Principi di base
- separazione per azienda o contesto autorizzato;
- ruoli differenziati tra pubblico, operativo, admin e superadmin;
- minimo privilegio dove possibile;
- review periodica degli accessi critici.
Lavori24 | Accessi e audit
Accessi, segregazione, audit trail e verifiche periodiche.
Questa pagina spiega il cuore del controllo applicativo: chi puo vedere cosa, in quale perimetro, con quale ruolo e con quale traccia. E il punto dove il prodotto incontra davvero il requisito audit.
Cosa rende questo punto auditabile
- vincoli applicativi e test negativi di scoping;
- traccia degli eventi rilevanti;
- matrice ruoli da formalizzare e riesaminare;
- revoca o adeguamento accessi quando il perimetro cambia.
Tracciabilita che conta davvero
Un audit serio guarda meno il tono del sito e piu la capacita di ricostruire chi ha fatto cosa, in quale data, con quale esito e in quale perimetro. Per questo la tracciabilita non va trattata come un dettaglio tecnico secondario, ma come parte del prodotto.
I flussi amministrativi e operativi devono restare confinati al perimetro corretto.
Le azioni sensibili devono lasciare una traccia verificabile e controllabile nel tempo.
Un controllo non e maturo se non viene riesaminato periodicamente.
Cosa va mantenuto come evidenza
- verbali di access review;
- lista accessi critici e relative approvazioni;
- campione di audit trail verificato;
- esito di controlli su segregazione e ruoli;
- azioni correttive aperte dopo anomalie o review.