מדריך למשתמש תאגידי
כללי
תאגיד בהקשר SecURL הינו כל גוף הרשום במרשם סטנדרטי מוכר. תאגיד יכול לכלול חברות, מוסדות, ארגונים, ממשלה, רשויות וכו'.
SecURL מבטיחה אמינות למשתמשים הסופיים (הציבור), ולכן היא דואגת שהקישורים המאובטחים אותם היא מייצרת ייעשו אך ורק עבור תאגידים בדוקים, אמינים ומאושרים. כעקרון מנחה, SecURL תקבל כלקוחותיה רק גופים רציניים שעברו בדיקות וכפי שמצאה לנכון לאשר
על פי קריטריונים משתנים ולפי שיקול דעתה הבלעדי. גופים קיקיוניים, אפילו אם הם חברה רשומה, שאינם עומדים בקריטריונים שקבעה SecURL ,לדוגמא כאלה שהוגשו נגדם תלונות, או שאינן עומדות ברף כלכלי מסוים, או שמעסיקות מספר קטן של עובדים קבועים, או שעוסקות במתן שירותים או במכירה של מוצרים שאינם לראות עיניה של SecURL – יתכן ולא יאושרו כלקוחותיה.
שירותי SecURL
SecURL מקבלת מהתאגיד קישורים (URL-ים) למשאבי אינטרנט השייכים לתאגיד ו/או מזוהים איתו. משאבים אלו כוללים לדוגמא אתרים, מסמכים, סרטונים, תמונות וכיו"ב. SecURL שומרת את הקישורים המקוריים שקיבלה מהתאגיד במאגרי המידע שלה, ובמקומם מנפקת
לתאגיד "קישור מאובטח" המתחיל בשם הדומיין של SecURL בצירוף קוד ייחודי המזהה את הקישור המקורי.
לדוגמא: אם הקישור המקורי היה: https://b2b.btl.gov.il/BTL.ILG.Payments/DocumentsInfo.aspx
הקישור המאובטח יכול להיראות כך: https://SecURL.xyz/i/ezDAX2
כאשר החלק האדום הוא שם הדומיין של SecURL והחלק הירוק הוא הקוד הייחודי המזהה את הקישור המקורי.
את הקישור המאובטח יכול התאגיד לשלוח ללקוחותיו הרבים במקום הקישור המקורי בכדי לאבטח אותם מפני נסיונות פישינג. ברגע שהלקוח יראה קישור מאובטח (כזה המתחיל בשם הדומיין של SecURL) הוא ירגיש נינו ובטוח כי הקישור מהימן ובטוח. ברגע שהלקוח ילחץ על הקישור המאובטח, הוא יועבר לדומיין של SecURL ושם יישלף הקישור המקורי (לפי הקוד הייחודי) והלקוח יועבר אוטומטית לכתובת המצוינת בקישור המקורי.
התקשור של התאגיד עם SecURL
התאגיד ממנה נציגים שהם אשר מתקשרים עם SecURL ,רושמים ומייצרים קישורים מאובטחים.
SecURL בודקת ומזהה את הנציגים בכל כניסה בזיהוי דו-שלבי )2FA .)כל פעולות הנציגים באתר של
SecURL מתועדות ונשמרות ב-LOG לצורך בירורים עתידיים.
ישנם שני סוגי נציגים: נציג, ונציג בכיר.
נציג מורשה לרשום ולייצר קישורים מאובטחים. נציג בכיר יכול בנוסף לרשום נציגים ונציגים בכירים
נוספים, לרשום דומיינים מורשים לייצור קישורים מאובטחים, לקבל סיסמאות עבור שאר הנציגים ועוד.
לכל ארגון יש אחראי אבטחת מידע CISO.
ה-CISO מוגדר אוטומטית כנציג הבכיר הראשון בתאגיד.
כל נציג בכיר יקבל את הסיסמאות הראשוניות של שאר הנציגים לאחר שנרשמו. עליו להעביר להם את הסיסמאות.
כפי שהוזכר קודם, כל הפעולות במערכת, כולל רישום נציגים וכל פעולה שביצע נציג או נציג בכיר – מתועדות ב-LOG.
הערה: אין פעולות מחיקה במערכת SecURL.
במקום זאת ניתן להגדיר פריט מידע כ-"לא פעיל" עם תאריך, וזאת בכדי לאפשר בירורים עתידיים
רישום תאגיד למערכת SecURL
כניסה לרישום דרך התפריט הראשי באתר www.securl.xyz
הרישום מחולק לארבעה חלקים:
1. פרטי התאגיד – כאן רושמים את שם, מספר, וכתובת התאגיד, פרטי קשר, כתובת אתר אינטרנט וכד', ומעלים תמונת לוגו שתופיע על גבי דף ההגנה המוקרן בכל לחיצה על קישור מאובטח.
2. מנהלים בתאגיד – כאן חייבים לרשום לפחות את פרטי המנכ"ל וה-CISO ופרטי הקשר שלהם.
הם יידרשו להיות חתומים על טופס הרישום שיופק בסוף.
3. משתמשי המערכת – כאן מוסיפים נציגים ונציגים בכירים. מגדירים את פרטי הקשר וההרשאות שלהם (נציג, נציג בכיר וכו').
4. דומיינים מורשים – רשימת דומיינים שרק בהם ניתן לרשום קישורים.
אלו דומיינים בבעלות התאגיד, ודומיינים שהתאגיד מצהיר כי יש לו הרשאה לרשום בהם קישורים.
בסיום הרישום תתבקשו להפיק קובץ PDF שיכיל את כל פרטי הרישום. יש להחתים את מנכ"ל התאגיד, את ה-CISO ועורך דין ממשרד מוכר על נכונות הפרטים ואישור תקנון השימוש, ולשלוח את הטופס החתום לכתובת המופיעה ב-"פרטי קשר" באתר, או טופס חתום דיגיטלית בידי עורך הדין לכתובת המייל securl@registration.xyz
אישור השימוש ב- SecURL
עם קבלת טופס הרישום החתום אצל SecURL ,תיערך בדיקה מקיפה בסופה יוחלט באם לאשר את התאגיד כמשתמש ב-SecURL וזאת בכפוף לשיקול דעתה הבלעדי של SecURL. עד לאישורה של SecURL לא יתאפשר לתאגיד להשתמש בשירותיה.
עם קבלת האישור יקבלו הנציגים הבכירים הודעה על כך כולל סיסמאות ראשוניות עבור כל הנציגים. מאותו רגע ואילך ניתן יהיה להשתמש בשירותי SecURL בכפוף לקיום הוראות התקנון.
אחריות ושיפוי
התאגיד אחראי לקישורים ששלח ל-SecURL ועל תפקודם התקין בכל עת.
אחריותה של SecURL מוגבלת לרישום ומירה על שלימות הקישור המקורי שקיבלה, הפקת קישור מאובטח המייצג את הקישור המקורי, והפניה אל הקישור המקורי ברגע שהמשתמש הסופי לחץ על הקישור המאובטח ואישר את הבדיקות בדף ההגנה.
SecURL אינה בודקת את התוכן או המטרה של משאב האינטרנט המוצבע על ידי הקישור המקורי, והללו נמצאים באחריותו הבלעדית של התאגיד.
זאת ועוד: התאגיד מתחייב לשאת בכל נזק שיגרם למשתמש הסופי כתוצאה משימוש בקישור המקורי, כיון שהתאגיד נושא באחריות הבלעדית לתוכנו ופעולתו התקינה של משאב האינטרנט אליו הצביע הקישור המקורי. התאגיד יגן על SecURL מפני כל תביעה כולל בגין נזק שנגרם למשתמש עקב שימוש בקישור המקורי.
SecURL מתעדת ב-LOG את השימוש ואת המחרוזות המרכיבות את הקישורים בהם היא מטפלת.
SecURL פועלת כמרשם לקישורים (בדומה לטאבו) ותו לא.
התחברות למערכת
משתמשי התאגיד (המכונים "נציגים") יכולים להתחבר למערכת ולבצע פעולות ומשימות.
ההתחברות דורשת זיהוי דו שלבי (2FA)באמצעות סיסמא וקוד חד פעמי שישלח לטלפון הרשום במערכת.
לאחר ההתחברות יוצג המסך הבא המכיל בצד ימין את התפריט הראשי לפעולות הנציגים:
פעולות במערכת
-
קישורים – צפייה ברשימת הקישורים הקיימים.
-
קישור חדש – יצירת קישור מאובטח חדש (הנקרא גם SecURL)
-
נציגים – רשימת נציגי התאגיד במערכת
-
דומיינים – רשימת דומיינים מורשים עבורם ניתן ליצור קישור
הערה: לנציגים בכירים יש הרשאות לביצוע פעולות נוספות מעבר לרישום ויצירת קישור מאובטח.
יצירת SecURL (קישור מאובטח) חדש
ממלאים את קישור היעד ותיאור קצר (שיופיע בדף ההגנה), את תאריך פקיעת התוקף ולוחצים על יצירת SecURL.
יופיע אישור כי ה- SecURL נוצר בהצלחה.
בנקודה זו חייבים לבדוק כי ה-SecURL תקין ולוחצים על לחצן הבדיקה.
מסך ההגנה
הקישור המאובטח (ה-SecURL) פותח את מסך ההגנה כמו בדוגמא הבאה:
לחיצה על סימן המנעול ובדיקה כי האישור הונפק ל securl.xyz תאפשר פתיחת קישור היעד
רשימת קישורים
זוהי רשימת כל קישורי ה- SecURL המאובטחים שנוצרו.
ריפרוף עם העכבר מעל הלחצנים באדום יקרין את ה-SecURL , ומעל הלחצנים בכחול יקרין את הקישור המקורי.
לחיצה תעתיק את הקישורים ללוח (לזיכרון).
בלחיצה על סימן העיפרון ניתן לשנות את תאריך התוקף של SecURL ,את התיאור, או להפכו ל-"לא פעיל".
חיפוש
החיפוש מאפשר לאתר בקלות ובמהירות קישורים לפי אותיות המופיעות בהן או בתיאור.
נציגים
במסך זה נציגים בכירים יכולים לראות את כל הנציגים, לערוך אותם, להפוך אותם ל-"לא פעיל", לשנות פרטי התקשרות ואת ההרשאות.
דומיינים
במסך זה נציג בכיר יכול להוסיף, לערוך, או להשבית דומיינים.
נזכיר כי דומיינים מגבילים את התאגיד ליצירת קישורים אך ורק בתחום הדומיינים המורשים.
