovituslikult 12+ märki), keerukusnõudeid, aegumisintervalle ja lukustust ebaõnnestunud katsete järel. Saad ka blokeerida viimase 10 parooli taaskasutamise.

Rollipõhine juurdepääs

Anna inimestele ainult see juurdepääs, mida nad vajavad. Chaindocil on sisseehitatud rollid (Omanik, Admin, Haldur, Liige, Külaline, Audiitor) ja toetatakse kohandatud rolle tegevuspõhiste õigustega. Vaata ülesandeid kvartalis ja eemalda see, mida enam ei vajata. Kuidas seda seadistada, vaata meeskonnahalduse dokumentatsioonist.

Krüpteerimine

Puhkeolekus

Kõik dokumendid on salvestatuna krüpteeritud AES-256-ga. Varukoopiad on krüpteeritud eraldi võtmetega. Krüpteerimisvõtmeid hallatakse spetsiaalse KMS-i (võtmehaldusteenuse) kaudu ja need vahetatakse kvartalis.

Ülekandel

Iga ühendus kasutab TLS 1.3. Nõrgad šifrikomplektid on keelatud. HSTS päised on seatud nii, et brauserid ei langeks kunagi HTTP peale tagasi. See kehtib veebirakenduse, API ja blockchaini tehingute kohta.

API võtmete turvalisus

API võtmed on kõige levinum turvaprobleemide allikas. Lekkinud salavõti annab täieliku juurdepääsu su Chaindoci kontole.

Võtmehalduse reeglid

Ausalt öeldes – ära kunagi pane salavõtmeid (`sk_`) kliendipoolsesse koodi. Need kuuluvad ainult sinu backendi. Hoia võtmeid keskkonnamuutujates või secrets manageris (mitte repos). Kasuta arenduses testvõtmeid (`sk_test_`). Vaheta tootmisvõtmeid iga 90 päeva tagant. Kui võti lekib, tühista see koheselt oma armatuurlaual.

Avalikud võtmed (`pk_`) on loodud kasutamiseks frontendis ja neil on ainult lugemisõigus, seega on need kliendipakkides turvalised. Võtmeliikide kohta lähemalt vaata API integratsiooni juhendist.

Blockchaini kinnitus

Iga avaldatud dokument saab räsi kirjutatud blockchaini. See on see osa, mida ei saa muuta. Isegi kui keegi otse andmebaasi pääseks, ei saaks ta dokumenti muuta ilma blockchaini räsi kehtetuks muutmata.

Dokumendi räsid salvestatakse avaldamisel ja igal olekumuutusel (allkirjad, tühistamine jne)
Tehingu kviitungid hoitakse dokumendiga koos lihtsaks kontrollimiseks
Igaüks saab iseseisvalt dokumendi blockchaini kirje vastu kontrollida
Kanne on püsiv — see püsib ka siis, kui Chaindoc ära kaob

Praktikas tasub kõrgväärtuslike dokumentide puhul pärast allkirjastamist blockchaini kirjet kontrollida, et kõik klappiks.

Webhookide turvalisus

Kui kasutad webhooke, kontrolli HMAC allkirja igal sissetuleval päringul. Ilma selleta saaks keegi su otspunktile võltsitud sündmusi saata. Webhookide juhendis on kontrollkood olemas.

Kooskõlastus

Chaindoci infrastruktuur on SOC 2 Type II sertifitseeritud. Sõltuvalt sinu valdkonnast võid vajada täiendavaid seadeid:

GDPR — andmete asukoha valikud (EL, USA, Aasia), kustutamisõigus, andmete teisaldatavus. Dokumentide säilitamispoliitikad käsitlevad automaatset kustutamist.
HIPAA — auditi logimine ja juurdepääsukontrollid tervishoiudokumentidele. BAA saamiseks võta ühendust toega.
SOC 2 — turvakontrollid on dokumenteeritud. Igal aastal teostatakse kolmanda osapoole auditeid.
eIDAS / ESIGN Act / UETA — allkirjade kooskõlastus on sisse ehitatud kõigile kolmele allkirjatüübile.
ISO 27001 — infoturbe juhtimistavad on joondatud ISO 27001-ga.

Auditi logimine

Chaindoc logib iga toimingu: sisselogimised, dokumendijuurdepääsud, muudatused, allkirjasündmused, õiguste muutused ja API kutseid. Logid hoitakse muutmatu süsteemis ja säilitatakse vähemalt üks aasta (pikemalt, kui sinu säilitamispoliitika nõuab).

Saad auditi logid eksportida välisteks kooskõlastusülevaadeteks. Ebaõnnestunud sisselogimiskatsed ja kahtlane tegevus käivitavad hoiatused, kui oled seiranud seadistanud.

Seire ja intsidentidele reageerimine

Seadista hoiatused ebaõnnestunud sisselogimiskatsete, ebatavalise API tegevuse ja õiguste tõstmise kohta. Chaindoc integreerub SIEM süsteemidega, kui sinu turvameeskond neid kasutab.

Ole valmis ka intsidentidele reageerimise plaan. Tea, kellega ühendust võtta, mida välja lülitada ja kuidas rikkumisest teatada. Testi plaani vähemalt kord aastas. Chaindociga seotud turvaintsidentide korral kirjuta security@chaindoc.com.

Ene elukäivituse kontrollnimekiri

Mine selle läbi enne eluks minekut:

MFA lubatud kõikidele kontodele
Paroolipoliitikad seadistatud (12+ märki, lukustus pärast 5 ebaõnnestumist)
Rollid määratud vähimate õigustega
AES-256 krüpteerimine kinnitatud (vaikimisi lubatud)
TLS 1.3 jõustatud kõikidel otspunktidel
API võtmed hoitud keskkonnamuutujates või secrets manageris
Testvõtmed vahetatud elukvõtmete vastu
API otspunktidele kiirusepiirangud seadistatud
Webhookide HMAC kinnitus implementeeritud
Auditi logimine lubatud ja säilitamisperiood seatud
Turvaseire ja hoiatused seadistatud
Intsidentidele reageerimise plaan dokumenteeritud
Varukoopiad testitud (proovi taastamist)
Kooskõlastusnõuded dokumenteeritud ja täidetud

Mida edasi teha

Meeskonnahaldus — seadista rollid ja juurdepääsukontroll
Allkirjad — mõista allkirjatüüpe ja kooskõlastust
API integratsioon — turvasta oma API implementatsioon
Webhookid — HMAC kinnitus ja sündmuste käsitlemine
Dokumendid — juurdepääsukontroll ja säilitamispoliitikad

Dokumentatsioon