Criptare end-to-end

StaffCounter Logo pentru criptare end-to-end

Astăzi, StaffCounter este singura soluție din lume care oferă criptare end-to-end. Toate datele capturate de pe computerele angajaților sunt criptate și decriptate exclusiv de către proprietarul contului. Prin această actualizare, ne propunem să fim pionieri în inovare în întreaga industrie de supraveghere a computerelor.

Datele privind productivitatea angajaților colectate de pe dispozitivele puncte terminale sunt criptate înainte de a fi transferate în cloud. Spre deosebire de criptarea prin protocolul Secure Sockets Layer, datele rămân criptate chiar și după ce ajung în stocarea cloud a StaffCounter. Mai mult, acestea rămân criptate în toate instanțele de baze de date, contextele de execuție și algoritmii de procesare de pe serverele noastre. Când vă conectați la contul dumneavoastră, datele sunt livrate browserului în formă criptată și sunt decriptate în timp real folosind JavaScript și funcțiile native de criptare ale browserului. Acest lucru asigură conformitatea cu Regulamentul general privind protecția datelor prin design. Mai jos, explicăm cum să actualizați sau să instalați cel mai recent agent StaffCounter și cum să configurați funcția de criptare end-to-end.

Suntem încântați să anunțăm că funcția de criptare end-to-end este acum disponibilă ca opțiune experimentală pentru conturile de utilizatori noi. Criptarea end-to-end în StaffCounter este similară cu criptarea homomorfă, deoarece permite calcule pe date criptate fără decriptare. În cazul nostru, calculele includ sortarea și agregarea. La fel ca alte soluții de urmărire a timpului, StaffCounter înregistrează frecvența și durata utilizării aplicațiilor, documentelor și site-urilor web, calculează timpul petrecut și sortează rezultatele pentru rapoarte. Acum, cu arhitectura de criptare end-to-end, numele angajaților și datele de productivitate rămân criptate chiar și față de serverul StaffCounter în sine.

Pentru a încerca criptarea end-to-end, descărcați StaffCounter Agent versiunea 9.2 pentru Windows cu suport pentru criptare end-to-end și urmați pașii de mai jos.

Conform arhitecturii noastre, se stabilește o legătură de criptare securizată între computerul angajatului și browserul managerului, unde sunt vizualizate rapoartele. Deși nu există o conexiune directă între dispozitiv și browser, aceste două puncte terminale formează întreaga durată a lanțului de criptare. Soluțiile concurente precum Timedoctor, ActivTrak, Desktime, Workpuls și ActivityWatch criptați, de asemenea, datele în tranzit sau în repaus, dar procesele lor includ mai multe etape în care datele pot fi în formă simplă. În StaffCounter, datele sunt necriptate doar în două puncte: în memoria computerului și în memoria browserului managerului. Deoarece ambele puncte sunt controlate de proprietarul contului, această structură asigură respectarea principiului de acces zero și consolidează conformitatea cu Regulamentul general privind protecția datelor.

Cu criptarea end-to-end, toate datele angajaților sunt criptate instantaneu și decriptate numai în browserul managerului. Odată activată, datele sunt criptate pe stația de lucru a angajatului înainte de a fi trimise către backend și sunt decriptate numai atunci când sunt accesate în browser. Agentul StaffCounter generează și schimbă chei de criptare cu contul managerului. Backend-ul nu gestionează cheile de criptare și nu efectuează criptarea sau decriptarea — toate operațiunile au loc exclusiv la punctele terminale.

Modelul de criptare end-to-end acceptă, de asemenea, calcule pe date criptate, cum ar fi sortarea și agregarea. Acest lucru permite StaffCounter să înregistreze activitatea, să calculeze duratele și să sorteze datele de utilizare menținând în același timp criptarea. Ca rezultat, serverul nu poate citi numele angajaților sau conținutul aferent — numai browserul poate face acest lucru.

Exemplu de raport de timp cu date criptate:
Exemplu de raport de timp criptat

Pentru a testa funcția de criptare end-to-end, descărcați StaffCounter Agent versiunea 9.2 pentru Windows și urmați pașii de configurare de mai jos.

Navigați în panoul de control și rapoartele criptate

Veți observa puține schimbări în panoul de control și în rapoarte, în ciuda faptului că toate informațiile sunt criptate. Acest lucru este posibil prin decriptarea în timp real în browserul dumneavoastră folosind interfața de programare a aplicațiilor Web Crypto, disponibilă în browserele moderne precum Chrome, Firefox, Opera și Safari. Codul nostru JavaScript decriptează toate șirurile criptate de pe pagină pe măsură ce aceasta este afișată.

Cum afectează criptarea end-to-end urmărirea timpului, categorisirea productivității și alertele?

Urmărirea timpului și raportarea funcționează ca înainte, dar regulile de productivitate ar putea necesita realocare.

Datele criptate mențin aceeași structură ca textul clar. De exemplu, înainte de criptare, StaffCounter poate folosi „winword.exe” sau „gmail.com” pentru a atribui categorii de productivitate. După criptare, sunt utilizate șiruri de caractere tokenizate în același scop. Acest lucru funcționează deoarece o singură cheie de criptare este utilizată pentru fiecare cont, asigurând o tokenizare consecventă pentru toate datele asociate — permițând o procesare precisă cu anonimizare completă.

Exemplu aplicații angajați

Dacă mai mulți angajați împart un computer (server de terminale)

Când folderul de lucru StaffCounter este partajat între utilizatori, jurnalele și capturile de ecran sunt vizibile dacă criptarea nu este activată. Odată activată, aceste fișiere devin imposibil de citit, prevenind accesul persoanelor din interior.

Exemplu folder local

Note tehnice

Funcționalitatea de criptare end-to-end este cu sursă deschisă și implementată în fișierul jsec.js. Criptarea utilizează interfața de programare a aplicațiilor Web Crypto, iar toate operațiunile sunt executate în memoria browserului. StaffCounter asistă la stocarea cheilor și la transferul datelor criptate.

Rezumatul criptării end-to-end StaffCounter:

  • Fiecare cont de utilizator și agent StaffCounter generează o pereche de chei RSA (2048 de biți).
  • Proprietarul contului creează o cheie principală aleatorie Advanced Encryption Standard de 256 de biți.
  • Cheia principală este protejată de parola contului și stocată ca un bloc de date criptat.
  • Cheia principală este criptată RSA și trimisă dispozitivelor prin serviciul StaffCounter.
  • Agentul StaffCounter cripează datele sensibile cu Advanced Encryption Standard de 256 de biți: numele aplicațiilor, titlurile ferestrelor, adresele de internet, apăsările de taste, clipboard-ul, chaturile, documentele, capturile de ecran, capturile camerei web, sunetul.
  • Metadatele precum tipul acțiunii, marcajul temporal și durata rămân în formă clară.
  • Parolele nu sunt niciodată trimise către StaffCounter în formă simplă.
  • Odată activată, criptarea nu poate fi dezactivată în cont sau în agent.

StaffCounter nu efectuează nicio criptare în sine — stochează numai chei publice și blocuri de date criptate.

Diferența față de criptarea prin protocolul Secure Sockets Layer

Spre deosebire de majoritatea soluțiilor, StaffCounter aplică criptarea dincolo de standardele protocolului Secure Sockets Layer sau Transport Layer Security. Decriptarea are loc numai în browser după autentificarea utilizatorului. Alte sisteme pot decripta datele pe server; StaffCounter nu decriptează niciodată datele pe partea de server — acestea sunt stocate și procesate în formă criptată. Numai proprietarul contului poate accesa datele în text clar. Acesta este un diferențiator cheie.