Crittografia end-to-end

Logo StaffCounter per la crittografia end-to-end

Oggi, StaffCounter è l unica soluzione al mondo che offre la crittografia end-to-end. Tutti i dati acquisiti dai computer dei dipendenti vengono crittografati e decrittografati esclusivamente dal proprietario dell account. Con questo aggiornamento, miriamo a essere pionieri dell innovazione nell intero settore della sorveglianza dei computer.

I dati sulla produttività dei dipendenti raccolti dai dispositivi terminali vengono crittografati prima di essere trasferiti sul cloud. A differenza della crittografia tramite protocollo Secure Sockets Layer, i dati rimangono crittografati anche dopo aver raggiunto l archivio cloud di StaffCounter. Inoltre, rimangono crittografati in tutte le istanze del database, nei contesti di esecuzione e negli algoritmi di elaborazione sui nostri server. Quando si accede al proprio account, i dati vengono consegnati al browser in forma crittografata e decrittografati in tempo reale utilizzando JavaScript e le funzioni di crittografia native del browser. Ciò garantisce la conformità al Regolamento generale sulla protezione dei dati sin dalla progettazione. Di seguito, spieghiamo come aggiornare o installare l ultimo agente StaffCounter e configurare la funzione di crittografia end-to-end.

Siamo lieti di annunciare che la funzione di crittografia end-to-end è ora disponibile come opzione sperimentale per i nuovi account utente. La crittografia end-to-end in StaffCounter è simile alla crittografia omomorfica, poiché consente calcoli su dati crittografati senza decrittazione. Nel nostro caso, i calcoli includono l ordinamento e l aggregazione. Come altre soluzioni di monitoraggio del tempo, StaffCounter registra la frequenza e la durata dell uso di applicazioni, documenti e siti web, calcola il tempo trascorso e ordina i risultati per i rapporti. Ora, con l architettura di crittografia end-to-end, i nomi dei dipendenti e i dati sulla produttività rimangono crittografati anche per lo stesso server di StaffCounter.

Per provare la crittografia end-to-end, scaricare StaffCounter Agent versione 9.2 per Windows con supporto per la crittografia end-to-end e seguire i passaggi indicati di seguito.

Secondo la nostra architettura, viene stabilito un collegamento di crittografia sicuro tra il computer del dipendente e il browser del manager, dove vengono visualizzati i rapporti. Sebbene non vi sia una connessione diretta tra il dispositivo e il browser, questi due punti terminali formano l intera catena di crittografia. Soluzioni concorrenti come Timedoctor, ActivTrak, Desktime, Workpuls e ActivityWatch crittografano anch esse i dati in transito o a riposo, ma i loro processi includono diverse fasi in cui i dati possono essere in forma semplice. In StaffCounter, i dati non sono crittografati solo in due punti: nella memoria del computer e nella memoria del browser del manager. Poiché entrambi i punti sono controllati dal proprietario dell account, questa struttura garantisce il rispetto del principio di accesso zero e rafforza la conformità al Regolamento generale sulla protezione dei dati.

Con la crittografia end-to-end, tutti i dati dei dipendenti vengono crittografati istantaneamente e decrittografati solo nel browser del manager. Una volta abilitata, i dati vengono crittografati sulla stazione di lavoro del dipendente prima di essere inviati al backend e decrittografati solo quando vi si accede nel browser. L agente StaffCounter genera e scambia chiavi di crittografia con l account del manager. Il backend non gestisce le chiavi di crittografia e non esegue la crittografia o la decrittazione — tutte le operazioni avvengono esclusivamente ai punti terminali.

Il modello di crittografia end-to-end supporta anche calcoli su dati crittografati, come l ordinamento e l aggregazione. Ciò consente a StaffCounter di registrare l attività, calcolare le durate e ordinare i dati di utilizzo mantenendo la crittografia. Di conseguenza, il server non può leggere i nomi dei dipendenti o i relativi contenuti — solo il browser può farlo.

Esempio di rapporto sul tempo con dati crittografati:
Esempio di rapporto sul tempo crittografato

Per testare la funzione di crittografia end-to-end, scaricare StaffCounter Agent versione 9.2 per Windows e seguire i passaggi di configurazione indicati di seguito.

Navigare nel pannello di controllo e nei rapporti crittografati

Noterete pochi cambiamenti nel vostro pannello di controllo e nei rapporti, nonostante tutte le informazioni siano crittografate. Ciò è reso possibile dalla decrittazione in tempo reale nel vostro browser utilizzando l interfaccia di programmazione delle applicazioni Web Crypto, disponibile nei browser moderni come Chrome, Firefox, Opera e Safari. Il nostro codice JavaScript decrittografa tutte le stringhe crittografate sulla pagina mentre viene visualizzata.

In che modo la crittografia end-to-end influisce sul monitoraggio del tempo, sulla categorizzazione della produttività e sugli avvisi?

Il monitoraggio del tempo e la reportistica funzionano come prima, ma le regole di produttività potrebbero richiedere una riassegnazione.

I dati crittografati mantengono la stessa struttura del testo in chiaro. Ad esempio, prima della crittografia, StaffCounter potrebbe utilizzare termini come „winword.exe“ o „gmail.com“ per assegnare categorie di produttività. Dopo la crittografia, vengono utilizzate stringhe tokenizzate per lo stesso scopo. Ciò funziona perché viene utilizzata una singola chiave di crittografia per ogni account, garantendo una tokenizzazione coerente su tutti i dati associati — consentendo un elaborazione accurata con una completa anonimizzazione.

Esempio applicazioni dipendenti

Se più dipendenti condividono un computer (server terminal)

Quando la cartella di lavoro di StaffCounter è condivisa tra gli utenti, i log e gli screenshot sono visibili a meno che non sia abilitata la crittografia. Una volta abilitata, questi file diventano illeggibili, impedendo l accesso ai non autorizzati.

Esempio cartella locale

Note tecniche

La funzionalità di crittografia end-to-end è open source e implementata nel file jsec.js. La crittografia utilizza l interfaccia di programmazione delle applicazioni Web Crypto e tutte le operazioni vengono eseguite nella memoria del browser. StaffCounter assiste nella memorizzazione delle chiavi e nel trasferimento dei dati crittografati.

Riepilogo della crittografia end-to-end di StaffCounter:

  • Ogni account utente e agente StaffCounter genera una coppia di chiavi RSA (2048 bit).
  • Il proprietario dell account crea una chiave principale casuale Advanced Encryption Standard a 256 bit.
  • La chiave principale è protetta dalla password dell account e memorizzata come blocco di dati crittografato.
  • La chiave principale viene crittografata con RSA e inviata ai dispositivi tramite il servizio StaffCounter.
  • L agente StaffCounter crittografa i dati sensibili con lo standard Advanced Encryption Standard a 256 bit: nomi delle applicazioni, titoli delle finestre, indirizzi internet, battute sulla tastiera, appunti, chat, documenti, screenshot, acquisizioni webcam, audio.
  • I metadati come il tipo di azione, il timestamp e la durata rimangono in forma chiara.
  • Le password non vengono mai inviate a StaffCounter in forma semplice.
  • Una volta abilitata, la crittografia non può essere disabilitata nell account o nell agente.

StaffCounter non esegue alcuna crittografia in proprio — memorizza solo chiavi pubbliche e blocchi di dati crittografati.

Differenza dalla crittografia tramite protocollo Secure Sockets Layer

A differenza della maggior parte delle soluzioni, StaffCounter applica la crittografia oltre gli standard del protocollo Secure Sockets Layer o Transport Layer Security. La decrittazione avviene solo nel browser dopo l autenticazione dell utente. Altri sistemi possono decrittografare i dati sul server; StaffCounter non decrittografa mai i dati lato server — vengono memorizzati ed elaborati in forma crittografata. Solo il proprietario dell account può accedere ai dati in testo in chiaro. Questo è un differenziatore chiave.