Embed Size (px)
DESCRIPTION
Citation preview
E-SklepSkutecznie
i bezpiecznie
Doradcy internetowi numer 1 w
Polsce
Kim jesteśmy?
2
Nasza misja
Skuteczny rozwój biznesu Klienta, poprzezprofesjonalne, indywidualne doradztwo orazoferowanie kompleksowych, najwyższej jakości,innowacyjnych rozwiązań z dziedziny Internetu.
7 lat na rynku
100 osób
50 000 Użytkowników
1 000 000 maili dziennie
10 000 000 zł obrotu rocznie
Kim jesteśmy?
3
Ogólnopolskasieć oddziałów
Blisko Klienta w każdym dużymmieście. Dziesiątki spotkańdziennie pozwalają dobrzepoznać Klientów
Dlaczego E-Sklep?
4
Przychody - Koszty = Zyski
Czynniki ryzyka
Wybrane czynniki ryzyka
5
Czynniki ryzyka
Ryzyko techniczne
Ryzyko walutowe
Ryzyko operacyjne
Ryzyko stopy procentowej
Ryzyko prawne
Ryzyko błędów marketingu
Co zawodzi najczęściej?
6
SoftwareCzynnik 1
HardwareCzynnik 2
InfrastrukturaCzynnik 3
Oprogramowanie
7
Ograniczanie ryzyka technicznego - oprogramowanie
Czynnik ryzyka Jak ograniczamy
Luki w oprogramowaniu systemowym
Dyżur 24/7, stałe aktualizacje, bezpieczne dystrybucje, rozsądne instalowanie najnowszych wersji
Luki w oprogramowaniu sklepuBackup www przez 14 dni, podczas gdy konkurencja 2-3 dni.
Niedopasowanie oprogramowania do ruchu
Możemy wyfiltrować ruch nafirewall’u np. z kampanii nieprzygotowanego na taki ruch sklepu.
Oprogramowanie trudno skalowalne
Elastycznie migrujemy na coraz mocniejsze maszyny.
Oprogramowanie - ciekawostka
8
Niezawodność
• Klaster serw. dedyk. w Berlinie
• Serwery zapasowe w Polsce
• Specjalne, autorskie oprogramowanie, zintegrowane z DNS, do przełączania ruchu w razie awarii
• Odpowiednia synch. baz danych
Oprogramowanie - ciekawostka
9
Wydajność
•Wielki Finał WOSP – obsługasklepu
• Klaster dedykowany: www + proxy
• L.A. na serwerze proxy<0,1!!!
Sprzęt
10
Ograniczanie ryzyka technicznego - sprzęt
Czynnik ryzyka Jak ograniczamy
Awaria dyskuDyski SAS, Macierze RAID 10, odporne na awarię 1 do 2 dysków.
Awaria zasilacza Redundantne zasilacze
Awaria wentylatora Redundantne wentylatory
Awaria płyty głównej, procesora itp..
Posiadanie całego serwera w identycznej konfiguracji, do którego w razie awarii przekładamy dyski.
Sprzęt - ciekawostka
11
Mała, niebieska
dioda UID. Tylko
świeci… ale…
Sprzęt - ciekawostka
12
Z dwóch stron i
możemy ją zapalić
z każdego miejsca
na świecie!
Mały detal:
13
Eliminuje ryzyko błędu wyłączenia nie tego serwera
Ogranicza czas identyfikacji maszyny o ok. 90%
Przyszpiesza reakcję – nie zawsze trzeba na miejsce
wysyłać najlepszego człowieka, bo prostą czynność
na wskazanej maszynie wykona każdy.
Inne interesujące detale
14
• Kluczyk w samym serwerze
• Panel diagnostyczny
• Pełna zdalna diagnostyka
Infrastruktura
15
Ograniczanie ryzyka technicznego - infrastruktura
Czynnik ryzyka Jak ograniczamy
Awaria zasilaniaZasilanie z 2 elektrowni + generatora + UPS’ów na 2 torach
Awaria chłodzeniaKilka niezależnych obwodów klimatyzacyjnych. Redundancja klimatyzacji.
Bezpieczeństwo fizyczne
Biometryczne czytniki kontroli dostępu, czujniki sejsmiczne, wstęp tylko dla osób upoważnionych
Pożar
Instalacja VESDA aktywnie analizująca skład powietrza + system INERGEN gaszenia gazem.
Infrastruktura
16
Infrastruktura
17
Infrastruktura
18
Infrastruktura
19
Ryzyko prawne
20
Prawdziwa historia:
www.chandelek.pl
Ryzyko prawne
21
Ograniczanie ryzyka prawnego
Czynnik ryzyka Jak ograniczamy
Niezgodny z przepisami model biznesowy
Analiza prawna zgodności
Błędnie przygotowany regulaminPrzygotowanie zgodnego z przepisami regulaminu świadczenia usług
Aplikacja nie spełniająca wymogów prawnych
Sprawdzenie aplikacji przez specjalistę - już w fazie projektowania
Nie zarejestrowany zbiór danych osobowych w rejestrze GIODO
Złożenie wniosków rejestracyjnych w odpowiednim czasie
Brak aktualnej dokumentacji i procedur ODO
Stworzenie i stałe aktualizowanie dokumentacji
Brak administratora bezpieczeństwa informacji (ABI)
Powołanie ABI/outsourcing
Właściwa sekwencja działań
22
Analiza modelu
Analiza aplikacji
Audyt
Dokumentacja
Rejestracja
Szkolenia
ABI
Faza przygotowań
Faza rejestracji zbiorów
Zarządzanie ODO
System ochrony danych osobowych
23
Świadomość pracowników Kompetentny ABI
Aktualna dokumentacja
Zabezpieczenia fizyczneWypełnianie obowiązków ADO
Procedury wewnętrzne
Co zyskuje nasz Klient?
• Znaczną redukcję ryzykatechnicznego
• Znaczną redukcję ryzyka prawnego
• Stałe doradztwo
• Elastyczną platformę
24
Korzyści po obu stronach
Dlaczego opłaca nam się starać?
• Umożliwiamy rozwój Klientom
• Rozwój Klienta=Nasz rozwój
• Zadowolony Klient poleca nas innym
O co pytać dostawcę?
25
Ważne pytania do dostawcy hostingu:
Pytanie o: Uzasadnienie
Markę serwerów Czy umie podać i uzasadnić?
Technologie dyskowe i macierze
Czy dyski są w macierzach chroniących dane, jaka jest technologia dyskowa (SATA/SAS)?
Lokalizację serwerów wraz z opisem dla GIODO
Jeśli nie ma opisu – jak zgłosić wniosek o rejestrację baz?
ProceduryCzy są przewidziane procedury na wypadek awarii, jakie zasoby są utrzymywane w rezerwie?
Czy swoje bazy ma zgłoszonew GIODO?
Jeśli nie – to czy powierzycie mu obsługę własnych baz?
O co pytać dostawcę?
26
Ważne pytania do dostawcy hostingu:
Pytanie o: Uzasadnienie
Liczbę administratorów Jeśli <3 to jak zapewni dyżur 24/7?
Liczbę data center? Jeśli 1, to co w razie katastrofy?
Czy wspiera zarówno InnoDB, jak i MyISAM? A Postgresql?
Pytanie techniczne, na ile elastycznie podchodzi do baz danych?
Jakie ma doświadczenie w budowie wieloserwerowychrozwiązań?
Jeśli nie – co gdy oglądalność wzrośnie 10-krotnie?
Ile serwerów obsługuje?Jeśli <50 – to jak zapewnia części bieżące zamienne do nich?
Z jakiego okresu może przywrócić backup naszego sklepu?
Jeśli <3 dni, to czy nie jest to za krótko? Czy każdy rodzaj uszkodzenia wymagający backupu zostanie ujawniony wcześniej?
O co pytać dostawcę?
27
Ważne pytania do dostawcy hostingu:
Pytanie o: Uzasadnienie
Łącza z BGPJeśli nie ma redundancji łącz z BGP, to jak realizuje przełączenia w razie awarii łącza?
Czy zapewnia zabezpieczenia fizyczne zgodne z przepisami o ODO?
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. (Dz.U.04.100.1024)
Czy oferuje podpisanie umowy powierzenia przetwarzania danych osobowych?
Art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.)
Czy oferuje pomoc przy rejestracji zbiorów danych osobowych?
Art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.)
Czy oferuje pomoc w administrowaniu bezpieczeństwem informacji?
Co, jeśli nie ma kompetentnego ABI?
28
Dziękujemy za uwagę:
Artur Pajkert (ryzyko techniczne)
Jarosław Krauz (ryzyko prawne)
