Права доступу BAS

Аудит прав доступу — це регулярна перевірка того, хто що здатна робити в BAS.

специфікації;
рецептури;
виробничі замовлення;
списання матеріалів;
випуск;
НЗВ;
брак;
собівартість;
технологічні карти;
закриття виробничого періоду. Краще блокувати користувача, а не видаляти, щоб зберегти історію дій у документах і журналі.== Журнал реєстрації BAS ==

Користувача потрібно блокувати, якщо:

податкові накладні;
розрахунки коригування;
декларації;
реєстри ПДВ;
податковий кредит;
податкові зобов’язання;
ручні коригування;
обмін із зовнішніми сервісами;
друк і експорт податкових документів. Наслідок

! |- | Що захищати? складський облік Львів

Чому не можна копіювати права 1:1

інвентаризувати користувачів;
знайти активних користувачів;
знайти неактивних користувачів;
знайти спільні логіни;
знайти користувачів із повними правами;
перевірити доступ до зарплати;
перевірити доступ до банку;
перевірити доступ до собівартості;
перевірити доступ до конфігуратора;
знайти інтеграційних користувачів;
описати нову рольову модель;
створити ролі K2 ERP;
налаштувати audit log;
заблокувати старі небезпечні доступи. * менеджер бачить тільки своїх клієнтів;
комірник бачить тільки свій складський облік;
бухгалтер бачить тільки свою організацію;
HR бачить тільки працівників свого підрозділу;
філія бачить тільки свої документи;
керівник бачить документи підлеглих;
зовнішній аудитор бачить тільки період перевірки. Повні права дозволяють бачити й змінювати майже все. Статус

Небезпека. Повні права не можна видавати “щоб не було питань”. Доступ до конфігуратора дає можливість:

Що це? * багато користувачів із повними правами;

спільні логіни;
звільнені працівники;
хаотичні профілі;
незрозумілі групи;
старі інтеграційні користувачі;
зайвий доступ до зарплати;
зайвий доступ до банку;
зайвий доступ до собівартості;
відсутність RLS;
права видавалися “тимчасово”, але залишилися назавжди. Тестові бази часто копіюються з робочих.

Потрібно обмежувати: як приклад, профіль “Менеджер продажів” здатна включати:

Доступ до собівартості

Роль — це технічний набір прав у конфігурації BAS. При переході в K2 ERP потрібно побудувати нову рольову модель, а не копіювати старі помилки. користувач системи

Права доступу BAS — це механізм керування тим, що користувачі можуть бачити і робити в BAS / BAF: відкривати розділи, створювати документи, редагувати довідники, проводити операції, переглядати звіти, працювати з банком, зарплатою, складом, виробництвом, ПДВ, собівартістю, запускати обробки, адмініструвати базу або працювати з інтеграціями. Приклад:

Доступ до продажів

Вони можуть:

Краще правило:

переглядати розділи;
відкривати довідники;
створювати документи;
змінювати документи;
проводити документи;
скасовувати проведення;
помічати на видалення;
видаляти помічені об’єкти;
формувати звіти;
переглядати зарплату;
переглядати банк;
переглядати ПДВ;
переглядати собівартість;
запускати зовнішні обробки;
змінювати конфігурація;
адмініструвати користувачів;
працювати в конфігураторі;
виконувати інтеграційні операції. Це створює ризик витоку зарплати, фінансів, собівартості, випадкових змін, запуску небезпечних обробок і проблем з аудитом.1С історично виступає як російською програмною екосистемою, а BAS і BAF пов’язані з цією технологічною спадщиною.=== Що таке права доступу BAS? ===

Її не завжди мають бачити:

Після створення тестової бази потрібно:

тільки читання;
без створення нових документів;
без проведення;
без інтеграцій;
без регламентних завдань;
без зовнішніх обробок;
без доступу звільнених працівників;
із журналом доступу;
із backup;
із зафіксованою датою переходу.== Карта міграції прав BAS у K2 ERP ==

Права можуть дозволяти або забороняти:

ivanenko.i	Активний	Менеджер продажів	15.05.2026	Немає
petrenko.p	Активний	Бухгалтер	14.05.2026	Доступ до банку
admin	Активний	Повні права	15.05.2026	Критичний доступ
old.user	Активний	Менеджер	01.10.2024	Неактивний користувач системи

Банківський блок потребує суворих прав. ([Держспецзв’язку](https://cip.gov.ua/ua/statics/perelik-zaboronenogo-do-vikoristannya-programnogo-zabezpechennya-ta-komunikaciinogo-merezhevogo-obladnannya), [Указ Президента України №601/2024](https://www.president.gov.ua/documents/6012024-52009))

нарахування;
утримання;
податки;
відомості на виплату;
банківські реквізити працівників;
розрахункові листки;
кадрові документи;
лікарняні;
відпустки;
табелі;
зарплатні звіти. Причина

Доступ до складу

Інтеграційні користувачі мають мати мінімальні права. {| class="wikitable" style="width:100%;"

!== Групи доступу ==

Собівартість — комерційно чутлива інформаційні матеріали. Це модель безпеки, яка визначає, хто бачить інформаційні дані, хто здатна їх змінювати, хто відповідає за документи, хто має доступ до зарплати, банку, ПДВ, собівартості, інтеграцій, конфігуратора і зовнішніх обробок. Ризик

Клієнти відділу

Реплікатор K2 здатна допомогти при підготовці міграції прав із BAS у K2 ERP. Таке обмеження захищає клієнтську базу і зменшує хаос у продажах.== Санкції та ризики BAS у контексті прав доступу ==

BAS часто дає можливість вивантажувати звіти в Excel. Доступ

Спільні логіни

Доступ до банку і платежів

Права доступу потрібні для: Це створює ризики і помилки в роботі. ([Держспецзв’язку](https://cip.gov.ua/ua/statics/perelik-zaboronenogo-do-vikoristannya-programnogo-zabezpechennya-ta-komunikaciinogo-merezhevogo-obladnannya), [Указ Президента України №601/2024](https://www.president.gov.ua/documents/6012024-52009))

витік клієнтської бази;
витік зарплати;
витік цін;
витік собівартості;
витік банківських реквізитів;
ручні зміни в копіях;
розбіжність між BAS і Excel;
неконтрольоване поширення файлів. | Зарплату, банк, ПДВ, собівартість, клієнтів, склади, інтеграції, конфігуратор. Ролі часто налаштовуються розробником або адміністратором конфігурації. користувач системи BAS — це обліковий запис, через який людина або сервіс входить в інформаційну базу. * фінансові звіти;
зарплатні звіти;
управлінський P&L;
ДДС;
собівартість;
маржу;
дебіторку;
кредиторку;
залишки з сумами;
Power BI-вивантаження;
Excel-експорт. * головному адміністратору;
відповідальному консультанту на час робіт;
розробнику на тестовій базі;
технічному користувачу для спеціальної задачі, якщо це обґрунтовано;
власнику процесу на короткий контрольований період.

критично про 1С. Експорт у банк

site_exchange	Обмін із сайтом	Замовлення, залишки, статуси
bank_exchange	Банк	Виписки, платежі
wms_exchange	WMS	Складські документи
powerbi_export	BI	Читання погоджених даних

Звіти часто показують більше, ніж документи. складський облік Київ

Можливі правила: Перед запуском зовнішньої обробки потрібні: Приклад:

-

провідний ризик

Повні права, спільні логіни, звільнені користувачі, небезпечні обробки. Архів BAS не повинен залишатися другою робочою системою. Поле

Приклади ролей:

Приклади груп:

користувач системи Чи можна переносити права BAS у K2 ERP один в один?
Менеджер	Так	Ні	Ні
Керівник	Ні	Так	Ні
Фінансист	Так	Так	Так
Бухгалтер	Ні	Ні	Так

Погано, коли інтеграційні функції ERP функціонує під користувачем із повними правами.== Див. так само ==

Приклад нової рольової моделі K2 ERP

Блокування користувачів

Реплікатор K2 і права BAS

змінювати метадані;
змінювати ролі;
змінювати код;
підключати розширення;
завантажувати конфігурацію;
запускати службові операції;
тестувати і виправляти базу. складський облік Одеса

При переході з BAS або 1С у K2 ERP права доступу потрібно не переносити механічно, а переглядати: очистити користувачів, прибрати спільні логіни, заблокувати старі облікові записи, обмежити зарплату, банк, собівартість, API, Power BI, побудувати нові ролі, налаштувати audit log і залишити стару BAS-базу тільки як захищений архів для читання. Звіт “продажі та реалізація” здатна бути безпечним для менеджера, а звіт “продажі та реалізація з маржею і собівартістю” — ні. Зарплату мають бачити тільки ті користувачі, яким це потрібно за посадовими обов’язками. Приклади:

користувач системи	Обліковий запис	User	Активність, email, працівник
Роль	Технічні права	Role	Не копіювати без аналізу
Профіль доступу	Прикладний набір прав	Access profile	Переглянути бізнес-логіку
Група доступу	Об’єднання користувачів	User group	Очистити старі групи
Організація	Обмеження по юрособі	Company access	Звірити з актуальною структурою
складський облік	Обмеження по складу	Warehouse access	Звірити з логістикою
RLS	Обмеження записів	Row-level access	Перевірити правила
Інтеграційний користувач системи	Обмін із системами	API user	Мінімальні права, токени

Менеджер продажів здатна бачити тільки своїх клієнтів і документи. * змінити назву;

обмежити доступ;
вимкнути інтеграції;
вимкнути регламентні задача;
перевірити користувачів;
додати позначку “ТЕСТ”. Права

Потрібно розділяти:

Це особливо критично для холдингів і груп компаній. !

користувач системи із повними правами здатна мати доступ до:

через Журнал реєстрації користувачі можуть контролювати дії користувачів.[[Категорія:Права доступу BAS]]

[[Категорія:Права доступу в ERP]]

== Типові помилки з правами BAS ==

Повні права можуть бути потрібні:

[[Категорія:Профілі доступу]]

[[Категорія:Audit log]]

Потрібно перевіряти:

Логін: бухгалтерський обліковий облік

Це створює ризики:

Права доступу BAS — це правила, які визначають, що користувач системи здатна бачити і робити в інформаційній базі: документи, довідники, звіти, обробки, склади, організації, зарплату, банк, ПДВ, собівартість і адміністрування. У закупівлях контролюють:

* масово змінювати документи;
* змінювати регістри;
* імпортувати інформаційні дані;
* видаляти інформаційні дані;
* перепроводити документи;
* вивантажувати інформацію;
* змінювати ціни;
* формувати файли;
* запускати інтеграції.<syntaxhighlight lang="text">

* менеджери продажів;
* комірники;
* оператори;
* зовнішні консультанти;
* тимчасові користувачі;
* частина керівників;
* інтеграційні користувачі. '''Права доступу BAS''' — це один із ключових елементів безпеки інформаційної бази. Картка користувача здатна містити:

<div style="border:3px solid #2e7d32; background:#e8f5e9; padding:14px; margin:16px 0;">

'''Проста аналогія.''' Інформаційна база BAS — це офіс із багатьма кімнатами.[[Категорія:Тонкий клієнт BAS]]
[[Категорія:Групи доступу]]
Якщо RLS не налаштований, користувачі бачать зайві інформаційні дані. |-
| Бухгалтер 1
| Так
| Ні
| Ні
|-
| Бухгалтер 2
| Ні
| Так
| Ні
|-
| провідний бухгалтер
| Так
| Так
| Так
|}

</div>

Складські права мають контролювати:

__TOC__

Роль — це технічний набір прав у конфігурації.== Що таке права доступу BAS ==
== Архів BAS після міграції ==
|-
| Комірник Київ
| Так
| Ні
| Ні
|-
| Комірник Львів
| Ні
| Так
| Ні
|-
| Керівник логістики
| Так
| Так
| Так
|}

[[Категорія:Аудит дій]]

Приклад:

Для критичних звітів потрібно обмежувати експорт або контролювати, хто і що вивантажує. Роль K2 ERP

Перехід у K2 ERP — це можливість побудувати чисту модель доступу.== Висновок ==

користувач системи BAS

постачальників;
договори;
заявки на закупівлю;
замовлення постачальникам;
ціни закупівельна діяльність;
надходження;
кредиторську заборгованість;
погодження закупівель;
повернення постачальнику. Якщо в BAS залишаються спільні логіни, повні права, доступ звільнених працівників, зовнішні обробки, інтеграції під адміністратором або архівна база з правом зміни даних, компанія-користувач зберігає не тільки технологічну залежність, а й прямий ризик витоку або пошкодження критичних даних. Значення

RLS важливий для великих компаній, холдингів, філій, складів і компаній із чутливими даними. Цей доступ має бути суворо обмежений. Держспецзв’язку веде офіційний перелік забороненого до використання програмного забезпечення та комунікаційного обладнання, де станом на опублікований перелік згадуються продукти 1С/BAS, зокрема 1C:компанія-користувач 8 і BAS ERP. Права в архіві мають бути обмежені:

У кожного бухгалтера виступає як доступ до конфігуратора. як приклад, менеджер бачить тільки своїх клієнтів, комірник — тільки свій складський облік, бухгалтер — тільки свою організацію. * перегляд банківських рахунків;

створення платежу;
погодження платежу;
експорт платежу в банк;
імпорт виписки;
зміну банківських реквізитів;
перегляд платіжного календаря;
перегляд ДДС;
адміністрування банківських інтеграцій. |-

При міграції

Права не копіювати 1:1, а будувати нову модель у K2 ERP. Не потрібно видаляти користувача, якщо його дії вже пов’язані з документами. !== Для чого потрібні права доступу ==

перегляд залишків;
приймання;
переміщення;
списання;
інвентаризацію;
відвантаження;
резервування;
серії;
партії;
характеристики;
доступ до сум;
доступ до різних складів;
друк етикеток;

роботу з ТСД.

'''Групи доступу''' дозволяють керувати правами груп користувачів.[[Категорія:Права доступу 1С]]

Права доступу в BAS визначаються через користувачів, ролі, профілі, групи доступу, обмеження за організаціями, складами, підрозділами, видами документів, функціональними розділами, а так само через механізми обмеження доступу на рівні записів. Об’єкт BAS

Без прав доступу BAS перетворюється на систему, де будь-хто здатна побачити або змінити критичні інформаційні дані.== Доступ до конфігуратора ==

RLS або обмеження доступу на рівні записів — це механізм, який дає можливість показувати користувачу не всі інформаційні дані, а тільки ті, які відповідають умовам доступу. !

Найбільші проблеми старих BAS-баз зазвичай пов’язані не з відсутністю прав, а з їх хаотичністю: повні права у багатьох користувачів, спільні логіни, доступ звільнених працівників, інтеграції під адміністратором, відсутність RLS, зайвий доступ до зарплати й собівартості, тестові бази з реальними правами. Приклад

Це типова помилка старих баз. Погодження

Приклад RLS по організаціях

Чому небезпечно давати повні права?

критично. Права доступу BAS — це один із головних ризикових контурів старої системи.== Звіт по користувачах BAS ==

комірник бачить кількість, але не суму;
менеджер бачить ціну продажу, але не повну собівартість;
фінансовий директор бачить повну собівартість;
керівник виробництва бачить виробничу собівартість;
BI-користувач бачить агреговану аналітику без деталізації.== Аудит прав доступу ==

Роль здатна дозволяти:

Але технічний адміністратор не обов’язково має бачити зарплату, банк або собівартість, якщо це можна розділити організаційно і технічно.== Адміністратор BAS == SEO title: Права доступу BAS — ролі, профілі, групи, RLS, обмеження, повні права, аудит і міграція в K2 ERP SEO keywords: права доступу BAS, ролі BAS, профілі доступу BAS, користувачі BAS, групи доступу BAS, RLS BAS, повні права BAS, права 1С, роль 1С, міграція прав BAS, K2 ERP </noinclude> {{SEO Шаблон для службового SEO-опису сторінки. }} неможливо зрозуміти, хто змінив документ; неможливо провести аудит; складно відкликати доступ; пароль передається між людьми; звільнений працівник здатна знати пароль; відповідальність розмивається. Ні. Що перевірити бухгалтерський обліковий облік; Відділ продажів; Відділ закупівель; складський облік Київ; складський облік Львів; HR; фінансовий блок; Керівники; Адміністратори; Зовнішні аудитори; Інтеграційні користувачі. Приклади RLS:	class="wikitable" style="width:100%;" Приклад RLS по менеджерах Приклад: хто входив у базу; хто створив документ; хто змінив документ; хто провів документ; хто скасував проведення; хто помітив на видалення; хто запустив обробку; хто змінив права; коли сталася помилка; з якого робочого місця працювали. \|-	користувач системи	Обліковий запис людини або сервісу	ivanenko.i
Роль	Набір технічних прав у конфігурації	Бухгалтер, Комірник, Адміністратор
Профіль доступу	Прикладний набір ролей і обмежень	Менеджер продажів
Група доступу	Об’єднання користувачів із однаковими правилами	Відділ продажів Київ
Обмеження	Фільтри по організації, складу, підрозділу	Доступ тільки до складу Київ
RLS	Обмеження доступу на рівні записів	Бачити тільки свої документи

Приклад:

Наслідки:

захисту даних;
розмежування відповідальності;
запобігання помилкам;
захисту персональних даних;
захисту зарплатних даних;
захисту фінансових даних;
обмеження доступу до собівартості;
контролю складів;
контролю організацій;
обмеження видимості документів;
захисту від випадкового видалення;
контролю зовнішніх обробок;
аудиту дій користувачів;
підготовки до міграції в K2 ERP. Конфігуратор — це режим, у якому можна змінювати структуру системи. Вони визначають, хто здатна бачити інформаційні дані, створювати документи, змінювати довідники, проводити операції, формувати звіти, запускати обробки, працювати з банком, зарплатою, ПДВ, складом, виробництвом, собівартістю і конфігуратором. Права доступу — це ключі: бухгалтер має ключ до бухгалтерії, комірник — до складу, фінансист — до платежів, HR — до кадрових даних, а адміністратор не повинен автоматизовано мати ключ до всього без потреби. Зарплатні інформаційні дані виступає як чутливими. Причини:

Закупівельник не завжди має бачити всі фінансові звіти компанії. Усі клієнти

Групи корисні, коли багато користувачів мають однаковий доступ. |}

Це найчастіше джерело витоків, помилок, випадкових змін, неконтрольованих обробок і проблем при аудиті. Пароль знають усі бухгалтери. Зовнішні обробки можуть бути дуже небезпечними. Указ Президента України №601/2024 ввів у дію рішення для бізнесу РНБО від 2 вересня 2024 року щодо сценарії використання, скасування та внесення змін до санкцій. Останній вхід

Корисний звіт: Адміністратор BAS здатна:

Менеджер

Так

Ні

Керівник відділу

Так

Ні

Комерційний директор

Так

Проблеми старої моделі:

</syntaxhighlight>

! ФОП

Основні елементи моделі доступу

Правильна модель доступу — це не максимальний доступ “щоб працювало”, а мінімально необхідний доступ “щоб було безпечно і контрольовано”. </syntaxhighlight>

! Помилка

Він здатна використовуватися для:

всіх довідників;
всіх документів;
всіх звітів;
всіх організацій;
всіх складів;
зарплати;
банку;
ПДВ;
собівартості;
конфігуратора;
обробок;
видалення;
адміністрування;
зміни прав. Свої клієнти

Доступ до зовнішніх обробок

Потрібно обмежувати:

ім’я;
логін;
пароль;
email;
пов’язану фізичну особу або працівника;
роль;
профіль доступу;
групу доступу;
організацію;
підрозділ;
складський облік;
статус активності;
спосіб автентифікації;
дату створення;
дату останнього входу. Права BAS часто накопичувалися хаотично. {| class="wikitable" style="width:100%;"

Журнал потрібен для аудиту, розслідування інцидентів і міграційної перевірки. |- | Архів BAS | Тільки для читання, без інтеграцій і без зайвих користувачів. Профіль доступу — це прикладний набір ролей і обмежень, який зручніше призначати користувачу з погляду бізнесу. У виробництві права можуть бути розділені між:

Помилка: тестова база має реальні права

! Що означає

Доступ до ПДВ

Що робити зі старими правами BAS після міграції?

* працівник звільнився;
* користувач системи змінив посаду;
* доступ більше не потрібен;
* завершився аудит;
* завершився договір із підрядником;
* виявлено підозрілу активність;
* інтеграційні функції ERP більше не застосовується для;
* обліковий запис давно не активний.== Типові питання ==

* доступ до клієнтів;
* доступ до замовлень покупців;
* доступ до рахунків;
* доступ до комерційних пропозицій;
* заборону перегляду зарплати;
* заборону зміни бухгалтерських документів;
* обмеження по підрозділу;
* обмеження по власних клієнтах. * користувачі бачать зарплату;
* комірники бачать фінансовий блок;
* менеджери бачать собівартість;
* можна випадково змінити критичні документи;
* зовнішні обробки можуть запускати зайві люди;
* неможливо нормально пройти аудит.== Кому можна давати повні права ==

Після звільнення потрібно:

== RLS у BAS ==
! Погано, коли комірник одного складу здатна списати товар з іншого складу. Перед використанням, підтримкою або міграцією таких систем потрібно перевіряти актуальні офіційні обмеження. При переході з BAS у [[K2 ERP]] права доступу не варто переносити механічно. * вивантаження списку користувачів;
* аналізу активності;
* аналізу ролей;
* аналізу профілів доступу;
* пошуку повних прав;
* пошуку неактивних користувачів;
* пошуку спільних логінів;
* пошуку інтеграційних користувачів;
* формування таблиці мапінгу;
* підготовки нової рольової моделі;
* контролю після запуску K2 ERP.== Помилка: користувач системи звільнився, але доступ залишився ==

</div>

'''Повні права''' — це максимальний доступ у системі. Профіль
Права BAS часто накопичувалися роками. Погано:

* backup;
* тестова база;
* відповідальний;
* SEO-опис дії;
* журнал виконання;
* обмеження прав;
* контроль результату. * створювати користувачів;
* змінювати права;
* блокувати доступ;
* налаштовувати групи;
* оновлювати базу;
* запускати тестування і виправлення;
* створювати backup;
* перевіряти журнал реєстрації;
* керувати регламентними завданнями;
* аналізувати помилки;
* працювати з конфігуратором.[[Категорія:Power BI]]

* активних користувачів;
* неактивних користувачів;
* звільнених працівників;
* спільні логіни;
* користувачів із повними правами;
* доступ до зарплати;
* доступ до банку;
* доступ до собівартості;
* доступ до конфігуратора;
* доступ до зовнішніх обробок;
* інтеграційних користувачів;
* доступ до архівних баз;
* доступ до тестових баз. ! ! ТОВ “компанія-користувач 1”
|-
| Менеджер продажів
| Клієнти, угоди, замовлення
| Тільки свої клієнти або свій відділ
|-
| Комірник
| Складські операції
| Тільки свій складський облік, без собівартості
|-
| Фінансист
| Платежі, ДДС, бюджети
| Без зарплатних деталей, якщо не потрібно
|-
| Бухгалтер
| Первинні документи, ПДВ, обліковий облік
| По своїх організаціях
|-
| HR
| Кадрові документи
| Персональні інформаційні дані тільки у межах ролі
|-
| Зарплатний бухгалтер
| Нарахування, утримання, виплати
| Обмежений доступ до зарплати
|-
| Директор
| Управлінські звіти
| Повний перегляд без технічного адміністрування
|-
| API-користувач
| інтеграційні функції ERP
| Тільки потрібні API-методи
|}

!== Коротко ==

RLS — це обмеження доступу на рівні записів.<div style="border:3px solid #b71c1c; background:#ffebee; padding:14px; margin:16px 0;">
! |-
| Основні елементи
| Користувачі, ролі, профілі, групи, RLS, обмеження. Краще:
! |-
| користувач системи
| Іваненко Іван
|-
| Логін
| ivanenko.i
|-
| Профіль
| Менеджер продажів
|-
| Організація
| ТОВ “компанія-користувач”
|-
| Підрозділ
| Відділ продажів
|-
| Статус
| Активний
|}

!== Доступ до інтеграцій ==

* клієнтів;
* контакти;
* комерційні пропозиції;
* рахунки;
* замовлення;
* реалізації;
* знижки;
* типи цін;
* дебіторку;
* маржу;
* повернення;
* договори;
* історію клієнтів.

Доступ до закупівель

технологом;
майстром;
планувальником;
начальником зміни;
комірником виробництва;
контролером якості;
керівником виробництва;
фінансистом;
бухгалтером. Держспецзв’язку веде офіційний перелік забороненого до використання програмного забезпечення та комунікаційного обладнання, де згадуються продукти 1С/BAS, зокрема 1C:компанія-користувач 8 і BAS ERP. Правильний принцип:

Після переходу в K2 ERP стару BAS-базу можна залишити як архів.== Профіль доступу BAS ==

Стару BAS-базу потрібно перевести в архів тільки для читання, обмежити користувачів, вимкнути інтеграції, заблокувати звільнених працівників і залишити доступ лише тим, кому він потрібен для перегляду історії.== Помилка: RLS не налаштований ==

Зовнішні посилання

Помилки в ПДВ можуть мати фінансові наслідки, тому доступ має бути контрольований. ! Аналог у K2 ERP

! користувач системи ! Повні права — тільки тимчасово, тільки за потреби, тільки з відповідальним і тільки з журналом дій.== Повні права BAS ==

Роль BAS

! Роль

Конфігуратор доступний тільки адміністратору або розробнику за погодженням. Питання !

Бухгалтер;
провідний бухгалтер;
Менеджер продажів;
Комірник;
Кадровик;
Зарплатний бухгалтер;
Фінансист;
Керівник;
Адміністратор;
Повні права;
користувач системи інтеграції.

Проблеми:

Потрібно обмежувати:

Доступ до звітів

у тестовій базі залишаються реальні користувачі;
залишаються реальні паролі;
залишаються інтеграції;
залишаються регламентні задача;
користувачі можуть переплутати тест і робочу базу;
тестова база здатна надсилати реальні листи або інформаційні дані. Потрібно обмежувати:

Якщо RLS не налаштований, комірник одного складу здатна випадково створити документ на інший складський облік. Указ Президента України №601/2024 ввів у дію рішення для бізнесу РНБО від 2 вересня 2024 року щодо сценарії використання, скасування та внесення змін до персональних спеціальних економічних та інших санкцій. Створення заявки

філія бачить документи іншої філії;
комірник бачить чужий складський облік;
менеджер бачить клієнтів іншого менеджера;
бухгалтер бачить не свою організацію;
HR бачить усіх працівників замість свого підрозділу. користувач системи

Приклади: При описі прав доступу BAS в українському контексті критично згадувати санкційні й безпекові ризики. Потрібно:

менеджер бачить своїх клієнтів;
керівник відділу бачить клієнтів відділу;
комерційний директор бачить усіх;
менеджер не здатна самостійно погодити велику знижку. |-

| Усім дають повні права | Щоб не було скарг | Витік, помилки, відсутність контролю |- | Один логін на відділ | Так простіше | Немає персонального аудиту |- | Не блокують звільнених | Немає процесу offboarding | Колишні працівники мають доступ |- | Не обмежують зарплату | Ролі налаштовані грубо | Витік персональних даних |- | Не обмежують складський облік | Немає RLS | Документи створюються не на той складський облік |- | Інтеграції під адміністратором | оперативно налаштували обмін | Надмірні ризики |- | Доступ до конфігуратора у зайвих людей | Немає контролю адміністрування | Ризик зміни системи |}

Він здатна показати:

потрібно було оперативно запустити роботу;
користувачі скаржилися, що “не бачать кнопку”;
адміністратор не налаштував ролі;
права копіювали від старого користувача;
ніхто не робив аудит.

Головне. Права доступу BAS — це не без зусиль “поставити галочку користувачу”. Елемент !== Помилка: усім дали повні права ==

Приклад RLS по складах

заблокувати користувача BAS;
змінити паролі спільних логінів, якщо вони були;
відкликати доступ до RDP/VPN;
перевірити доступ до архівних баз;
перевірити доступ до Excel-вивантажень;
перевірити API-токени, якщо були;
передати відповідальність за документи іншій людині. користувач системи

class="wikitable" style="width:100%;" Проблема:

! ! ТОВ “компанія-користувач 2”	Одна людина = один користувач системи = персональна відповідальність. Профіль доступу — це прикладний набір ролей і правил, який зручніше призначати користувачам. !=== Що таке RLS у BAS? === Чим роль відрізняється від профілю доступу?	бізнес-адміністрування забезпечується через Профіль доступу зручніший; так само реалізовано ніж ручне призначення десятків технічних ролей. \| Механізм керування діями і видимістю даних у BAS. Відповідь Спільні логіни — одна з найгірших практик. Окремо варто відзначити BAS і BAF. В Україні продукти екосистеми 1С і частина продуктів BAS пов’язані з санкційними, юридичними, кібербезпековими і репутаційними ризиками. Обмеження Доступ до зарплати Доступ до Excel-експорту читання; додавання; зміну; видалення; проведення; інтерактивне видалення; перегляд; використання звітів; запуск обробок; адміністрування; доступ до службових об’єктів. Що означає У продажах потрібно контролювати: Права BAS і міграція в K2 ERP	== Доступ до виробництва == Права доступу BAS — це правила, які визначають, які дії здатна виконувати користувач системи в інформаційній базі. Призначення ПДВ виступає як важливим податковим контуром.