Auditarea firmei care a câștigat proiectul

Politica de securitate

Descrierea organizării structurale și procesuale a firmei/

organizaţiei/departamentului/etc. pentru care se definește politica de securitate

Aplicația colaborativă poate conține o varietate de date personale sensibile și

informații de identificare personală. Aceste informații sunt protejate de cadre de
reglementare din diferite jurisdicții. Ca atare, instrumentele de protecție a
confidențialității și de control al politicilor sunt o caracteristică critică a platformei de
învățare virtuală.
Firma care a câștigat proiectul este responsabilă pentru configurarea site-ului
pentru a implementa politici în conformitate cu legile locale și este, de asemenea,
responsabilă pentru a răspunde solicitărilor de date în curs și a altor evenimente care
sunt acoperite de legile privind confidențialitatea datelor.
GDPR reprezintă Regulamentul general privind protecția datelor și se referă la
regulamentul Uniunii Europene pentru protecția datelor pentru toate persoanele din
Uniunea Europeană.    Regulamentul a devenit aplicabil la 25 mai 2018 și înlocuiește
directiva privind protecția datelor 3 din 1995. Structura informațiilor pe categoriile de risc
este cea utilizată de regulament („Risc scăzut”, „Risc” și „Risc ridicat”) fiind de
asemenea foarte importante evaluarile de risc pentru fiecare element din aplicația
colaborativă, în funcție de nivelul asociat de risc.
Aplicația colaborativă folosește roluri pentru a seta permisiuni în cadrul sistemului
de învățare virtuală și în cadrul fiecărui curs. De asemenea platforma permite
posibilitatea de setare a rolurilor pentru resurse sau activități individuale.
Utilizatorii pot fi înscriși la un curs cu o varietate de roluri. Iată definițiile ale
fiecărui rol disponibil:
 Profesor - are control deplin asupra unui curs. Poate adăuga și edita conținut,
precum și notele lucrărilor elevilor. Profesorii sunt listați ca instructori pentru curs.
 Asistent didactic (AD) - poate face tot ceea ce poate un profesor, cu excepția
de-înrolării profesorului. AD-urile nu sunt listate ca instructori ai unui curs.
 Administrator de cursuri - poate gestiona conținutul cursului, dar nu poate
accesa carnetul de note sau lucrările elevilor
  Student înregistrat - un student care este înregistrat oficial la curs prin Oficiul
Registratorului. Acest rol poate fi atribuit sau eliminat numai prin procesul automat
de sincronizare din cadrul aplicației colaborative.Profesorii nu pot atribui sau
elimina acest rol.
 Student - la fel ca „Student înregistrat”, dar acest rol poate fi atribuit sau eliminat
manual de către profesori.
 Auditor - aceleași permisiuni ca și studentul, dar nu apare în carnet. Aceasta
poate fi utilizată pentru studenții care doresc să participe în cadrul unui curs care
nu este prezent în contractul de studii sau pentru asistenții studenților care
trebuie să acceseze materialele cursului, dar nu trebuie să editeze materialele
cursului sau să vadă carnetul de note.

Roluri care nu sunt disponibile pentru atribuirea profesorilor, dar care există pe
sistemul de învățare virtuală:
 Administrator de site - rolul de administrator al aplicației colaborative. Deținut
de obicei de personal IT.
 Manager - un rol la nivelul întregului site care poate gestiona cursuri individuale,
dar nu poate modifica sistemul în sine. Deținut de biroul de asistență, bibliotecă
sau alt personal de asistență.
 Creator de cursuri - un rol la nivel de site care poate crea cursuri individuale.
Este posibil ca un utilizator să poată avea mai multe roluri într-un singur curs.
Aplicația colaborativă are un sistem complex pentru a determina ce permisiuni au
utilizatorii atunci când li se atribuie mai multe roluri, dar în general permisiunile sunt
aditive. Cel mai frecvent caz poate fi acela că un student este înscris manual la un curs
și apoi este înscris prin Registrator. Studentul va ajunge atât cu rolul „Student
înregistrat”, cât și cu rolul „Student”. Deoarece aceste roluri au aceleași permisiuni, totul
va funcționa bine.

O resursă este un element pe care un profesor îl poate folosi pentru a sprijini

învățarea, cum ar fi un fișier sau un link. Aplicația colaborativă acceptă o serie de tipuri
de resurse pe care profesorii le pot adăuga la cursurile lor. În modul de editare, un
profesor poate adăuga resurse prin linkul/funcționalitatea „Adăugați o activitate sau o
resursă”. Resursele sunt reprezentate prin intermediul unei pictograme care reprezintă
tipul de resursă.
Administratorii pot decide dacă vor solicita sau nu profesorilor să adauge
descrieri pentru fiecare resursă activând sau dezactivând o setare la nivel de site.
Printre resursele principale se numără:
 Lecție - Resurse pe mai multe pagini cu un format asemănător cărții.
  Fișier - O imagine, un document pdf, o foaie de calcul, un fișier de sunet,
un fișier video.
 Folder - Pentru a ajuta la organizarea fișierelor și un dosar poate conține
alte foldere.
 Etichetă - Pot fi câteva cuvinte afișate sau o imagine utilizată pentru a
separa resursele și activitățile dintr-o secțiune subiect, sau poate fi o
descriere lungă sau instrucțiuni.
 Pagina - Elevul vede un singur ecran derulabil pe care un profesor îl
creează cu ajutorului unui editor HTML.
 URL - Permite trimiterea elevul să vizualizeze/descarce o resursă pe care
o poate accesa în browserul său web.

Setarea unui rol se referă la limitarea capacității unui utilizator de a atribui sau de
a obține permisiuni.
Rolurile adaugă o mare libertate atunci când sunt atribuite capacități studenților.
Problema ar putea apărea atunci când studenților li se atribuie permisiunea care permite
adăugarea de conținut care nu este curățat înainte de afișare - cum ar fi editarea
resurselor, adăugarea de activități etc. Aceștia ar putea folosi apoi orice tip de atac
XSS(Cross-Site Scripting) pentru a obține acces administrativ complet destul de ușor.
Entitățile autorizate să acorde accesul la resurse sunt administratorii și cadrele
didactice care vor fi instruite cu privire la riscurile asociate fiecărei capacități. Asignarea
corectă a rolurilor asigura folosirea corespunzătoare a resurelor din aplicația
colaborativă. Privilegiile de adminsitrator de sistem sunt atribuite doar persoanelor
desemnate și instruite în sesiunile de training ,desemnata de universitate , care va
cuprinde persoane responsabilecu managementul resurselor în cadrul fiecărei facultăți.

Un utilizator cu rol de administrator de sistem este de obicei responsabil de

Aplicația colaborativă odată ce acesta a fost instalată.
Drepturi și responsabilități cu privire la Utilizatori și Cursuri:
 Autentificare – poate accesa diferite metode de a adăuga noi utilizatori.
 Gestionarea conturilor – Diferite tool-uri care ii permit căutarea, editarea,
stergerea sau efectuarea unor acțiuni în bloc asupra utilizatorilor
 Roluri și permisiuni – are capabilități ce ii permit adaugarea sau eliminarea 
permisiunilor de la studenți, profesori și alți utilizatori din aplicatie.
 Înscrieri – poate accesa diferite metode de adăugare a utilizatorilor la
cursuri

Drepturi și responsabilități cu privire la Servere și Securitate:

 Instrumente de administrare – poate utiliza o listă de instrumente utile,
cum ar fi căutarea și înlocuirea bazei de date și transferul bazei de date
 Backup – poate efectua backup site-ului și cursurilor
  Performanță - modalități de a verifica eficiența și buna funcționare a
Aplicației Colaborative
 Securitate – instrumentele necesare pentru a menține platforma în
siguranță
 Servicii web - cum să conectați alte sisteme și aplicații care comunică
folosind servicii web, inclusiv Aplicația Colaborativă pentru dispozitive
mobile precum și alte platforme ce aparțin Universității.

Drepturi și responsabilități cu privire la Setări de la nivel de website:

 Limbă - cum să adăugați limbi noi și să modificați termenii impliciți utilizați
(FILS, precum și pentru accesarea platformei de către studenți erasmus)
 Locație - cum să setați fusurile orare pentru site și utilizatori, precum și
orașul și țara implicite.
 Logare – Gestionarea log-urilor
 Setări server - înregistrare, întreținere și setări implicite
 Rapoarte la nivel de site – poate genera o listă de rapoarte utile pentru
administratori
 Aspectul site-ului – accesarea diferitor modalități de a schimba afișarea și
navigarea site-ului.

Scopul principal al alcestui document este investigarea mecanismelor de

securitate pentru sistemele de e-learning, menținând în același timp acceptarea
utilizatorilor. Cu accent pe utilizatorii sistemului, acest lucru poate fi gestionat printr-o
educație adecvată în materie de securitate și prin implicarea utilizatorilor.
În primul rând, educația de securitate pentru utilizatori este de dorit pentru a
stimula conștientizarea mecanismelor de securitate implementate și a obiectivelor
respective.
Utilizatorii sistemului pot face ceea ce trebuie și pot acționa corect numai dacă
sunt informați în mod adecvat despre ceea ce este corect. Deși educația în materie de
securitate introduce cerințe și cerințe suplimentare pentru personal suplimentar și
materiale de curs adecvate, lipsa educației poate avea ca rezultat considerabil mai
multe dezavantaje. Dacă educația privind securitatea ar fi neglijată, utilizatorii ar putea fi
dispuși să ocolească măsurile de securitate cât mai mult posibil, deoarece sensul
măsurilor respective este necunoscut în același mod ca și posibilele consecințe negative
ale ocolirii mecanismelor.
În al doilea rând, implicarea utilizatorului/utilizatorilor este un aspect important al
creării unui concept adecvat și acceptabil pe scară largă. Limite pentru mecanismele de
securitate cu privire la problemele de confidențialitate și supravegherea în cadrul
sistemelor de e-learning sunt stabilite cu ajutorul capabilitatilor asociate ficarui rol. Acest
aspect este una dintre cele mai critice și specifice părți ale sistemului de învățare
virtuală. În funcție de grupul țintă, personalul didactic ar trebui să aibă posibilitatea de a
accesa informații mai mult sau mai puțin detaliate despre progresul învățării cursanților
și problemele emergente, concentrându-se în același timp asupra conținutului învățării.
 Funcționalitatea de confidențialitate a datelor oferă fluxului de lucru pentru
utilizatori pentru a trimite o cerere de date (cunoscută și sub numele de cerere de acces
subiect) și pentru ca administratorul site-ului sau responsabilul de confidențialitate să
proceseze aceste solicitări.

Este recomandată crearea unui rol special de responsabil de confidențialitate

care să fie atribuit persoanei responsabile.
Orice utilizator poate trimite un mesaj responsabilului de confidențialitate printr-un
link ușor accesibil de pe pagina sa de profil.
O parte a cateoriilor de informații ce sunt sensibile:
 Administrativ: stare civilă, identitate, date de identificare, imagini ...
 Viața personală : stilul de viață, situația familială etc.
 Informații economice și financiare : venituri, situație financiară, situație
fiscală etc.
 Date de conexiune: (adresă IP, log-uri etc.)
 Date educaționale: cursuri evaluate, scripturi de examen etc.
 Evidența gradului de educație: rezultatele examenelor, evaluărilor,
calificărilor acordate etc.
 Date despre locație: călătorii erasmus, date GPS, GSM etc.
În plus,Utilizatorii pot solicita o copie a tuturor datelor lor personale sau pot
solicita ca datele lor personale să fie șterse.

Reguli organizatorice (minimale)

Participanți este termenul colectiv folosit pentru toți utilizatorii care fac parte dintr-
un spațiu al aplicației colaborative.
Administratorii pot vedea următoarele informații despre fiecare participant:
 Nume
 Poza
 ID
 adresa de email
 rolul care le-a fost alocat
 grupurile / cursurile din care face parte
 data ultimei accesări
 starea de înscriere pe platforma- activ sau suspendat

Studenții pot vedea doar numele, fotografia, rolul și grupurile pentru alți
participanți. Nu pot face modificări sau pot vedea alte informații.
 Participanții pot fi înscriși manual în spații de către administratori prin intermediul
butonului de Înscriere. Cu toate acestea, majoritatea utilizatorilor vor putea fi adăugați
folosind o altă metode de înscriere:
 O metoda automata folosind informațiile de pe platforma studenti.pub.ro în
funcție de înscrierile lor la un anumit modul / anul de studiu / cursuri
opționale. Toate modulele au un spațiu în aplicația colaborativă, iar
studenții sunt adăugați automat. Spațiile nu sunt vizibile, în mod implicit,
până când nu sunt editate și live. Studenții înscriși prin această metodă nu
pot fi eliminați manual.

Aplicația colaborativă va fi făcută să funcționeze foarte bine,atât la niveluri de

utilizare reduse , cât și la scară largă având mii de utilizatori ce accesează platforma de
învățare virtuală în același interval orar.
Factorii implicați în performanță sunt practic aceiași ca pentru orice sistem bazat
pe baze de date implementat PHP. Pentru optimizarea serverului se recomanda
menținerea focusului asupra factorului care va face cea mai mare diferență pentru
utilizator. De exemplu, dacă platforma are utilizatori care navighează relativ mai mult
decât accesează baza de date (la inceput de semestru / de an universitar), se vor
îmbunătățiți în mod programatic performanțele serverului web, atunci când numarul de
utilizatori va fi suficient de mare.
Înainte de a încerca orice optimizare, se va folosi o valoare de referință a
componentei sistemului care se dorește a fi îmbunătățită. Pentru Linux, încercați
LBS(Local Base Statistics) și pentru Windows utilizați Monitorul de performanță. După
ce există date cantitative despre performanța sistemului. în prezent, se va putea stabili
dacă anumite modificareri realizate au avut vreun impact real.
Scopul general al ajustărilor pentru a îmbunătăți performanța este de a folosi
RAM (cache) și de a reduce activitatea bazată pe disc. Este deosebit de importantă
încercare eliminării cât mai mult posibil utilizarea fișierelor swap. Dacă sistemul începe
să fluctueze pentru perioade semnificative de timp, acesta este un semn că este nevoie
pentru componenta hardware a aplicației colaborative de mai multă memorie RAM.
Preferințele pentru comenzile de optimizare sunt de 3 stipuri: stocare primară
(mai multă memorie RAM), stocare secundară (hard disk-uri mai rapide / configurație
îmbunătățită a hard disk-ului), procesor (mai mult și mai rapid).
Poate fi utilă instalarea și să utilizarea pluginul Benchmark pentru a găsi blocajele
sistemului care afectează în mod specific aplicația colaborativă.

Autentificarea este procesul de a permite unui utilizator să se conecteze la

platforma de învățare virtuala folosind un nume de utilizator și o parolă.
Aplicația colaborativă va oferi o serie de modalități de gestionare a autentificării,
numite pluginuri de autentificare.
Pluginurile de autentificare standard sunt:
 Conturi manuale - conturi create manual de un administrator
  Fără autentificare - suspendați un anumit cont de utilizator
 Autoînregistrare bazată pe e-mail - pentru a permite utilizatorilor să își
creeze propriile conturi (la accesarea initială a conturilor de pe
studenti.pub.ro)
 Baza de date externă - detaliile contului se află pe o bază de date MySQL
externă
 Server LDAP - detaliile contului se află pe un server LDAP extern
 LTI - funcționează cu metoda de înscriere a instrumentului Publish as LTI
pentru a conecta cursuri și activități
 Fără autentificare - în scopuri de testare sau dacă site-ul nu este disponibil
pe internet. Nu va fi folosit pe serverele publice.

În mod implicit, nu există nicio limită la numărul de autentificări simultane ale

browserului. (Dacă un utilizator este îngrijorat de acest lucru, își poate vizualiza pagina
de sesiuni de browser.)
Protecția împotriva spamului poate fi adăugată la noul formular de cont de auto-
înregistrare bazat pe e-mail cu un element CAPTCHA - un test de răspuns provocare
utilizat pentru a determina dacă utilizatorul este uman.

O politică a platformei de învățare virtuală poate fi utilizată pentru a colecta

consimțământul în scopul respectării GDPR. Documentul de politică al site-ului trebuie
revizuit cu atenție pentru a ne asigura că acoperă toate informațiile enumerate mai jos,
într-un limbaj succint și simplu.
Pagina politicii site-ului trebuie să conțină toate informațiile enumerate mai jos.
Politica site-ului va fi afișată într-un iframe ca parte a procesului de autentificare, deci nu
necesită un antet și subsoluri.
O a doua practică recomandată este crearea unei resursă de fișier pe prima
pagină a aplicației colaborative copierea sub forma unui URL a acestei resurse pentru a
o folosi ca politică de site. Aceasta înseamnă că politica site-ului este întotdeauna
disponibilă pentru accesul utilizatorilor și poate fi actualizată cu ușurință din contul de
administrator.
Politica site-ului trebuie să includă toate informațiile următoare într-un limbaj
simplu:
 Ce informații/date sunt colectate.
 Scopul tuturor prelucrărilor care trebuie efectuate asupra datelor
utilizatorilor.
 Identitatea operatorului de date și informațiile de contact
 Lista drepturilor
 Perioada în care sunt stocate datele
 Mecanismul de retragere a consimțământului
 Mecanismul pentru solicitarea corectării sau ștergerii datelor cu caracter
personal
  Mecanismul pentru solicitarea unei înregistrări a tuturor datelor cu caracter
personal
 Lista terților cu care vor fi partajate datele (Aceasta include integrări
precum LTI(Learning Tools Interoperability), portofolii, plagiat, depozite,
autentificare etc.), inclusiv:
 Dacă datele cu caracter personal vor fi utilizate pentru orice proces
automat de luare a deciziilor, inclusiv semnificația și detaliile procesului (de
exemplu, analizor, algoritmi de învățare automată).

Pentru prevenirea apariției unor eventuale programe executabile se recomandă o

serie de măsuri simple de securitate:
 Cea mai bună strategie de securitate este o copie de rezervă bună!
Existența unor proceduri temeinice de backuup care vor permite
restaurarea cu succes în cazul erorilor care ar putea apărea în cadrul
aplicației colaborative.
 Încărcarea doar a software-ului sau serviciilor care se vor utiliza
 Efectuarea de actualizări regulate
 Modelarea componentei de securitate pe mai multe straturi

Alte recomandări care au ca scop sporirea nivelului de securiate din aplicație:

 Folosirea https pentru a securiza toate paginile (nu doar pagina de
autentificare)
 Registrul global trebuie să fie dezactivat (Acest lucru va ajuta la
prevenirea posibilelor probleme XSS în scripturile terților)
 Rularea unui Raport de Prezentare generală a securității.
o Aceasta identifică diverse configurații din platforma de învățare
virtuală care pot prezenta un risc de securitate, astfel încât orice
problemă ridicată de raportul respectiv ar trebui investigată și ar
trebui luate măsuri, dacă este necesar.
 Folosirea de parole puternice pentru administratori și profesori
 Separarea sistemelor pe cât mai mult posibil
o O altă tehnică de securitate de bază este utilizarea de parole
diferite pe sisteme diferite, utilizarea de mașini diferite pentru
servicii diferite și așa mai departe. Acest lucru va împiedica
răspândirea daunelor chiar dacă un cont sau un server sunt
compromise.

Se poate configura o politică de securitate a parolelor.

Va există o casetă pentru a determina dacă complexitatea parolei trebuie sau nu
aplicată, opțiunea de a seta lungimea minimă a parolei, numărul minim de cifre, numărul
minim de caractere mici, numărul minim de caractere majuscule și numărul minim de
caractere nealfanumerice.
 Dacă un utilizator introduce o parolă care nu îndeplinește aceste cerințe, i se
transmite un mesaj de eroare care indică natura problemei cu parola introdusă.
Punerea în aplicare a complexității parolei, împreună cu obligarea utilizatorilor să-
și schimbe parola inițială, ajută la asigurarea faptului că utilizatorii aleg și folosesc de
fapt „parole bune”/„parole puternice”.

Aplicatia Colaborativă este compatibilă cu orice browser web conform

standardelor. Testarea periodic a platforma se va face cu următoarele browsere:
 Chrome
 Firefox
 Safari
 Edge
 Internet Explorer
 Mobile Browsers:
o MobileSafari
o Google Chrome
Pentru cea mai bună experiență și securitate optimă, se vor oferi recomandări
către utilizatori pentru a menține browserele la zi.

Recomandări pentru raportarea problemelor de securitate

Raportarea problemelor se poate realiza prin intermediul formularului de trimitere
a problemelor de securitate, oferind instrucțiuni pas cu pas, dacă este posibil.
Formularul este împărțit în secțiuni pentru a ajuta utilizatorii (studenți,profesori) să
furnizeze toate detaliile necesare pentru a ajuta responsabilii pentru mentenanța
aplicaiei să evalueze problema.
Formularul de trimitere este legat la programul de ticketing pus la dispozitie de
compania care a câștigat licitația, care asigură un triaj mai eficient a problemelor de
securitate primite și un proces general responsabil de dezvăluire mai ușor.

Etapele de rezolvare a problemelor de securitate:

 Problemele trimise prin intermediul formularului de trimitere sunt primite de
echipa de triaj, care efectuează triajul inițial pe raport.
 Dacă problema este confirmată validă și nu există un duplicat confirmat
anterior de către echipa responsabilă, echipa de securitate analizează
problema și evaluează impactul potențial al acesteia asupra tuturor
 versiunilor anterioare ale aplicației și asupra tuturor tipurilor de browsere
client.
 Problemele valide sunt apoi trimise la un Tracker de Securitate
(restricționat pentru vizualizarea publică).
 Echipa de securitate lucrează cu cel care a raportat problema pentru a o
rezolva, urmând procesul de dezvoltare a problemei de securitate și
păstrând în sigurață detaliile problemei și soluției sale până la lansarea
unei versiuni.
 Sunt create și testate noi versiuni.
 Între timp, se vor solicita identificatori CVE(Common Vulnerabilities and
Exposures) pentru problema de securitate.

 Pachetele noi sunt create și puse la dispoziție pentru a fi deployate.

 Recomandările sunt trimise prin email administratorilor site-urilor
înregistrate, oferind o perioadă de timp în care pot face upgrade înainte ca
problema să devină publică.
 Se face un anunț public cu privire la problema securității în forumul de știri
de securitate al aplicației colaborative.
 Problemele trimise prin intermediul formularului de trimitere sunt marcate
ca fixate odată cu intrarea în funcțiune a versiunii actualizate.

Toate tipurile de utilizatori din platforma au capabilitatea de a raporta probleme de

securitate (Studenti, Profesori, Administratori).
Crearea unui raport de securitate este concepută sub forma proces foarte simplu,
oferind informații care să clasifice mai concis problema. Exista mai multe tipuri de
rapoarte ce pot fi create:
 Rapoarte despre cursuri, cu informații despre cursuri.
 Rapoarte de categorii, cu informații despre categoriile de resurse .
 Rapoartele utilizatorilor, cu informații despre utilizatori și activitatea lor într-
un curs.
 Rapoarte cronologice, acesta este un tip special de raport care afișează o
cronologie. Un raport de curs sau de utilizator poate fi încorporat în
această cronologie, prezentând date în funcție de ora de început și de
sfârșit în care a fost raportat evenimentul/problema.