Image Added

Aqui você encontra informações para não perder nenhuma ação ou facilidade disponibilizada pelo Suporte da TOTVS!

Premissas Linha Consinco

• A adoção e implementação

• de uma política de acesso as aplicações e ao banco de dados do ERP, seja a descrita neste documento ou outra semelhante, é de responsabilidade do cliente e deve ser realizada

• preferencialmente em conjunto com o responsável pela administração do banco de dados (DBA).

• As medidas descritas neste documento, quando adotadas, visam aumentar o nível de segurança de acesso as informações pela aplicação e eventuais acessos a base de dados do ERP, evitando acessos indevidos ou alterações que não possibilitem a identificação clara do responsável.
• Medidas de segurança razoáveis devem ser adotadas pelo cliente para restringir e assegurar que o acesso ao banco de dados do ERP ocorrerá somente por pessoas autorizadas e de forma consensual.
• Recomendamos fortemente a adoção de regras de firewall

• na infraestrutura do cliente que

• restrinja o acesso a servidores de aplicação e

• banco de dados somente

• a IPs conhecidos, como os utilizados pela

• TOTVS (

• primário e contingência), evitando desta forma

• acessos de

• origens desconhecidas.

• Recomendamos que o usuário de sistema “CONSINCO” utilizado para logon no ERP (conta default com nível de administrador) seja desativado, alterando o seu status para “Bloqueado” no módulo Segurança. Com a desativação deste usuário, todo acesso ao ERP deverá ser nominal (nome e sobrenome) e as alterações, se

• ocorrerem, ficarão vinculadas a pessoa em questão. A orientação é que usuários

• criados para TOTVERS recebam no campo CODUSUARIO o prefixo C5 (ex: C5JOAOSILVA).

• Recomendamos o uso periódico da ferramenta da Oracle DBSAT (Oracle Database Security Assessment Tool) ou outra semelhante pelo cliente ou DBA responsável para detectar vulnerabilidades e riscos de segurança de acesso ao banco de dados.

• Recomendamos fortemente a ativação da auditoria nativa do banco de dados Oracle, afim de assegurar rastreabilidade em acessos e alterações realizadas no

• banco de dados. É aconselhável avaliação criteriosa em relação ao nível de detalhe escolhido, principalmente para

• os owners utilizados pelos produtos (CONSINCO, INTEGRACAO, CONSINCOMONITOR, CONSINCODW, NDD_REINF), em decorrência de possível degradação de performance e

• elevação exponencial no consumo de espaço do banco de dados.

• Recomendamos o uso de senhas fortes e a troca periódica das senhas de acesso aos ambientes, especialmente quando compartilhadas.

• Recomendamos que seja habilitado a expiração

• automática das senhas de acesso aos ambientes, exceto usuários utilizados por

• serviços e aplicações.
• Recomendamos fortemente que terceiros ou prestadores de serviço não tenham acesso as credenciais de acesso ao banco de dados utilizadas pelos produtos da TOTVS.
• Recomendamos fortemente que as senhas de acesso aos ambientes de produção sejam diferentes das senhas de acesso aos ambientes de homologação, incluindo as senhas dos usuários de banco de dados.
• Recomendamos a adoção de acesso remoto assistido para atendimentos de suporte, por meio de ferramenta disponibilizada pela TOTVS.
• Recomendamos fortemente a adoção e uso de ambientes de homologação.
• A TOTVS

• reserva-se no direito de atualizar, modificar, incluir ou excluir informações deste documento a qualquer momento, sem aviso prévio, decorrente da evolução de seus produtos e tecnologias utilizadas.

Introdução

Esta política visa

colaborar com medidas razoáveis que devem ser adotadas pelo cliente para que todo acesso as aplicações e a base de dados pelo atendimento de suporte, serviços e fábrica da

TOTVS seja consensual, controlado e registrado, impedindo intervenções sem o prévio conhecimento de nossos clientes. O acesso para consulta dos registros e dos objetos do banco de dados ocorrerá por meio de usuário com acesso restrito e de somente leitura,

ficando a critério do cliente

mantê-lo liberado

permanentemente afim de agilizar atendimentos de suporte.

Para situações que envolvam qualquer tipo de manutenção em registros ou a modificação de objetos de banco de dados do ERP na base de dados de produção, será necessário uma autorização prévia formal do cliente.

Esta autorização deverá ser solicitada e aprovada ou rejeitada por meio de trâmites no chamado referente

ao atendimento de suporte em questão. Se aprovado,

o suporte utilizará um usuário

fornecido pelo cliente com

os privilégios necessários para a realização deste trabalho. A critério do cliente, pode-se optar em gerar uma nova senha para este usuário a cada atendimento ou manter uma senha permanente e bloquear a conta do usuário após o atendimento ser concluído.

A política em questão contempla os seguintes usuários de banco de dados:

C5SUPORTE

(ou similar): Usuário com permissão de somente leitura dos registros e objetos da base de dados do ERP

, sendo a gestão de responsabilidade do cliente. A critério do cliente, este usuário pode permanecer liberado com a finalidade de agilizar o atendimento de suporte

.

C5ANALISTA

(ou similar): Usuário com permissão para alterações em registros e objetos da base de dados do ERP

, sendo a gestão de responsabilidade do cliente.

Recomendamos que seja disponibilizada uma nova senha a cada liberação de acesso ou o bloqueio e desbloqueio da conta caso opte-se em trabalhar com a mesma senha. O controle da senha ou a liberação da conta fica sob responsabilidade do cliente. Pode-se também optar por usuários nominais em substituição a criação de usuário único chamado C5ANALISTA.

CONSINCO:

 Usuário pré-existente com os privilégios necessários para o funcionamento do ERP, conforme pré-requisitos do produto. Com a implementação desta política ou politica similar, o uso deste usuário passa a ser restrito as aplicações do ERP

e não deve ser utilizado para acessos diretos ao banco de dados. O conhecimento da senha deste usuário

e a sua gestão deve ser única e exclusivamente de responsabilidade do cliente.

Recomendamos que o recurso de auditoria nativo existente no banco de dados seja habilitado em níveis completos para as contas C5SUPORTE

, C5ANALISTA (similares) e/ou usuários nominais pelo DBA responsável.

Requisitos de Implantação

Abaixo estão os pré-requisitos e concessões que cada usuário de banco de dados precisa ter para o funcionamento desta política.

• Criação dos

• usuários C5SUPORTE e C5ANALISTA
• Criação das

• roles CONSINCO_SELECT

•  e CONSINCO_MODIFY
• Conceder o privilégio CONSINCO_SELECT

•  para os usuários C5SUPORTE e C5ANALISTA
• Conceder o

• privilégio CONSINCO_MODIFY

•  para o usuário

• C5ANALISTA 
• Conceder o

• privilégio Connect e Resource para os usuários C5SUPORTE e C5ANALISTA
• Conceder o

• privilégio Alter System

•  para o usuário C5ANALISTA

• ou nominais. ¹

• Conceder o

• privilégio Alter Any

• Procedure para o usuário

• C5ANALISTA ³

• Conceder o

• privilégio Alter Any Trigger para o usuário

• C5ANALISTA ³
• Conceder o privilégio Alter Any Sequence para o usuário C5ANALISTA ³
• Conceder o privilégio Alter Any Index para o usuário C5ANALISTA ³
• Conceder o privilégio Alter Any Type para o usuário C5ANALISTA ³
• Conceder o privilégio Alter Any Table para o usuário C5ANALISTA ³
• Conceder o privilégio 

• Create Any Index para o usuário

• C5ANALISTA ³

• Conceder o

• privilégio Create Any Procedure para o usuário C5ANALISTA

• ³

• Conceder o

• privilégio Create Any Sequence para o usuário

• C5ANALISTA ³

• Conceder o

• privilégio Create Any Synonym para o usuário

• C5ANALISTA ³

• Conceder o

• privilégio Create Any Table para o usuário

• C5ANALISTA ³

• Conceder o

• privilégio Create Any Trigger para o usuário

• C5ANALISTA ³

• Conceder o

• privilégio Create Any Type para o usuário

• C5ANALISTA ³

• Conceder o

• privilégio Create Any View para o usuário

• C5ANALISTA ³

• Conceder o

• privilégio Create Any

• Job para o usuário

• C5ANALISTA ³

• Conceder o

• privilégio Drop Any Index para o usuário

• C5ANALISTA ³

• Conceder o

• privilégio Drop Any Procedure para o usuário C5ANALISTA

• ³

• Conceder o

• privilégio Drop Any Sequence para o usuário

• C5ANALISTA ³

• Conceder o

• privilégio Drop Any Synonym para o usuário

• C5ANALISTA ³

• Conceder o

• privilégio Drop Any Table para o usuário

• C5ANALISTA ³

• Conceder o

• privilégio Drop Any Trigger para o usuário

• C5ANALISTA ³

• Conceder o

• privilégio Drop Any Type para o usuário

• C5ANALISTA ³

• Conceder o

• privilégio Drop Any View para o usuário

• C5ANALISTA ³
• Conceder o privilégio Debug Any Procedure para os usuários C5SUPORTE e C5ANALISTA
• Conceder o

• privilégio Debug Connect Session para os usuários C5SUPORTE e C5ANALISTA
• Conceder o

• privilégio Select Any Dictionary

•  ou Select_Catalog_Role para os usuários C5SUPORTE e C5ANALISTA
• Conceder o

• privilégio Unlimited tablespace

•  para os usuários C5SUPORTE e C5ANALISTA
• Conceder o privilégio

• de Select na view DBA_USERS

•  para o usuário CONSINCO

• ²

• Conceder o

• privilégio Alter User

•  para o usuário CONSINCO

• ²

• Criação da scheduler ou job para execução da

• procedure spC5_AtualizaGrant

¹ – Opcional, porém, é desejável o privilégio para possibilitar o encerramento das sessões em casos específicos de suporte que exigem tal procedimento para intervenção.
² – Ou para outro usuário que venha a ser utilizado na ferramenta de troca de senha, conforme descrito no capítulo “Administração das Contas”.
³ – A concessão desses privilégios permite ao Suporte e ao Desenvolvimento a atuação em determinados casos,

como debug

 de processos e ajustes em objetos do sistema.

Atualização dos Privilégios

Para que os usuários C5SUPORTE e C5ANALISTA (ou similares) e/ou nominais possam consultar os registros e os objetos do banco de dados do ERP, é necessário a criação de uma scheduler (job) no usuário CONSINCO para atualização periódica dos privilégios de acesso (grants). O agendamento deve invocar a sintaxe abaixo, preferencialmente com intervalo de 1

hora.

Begin
  spC5_AtualizaGrant();
End;

Administração das Contas

A

TOTVS Varejo Supermercados disponibiliza uma ferramenta própria para

auxiliar na administração da troca das senhas ou o bloqueio e desbloqueio dos usuários de suporte.

A ferramenta é destinada exclusivamente para administração das contas de suporte C5SUPORTE e C5ANALISTA (ou similares).

Além da troca de senha e do bloqueio e desbloqueio das contas dos usuários de suporte, a ferramenta permite ainda a geração de senhas aleatórias com tamanho de senha personalizável para facilitar a administração.

Faça

o download

 da ferramenta na Central de Downloads e salve-a em uma estação de trabalho que contenha

o Consinco Client

 instalado.

Image Added

Limitações

As versões mais antigas da ferramenta PL/SQL Developer não possuem os tratamentos para possibilitar que usuários com privilégios de visualizar objetos de outros usuários, tenham a mesma experiência de uso quando logado com o usuário dono do objeto. Assim, recomenda-se a utilização de versões mais atuais da ferramenta PL/SQL Developer para possibilitar uma melhor experiência de uso e assim ampliar a agilidade na utilização da ferramenta.

Para correta visualização dos objetos do usuário CONSINCO na ferramenta PL/SQL Developer quando logado com um dos usuários descritos neste documento, é necessário escolher a opção “<CURRENT SCHEMA>” ou “CONSINCO” na barra lateral de navegação chamada de “Object Browser”. A visualização de jobs e schedules pode depender da ativação do parâmetro “Use DBA views if avaliable” em Preferences > Options.

Informações sobre como obter a versão mais atual da ferramenta PL/SQL Developer e sua licença de uso podem ser obtidas

em https://www.allroundautomations.com.