Роль BAS

компанія-користувач повинна:

[[Категорія:Роль 1С]]
! Найчастіші проблеми:

* створення касових ордерів;
* проведення касових ордерів;
* перегляд касової книги;
* оформлення оплат;
* повернення;
* закриття касової зміни;
* друк касових документів. |-
| Що таке сервісна роль? рішення для бізнесу

== Типові помилки з ролями BAS ==
У [[K2 ERP]] ролі варто будувати від бізнес-процесів. це набір прав доступу в системі [[BAS]]. Роль
== Роль і зарплата ==
інтеграційні функції ERP із сайтом функціонує під admin
Сервісна роль потрібна для інтеграцій. Питання
== Роль і конфігурація BAS ==
У [[Файловий режим BAS|файловому режимі BAS]] ролі в системі можуть бути налаштовані правильно, але ризик залишається на рівні папки бази. Користувачі
Її потрібно обмежувати для:
Він здатна показати:
|-
| ivanenko
| Менеджер продажів
| здатна створювати замовлення покупців
|-
| petrenko_buh
| Бухгалтер
| здатна працювати з банком і касою
|-
| sklad_kyiv
| Комірник
| здатна працювати зі складом Київ
|-
| admin
| Адміністратор
| Має розширені права
|}

як приклад:

Керівнику не завжди потрібні права на зміну первинних документів. |-
| API сайту
| Обмін із сайтом
| Товари, залишки, ціни, замовлення, статуси
|-
| API CRM
| Обмін із CRM
| Клієнти, угоди, замовлення
|-
| API WMS
| Обмін зі складом
| Складські документи, залишки, відвантаження
|-
| BI-експорт
| Передача даних в аналітику
| Читання потрібних аналітичних даних
|-
| Імпорт банку
| Завантаження банківських операцій
| Банківські документи
|}

Закриті періоди потрібно захищати.{{DISPLAYTITLE:Роль BAS}}

== Приклад журналу дій ==

Адміністратор здатна:

* контрагентами;
* контактами;
* договорами;
* замовленнями покупців;
* рахунками;
* реалізаціями;
* резервами;
* цінами продажу;
* статусами замовлень;
* комерційними пропозиціями;
* CRM-даними, якщо вони виступає як. Результат
<div style="border:3px solid #2e7d32; background:#e8f5e9; padding:14px; margin:16px 0;">
Для складського обліку критично обмежувати доступ по складах. * зміну документів минулих періодів;
* перепроведення;
* скасування проведення;
* коригування;
* зміну дати заборони редагування;
* службове виправлення.<syntaxhighlight lang="text">

* клієнтів;
* постачальників;
* ціни;
* залишки;
* зарплату;
* фінансові звіти;
* собівартість;
* персональні інформаційні дані;
* договори;
* банківські реквізити. Після запуску потрібно перевірити:
У різних конфігураціях назви ролей можуть відрізнятися, але в бізнесі часто зустрічаються такі ролі:
користувач системи BAS → Роль BAS → Права доступу → Доступні об’єкти і дії
|-
| Повні права
| Видана багатьом користувачам
| Адміністратор K2 ERP
| Залишити тільки відповідальним
|-
| Менеджер
| Має доступ до собівартості
| Менеджер продажів
| Прибрати собівартість
|-
| складський облік
| Спільний логін
| Комірник
| Створити персональні доступи
|-
| Бухгалтер
| Має зайві обробки
| Бухгалтер
| Обмежити службові обробки
|-
| api_site
| функціонує під admin
| API сайту
| Створити окремий сервісний профіль
|}

! # Перевірити права на експорт. Роль
{| class="wikitable" style="width:100%;"
== Роль сервісного користувача ==
|-
| Менеджер продажів
| Клієнти, замовлення, рахунки
| Зарплата, адміністрування, собівартість
|-
| Комірник
| Складські документи, залишки, інвентаризація
| Банк, каса, зарплата
|-
| Бухгалтер
| Каса, банк, проводки, податкові документи
| Адміністрування без потреби
|-
| Керівник
| Звіти, аналітичні інструменти, контроль
| Зміна первинних документів без потреби
|}

{| class="wikitable" style="width:100%;"

Вона дає можливість бачити інформаційні дані, але не змінювати їх. користувач системи

Касир здатна працювати з:

'''Адміністратор''' — це роль із розширеними правами.[[Категорія:Ролі BAS]]

* зарплати;
* собівартості;
* налаштувань прав;
* усіх банківських рахунків;
* технічних обробок.[[Категорія:Журнал реєстрації 1С]]

* хто має web-доступ;
* чи виступає як спільні логіни;
* чи немає ролі “Повні права” у web-користувачів без потреби;
* чи функціонує HTTPS;
* чи ведеться журнал входів;
* які web-сервіси доступні;
* які ролі мають сервісні користувачі. Конфігурація визначає:

* переносити ролі BAS у K2 ERP без аналізу;
* залишати всім повні права;
* не створювати матрицю доступу;
* не відокремлювати сервісні акаунти;
* не обмежувати BI;
* не обмежувати експорт;
* не обмежувати зарплату;
* не обмежувати собівартість;
* не перевіряти журнал реєстрації;
* не блокувати старі ролі;
* залишати BAS активною після запуску [[K2 ERP]];
* ігнорувати санкційні й кібербезпекові ризики. Не повинні мати доступ:

'''Найгірший сценарій.''' компанія-користувач переходить у [[K2 ERP]], але копіює старі ролі BAS без аудиту: усі мають повні права, інтеграції працюють під admin, менеджери бачать собівартість, звільнені користувачі активні, а права на експорт не контролюються. | Так, але це потрібно контролювати, щоб не видати зайві права. Якщо її мають усі користувачі, платформа фактично не має контролю доступу. # Описати документи. Ролі
[[Категорія:ERP]]

! !== Роль і собівартість ==

Менеджер продажів зазвичай функціонує з:

Ролі важливі для інтеграцій.== Права на звіти ==

[[Категорія:Ролі користувачів]]

* усі мають повні права;
* ролі не відповідають посадам;
* користувачі мають забагато ролей;
* немає матриці доступу;
* спільні логіни мають широкі права;
* сервісні користувачі мають права адміністратора;
* звільнені користувачі мають активні ролі;
* немає обмеження по складах;
* немає обмеження по організаціях;
* менеджери бачать собівартість;
* комірники бачать фінансовий блок;
* BI відкриває зайві інформаційні дані;
* права на експорт не контролюються;
* права на обробки не обмежені. |-
| Що перевірити перед міграцією? ! У старих системах ролі часто накопичують хаос. # Зробити резервну копію BAS. '''Цифрова незалежність.''' Перехід із [[BAS]] у [[K2 ERP]] — це можливість не тільки перенести інформаційні дані, а й навести порядок у ролях, правах, користувачах, інтеграціях, журналах і відповідальності. У [[K2 ERP]] потрібно будувати нову, чисту й контрольовану модель ролей, прав, груп, сервісних акаунтів і журналювання. {| class="wikitable" style="width:100%;"
== Помилка: не перевіряти права на обробки ==
! # Знайти спільні логіни. # Переглянути зайві права.[[Категорія:Заміна 1С]]

* немає реального контролю;
* кожен здатна змінити критичні інформаційні дані;
* важко розслідувати помилки;
* користувачі бачать зайву інформацію;
* інтеграції можуть змінити будь-що;
* зростає ризик витоку даних;
* журнал реєстрації не оптимізує, якщо всі мають однаковий повний доступ. Ризик

[[Категорія:API]]

користувач системи здатна вивантажити:

* скопіювати базу;
* перенести базу;
* створити несанкціоновану копію;
* передати файл стороннім;
* працювати з локальною копією. Об’єкт

== Чому ролі BAS не можна переносити як виступає як ==

* керівників;
* аудиторів;
* консультантів;
* тимчасових користувачів;
* контролерів;
* служби безпеки;
* зовнішніх перевірок;
* архівного доступу. api_site → сайт

* менеджери;
* комірники;
* касири без потреби;
* сайт;
* CRM;
* WMS;
* BI-експорт без обмеження;
* тестові користувачі. # Знайти адміністраторів. # Перевірити web-доступ. ! * банківських документів;
* касових документів;
* авансових звітів;
* податкових документів;
* бухгалтерських проводок;
* взаєморозрахунків;
* основних засобів;
* закриття місяця;
* регламентованої звітності;
* оборотно-сальдових відомостей. Бухгалтер
</div>
! Права на документи можуть бути різними. як приклад:

! Дія
Це небезпечно, якщо її мають зайві користувачі.</div>
</div>
'''Роль [[BAS]]''' — це об’єкт конфігурації або конфігурація доступу, який визначає набір дозволів для користувача.== Побудова ролей у K2 ERP ==
через Журнал реєстрації користувачі можуть перевірити, як реально використовуються ролі. ! |-
| Чи можна переносити ролі BAS у [[K2 ERP]] як виступає як? ! Це інтуїтивно, але здатна створювати ризики, якщо ролі накладаються і дають зайвий доступ. Бухгалтер

[[Категорія:Заміна BAS]]

buh1 → бухгалтер

Потрібно перевіряти не тільки людей, а й технічні підключення. * список ролей;
* SEO-опис ролей;
* користувачів із кожною роллю;
* користувачів із повними правами;
* адміністраторів;
* сервісних користувачів;
* спільні логіни;
* ролі з доступом до зарплати;
* ролі з доступом до собівартості;
* ролі з доступом до банку;
* ролі з доступом до обробок;
* ролі з доступом до експорту;
* неактуальні ролі;
* ролі тестових користувачів. Обмежувати бажано:

== Права на довідники ==

! Наслідки:

! У [[K2 ERP]] під час міграції краще будувати саме профільну модель: від реальних ролей бізнесу до конкретних технічних прав. як приклад:

Касові права можуть включати:

Приклад:

* [[K2]]
* [[K2 ERP]]
* [[ERP]]
* [[BAS]]
* [[1С]]
* [[Користувач BAS]]
* [[Користувач K2 ERP]]
* [[Права доступу]]
* [[Ролі K2 ERP]]
* [[Групи користувачів K2 ERP]]
* [[Журнал реєстрації 1С]]
* [[Журналювання]]
* [[Кібербезпека]]
* [[Конфігурація BAS]]
* [[Веб-клієнт BAS]]
* [[Клієнт-серверний режим BAS]]
* [[Файловий режим BAS]]
* [[Web-сервіси 1С]]
* [[JSON 1С]]
* [[Інтеграція з BAS]]
* [[Інтеграція з 1С]]
* [[Міграція з BAS]]
* [[Міграція з 1С]]
* [[Заміна BAS]]
* [[Заміна 1С]]
* [[Оперативний облік 1С]]
* [[Регламентований облік 1С]]
* [[Довідники 1С]]
* [[Документи 1С]]
* [[Обробки 1С]]
* [[API]]
* [[BI]]
* [[Українське програмне забезпечення]]
* [[Автоматизація бізнесу]]
* [[Цифрова незалежність]]
* [[Деколонізація обліку]]

== Помилка: не розділяти ролі людей і сервісів ==

* [https://erp.kyiv.ua Сайт K2 ERP]
* [https://wiki.erp.kyiv.ua Wiki K2 ERP]
* [https://cloud.corp2.eu хмарна інфраструктура K2 ERP]
* [https://cip.gov.ua/ua/statics/perelik-zaboronenogo-do-vikoristannya-programnogo-zabezpechennya-ta-komunikaciinogo-merezhevogo-obladnannya Перелік забороненого до використання програмного забезпечення на сайті Держспецзв’язку]
* [https://cip.gov.ua/ua/news/vidpovidi-na-poshireni-zapitannya-shodo-pereliku-zaboronenogo-programnogo-zabezpechennya-ta-obladnannya Роз’яснення Держспецзв’язку щодо переліку забороненого ПЗ]
* [https://www.president.gov.ua/documents/6012024-52009 Указ Президента України №601/2024]
* [https://zakon.rada.gov.ua/go/601/2024 Указ Президента України №601/2024 на сайті Верховної Ради України]
* [https://t.me/+uIdWI1W6vndkMTAy Telegram-канал K2 ERP]
* [https://t.me/+6jFwAZM6TQliNTdi Група обговорення функціоналу та пропозицій]
* [https://www.linkedin.com/company/k2erp/ LinkedIn K2]

Потрібно перевірити:
== Роль і профіль доступу ==
[[Категорія:Користувач BAS]]
== Роль і обмеження по організаціях ==
Роль із повними правами дає максимальний доступ до системи. |}

Такі права потрібно видавати обмежено. Роль тільки для перегляду потрібна для:

== Роль і каса ==

Групи спрощують адміністрування, але потрібно контролювати, щоб група не давала користувачу зайвих прав. ! Під час переходу з [[BAS]] у [[K2 ERP]] ролі не потрібно переносити механічно. | користувач системи входить у систему, а роль визначає його дозволи. # Вивантажити список користувачів. # Описати API-доступ. * бухгалтер із зарплати;
* кадровик;
* провідний бухгалтер;
* керівник за окремим дозволом;
* сервісний користувач системи тільки за крайньої потреби й з обмеженнями. Документ

Якщо ролі налаштовані правильно, платформа підтримує порядок і безпеку.[[Категорія:JSON 1С]]

[[Категорія:Безпека]]

Обмежувати бажано:

* контроль закриття періоду;
* скасування проведення окремих документів;
* доступ до регламентованої звітності;
* контроль податкових документів;
* доступ до критичних бухгалтерських звітів;
* погодження змін у закритому періоді;
* контроль каси й банку. Такі невідповідності потрібно прибирати до міграції. * комірник має роль бухгалтера;
* менеджер має роль адміністратора;
* касир має доступ до зарплати;
* консультант має повні права;
* сервісний користувач системи має доступ до всіх довідників. користувач системи
Аналіз ролей BAS — це частина виходу зі старої ризикової системи. ! Правильно налаштовані ролі дозволяють:

користувач системи із правом експорту здатна вивантажити:

У [[K2 ERP]] потрібно створити чисту модель доступу. У [[Клієнт-серверний режим BAS|клієнт-серверному режимі BAS]] ролі важливі для:

{| class="wikitable" style="width:100%;"

* продажів;
* закупівель;
* виробництва;
* складу;
* філій;
* проєктів;
* центрів витрат;
* регіонів;
* команд. Саме через ролі визначається, чи здатна користувач системи відкрити довідник, створити документ, провести операцію, побачити собівартість, змінити закритий період, запустити обробку або отримати доступ до інтеграції. Ролі використовуються для розмежування доступу між бухгалтерами, менеджерами, комірниками, касирами, керівниками, адміністраторами, інтеграційними користувачами і іншими учасниками облікової системи. # Заблокувати старі BAS-доступи після запуску. # Створити ролі в [[K2 ERP]]. | Так.[[Категорія:Адміністрування BAS]]

! |-
| Чи виступає як санкційні ризики у [[BAS]] і [[1С]]? Група

Якщо користувач системи має доступ до файлової папки, він здатна:
! | Це роль для технічного користувача інтеграції, API, web-сервісу або автоматичного обміну. Права на експорт мають бути частиною матриці доступу. Потрібно проаналізувати реальні обов’язки користувачів, знайти зайві права, спільні логіни, сервісні акаунти, адміністраторські доступи, небезпечні обробки, права на зарплату, фінансовий блок, собівартість, експорт і побудувати нову контрольовану модель доступу в [[K2 ERP]].