Имеется действующий ИМ, с наработанной базой клиентов, продаж и пр. конфиденциальной и коммерческой информацией. Требуется произвести перечень доработок функционала. Как можно безопасно поручить эту работу фрилансеру не опасаясь утечки информации?
Я полагаю что можно перенести магазин на другой сервер, там удалить клиентов и заказы, поменять пароли и можно безопасно нанимать фрилансера. Только не придумал как потом эффективно сравнить два сайта на изменения и потом перенсти их. Или может есть готовое решение для таких задач, чтоб не изобретать велосипед?
В общем эмпирическим путем выяснилось что все честные технари думают что все другие технари такие же честные :-) Хорошо. Тогда как считаете подписание договора о неразглашении коммерческой тайны или найм фрилансера из другой страны уменьшит риски?
mihanickq: Да, да, я прошу вас, наймите индуса и подпишите с ним NDA, чтобы больше не задавали таких вопросов.
На местно фрилансера хотя бы в суд можно будет подать (если подписан NDA), а индусы вы только пальчиком погрозите.
Запомните: если програмист захочет, он всё равно запилит бекдор, который ни вы, ни другой "спец" не найдет за вменяемое время.
D' Normalization: Я понимаю. Придется перебороть таки свою паранойю и довериться фрилансеру, раз нет альтернативы. Хотя решения тут предлагали, но они достаточно сложны в реализации. Я же полагал что есть методы попроще. Спасибо всем.
Ну тут совет один, если не хотите париться с переносом сайта и базы туда-сюда, который, к тому же, никак не защитит вас, т.к. всегда можно залить бэкдор на ваш сервер, то договор - ваш выбор. Ищите фрилансера с ИП и заключайте договор, где подробно прописаны ответственности сторон. Выйдет чуть дороже, зато вы будете спокойны.
Фрилансеры каждый день работают с чужими сайтами с конфиденциальной информацией им эти данные не интересны. Да можете измудриться и вынести всё это отдельно но только жизнь осложните себе и фрилансеру и в конце всё равно дадите ему доступ к основному серваку что бы правки внедрить всё же.
mihanickq: расскажете потом как всё прошло )) им деньги надо зарабатывать, у них нет времени искать покупателей что бы сливать 100 баз всем конкурентам ))) А жена не сольёт базу конкурентам, а ребёнок у вас не подрастёт и не сольёт базу конкурентам, а сосед не подслушает телефонный разговор и не сольёт его конкурентам? ))
Тот факт что все фрилансеры в мире - ангелоподобны не отменяет норм информационной безопасности и сохранности личных данных. В организациях, серьезно относящихся к этим вопросам, не то что фрилансера - собственного сотрудника не пустят в боевую БД без допуска. Разумеется для интернет-магазина с оборотом 5000 рублей в месяц это не относится.
Никому не нужны ваши данные. Перестаньте думать, что все вокруг хотят вас обмануть.
Если бы фрислансеры крали\сливали инфу, то никто бы с ними не работал.
>Я полагаю что можно перенести магазин на другой сервер, там удалить клиентов и заказы, поменять пароли и можно безопасно нанимать фрилансера.
Только потом вы будете сами всё переносить и делать все необходимые настройки. И если что-то не будет работать - я пошлю вас далеко, так как работу я сделал.
Из моего предыдущего ответа на схожий вопрос:
Вы у врача тоже просите его осмотреть вас в одежде, не вынимания рук из карманов и на расстоянии 20км?
mihanickq: какое техническое решение? Если мне не дают доступ к серверу - я не буду делать работу, либо сделаю, но дальнейшая отвественность на вас.
Никому ваши данные не нужны. Как написали выше "Фрилансеры каждый день работают с чужими сайтами с конфиденциальной информацией им эти данные не интересны".
Конечно разработка будет не на боевом сервере, но заливать и настраивать то это нужно. А если мне захочется, то я и бекдор туда запилить могу и солью вашу БД, и вы всё равно его не найдете.
По крайней мере у меня, есть понятие конфиденциальной информации, которую я не разглашаю. Данные заказчиков, исходники, данные из БД - это всё не подлежит разглашению.
Да, я могу хранить эти данные у себя, на случай если мне понадобится дальнейшая работа с вами, чтобы я знал что там вообще происходит и что я делал, но использовать эти данные в личных целях? - бред.
Можно чуть проще. Создать тестовую/девелоперскую базу данных. Магазин останется тем же, а данные будут другими. Или вы хотите правки прямо на боевом серваке?
Конечно нет, магазин должен работать непрерывно. Я предположил что это будет тестовый сервак с тестовой базой, но есть проблема сравнения правок тестового с боевым. Как это сделать? Или я вас недопонял...
mihanickq: Нет, вполне правильно. Проблема слияний разумеется будет. Могу вам предложить следующее. Выложить код на некий SourceControl (GitHub,BitBucket) , создать бранч для фрилансера. Дать ему доступ туда писать, потестить бранч и убедиться что все работает как надо, а потом заняться слиянием с основной веткой. Там и повылазят все различия. Изменения в БД конечно - отдельная песня и тут вам четких советов никто не даст. Можно поддерживать версионность структуры, но как правило в базе есть словари, а вот их версионность без шаманства не проконтролировать.
Вот тут сейчас хохотнул. А я вот с базами данных ЦБ работал недолго. Только вот к сколь нибудь серьезным данным на пушечный выстрел не подпустили, а допуск был только к проекту, над которым собственно и работали в статусе подрядчика. Поведайте - куда вас пустили в МВД со статусом фрилансера?
Дмитрий Ковальский: Некогда работал в одной оргазиции, занимались обслуживанием локалок многих гос. учереждений. Мне достался местный МВД, так как организации уже нет а у меня остались хорошие отношения, приглашают то шлюз починать то местячковая БД захворает. (хотя после известных событий, уже не приглашают, ждут спецов каких-то всяких, запретили им самим лазить).
Следаки ноуты тягают на ремонт мне, а там на "Диске Д" если захотеть можно много чего найти ;)
Мне запомнилось, как когда-то пришел в СБУ комп захворавший забрать, так там целая эпопея была - изымание винта, оборачивание его в пакет и пломб 100500, потом его в ящик стола себе положили а комп отдали. :)
Алексей POS_troi: Ну вот видите) МВД превратилось в местное отделение. Фриланс в подрядную организацию. А официального доступа к информации не было в принципе. Только соц.инженерия. Дебилов везде хватает.
Я бы решал подобную проблему поиском проверенного ит-спеца для выноса конфигов от базы данных вне приложения, создания тестовой базы и выноса всего проекта в гит/меркуриал для работы. Потом все делегируется стороннему разработчику. После работы - обратный процесс деплоя на боевой сервер.
Но имхо - это лишнее. Базу выгоднее/легче продать кому-то, кто работает с ней и в курсе кому из конкурентов эта база будет интересна. Левому фрилансеру фиолетово что у вас там хранится.
Еще NDA можно подписать для собственного успокоения.
Вы можете создать два тестовых окружения. На первом будет тестовая БД, и там будет работать фрилансер. На втором окружении будет копия боевой БД, там Вы сами проводите тест, что всё работает, и не пускаете фрилансера. После этого выкатываете на боевую локацию.
NDA, я думаю, не стоит. Если что-то всплывёт - разбираться и наказывать будете дольше, чем потеряете клиентов.
Есть стандартные правила работы в данном случае.
Весь код должен быть в системе контроля версий git и наверно хоститься на github
Вы можете увидеть все изменения которые внесет программист и быть уверенным что никаких закладок там нет
На тестовом сервере должны отсутствовать конфиденциальные данные.
Наличие ИП и договора вас никак не защищает от кражи доступных данных, думаю это такой момент типо успокоить себя, как подуть на ранку и типо меньше болит.
Составьте договор с ИП или как с физлицом, припишите в нем все ограничения, в случае нарушения - в суд. Но все зависит от стоимости информации, если она превысит судебные издержки, вопрос лишь в желании сохранить репутацию. Но любая компания в этом плане несет такую же опасность.
Простой
