In deze handleiding behandelen we de toegang tot Apployed. Om de toegang te beveiligen kun je verschillende onderdelen van het systeem instellen. Daaronder vallen ook het wachtwoordbeleid en de tweefactor-authenticatie via e-mail en beveiligingscode.
1. Alle beveiligingsinstellingen beheren binnen en vanuit Apployed
Alleen vanuit Apployed is het mogelijk de toegang tot het systeem te regelen. In deze handleiding behandelen we de Beveiligingseisen bij het inloggen. Voor meer informatie over de bevoegdheden van gebruikers in het systeem is er de FAQ Profielen-Rollen.
a. Gebruikersaccount
Gebruikersaccounts moeten aangemaakt worden vanuit het systeem. Wanneer een account wordt aangemaakt, maak je een gebruikersnaam (vaak een e-mailadres) en een wachtwoord aan. Met die gegevens kan de persoon van wie het account is inloggen in Apployed.
Via Configuratie > selecteer [bedrijfsnaam] > Gebruikers kun je controleren welke gebruikersnamen bij welke medewerkers horen. Hier kun je eventueel ook een nieuw wachtwoord genereren en naar een gebruiker versturen.
Let op! Apployed gebruikt voor het versturen van beveiligingsmails het e-mailadres dat is ingevuld in Zakelijk e-mailadres op het tabblad Stamgegevens, onder het scherm Personalia.
b. Authenticatie bij inloggen
Bij het inloggen in Apployed wordt gecontroleerd of de persoon die inlogt bij het account hoort waarmee deze persoon inlogt. Dit wordt standaard geverifieerd door middel van een wachtwoord, dat enkel bekend is bij de persoon van wie het account is. Een dergelijk proces wordt authenticatie genoemd.
Het combineren van verschillende van deze methoden bij één inlogpoging wordt meervoudige authenticatie genoemd. Sinds de invoering van de AVG is het kunnen combineren van twee methoden een systeem eis voor Apployed. Het combineren van twee authenticatiemethoden is bekend als twee-factor-authenticatie.
c. Toegangsinstellingen beheren
De toegangsinstellingen worden beheerd door een Hoofdgebruiker. Deze stelt het beveiligingsniveau en het wachtwoordbeleid in via Configuratie > Bedrijfsinstellingen > Wachtwoordbeleid.
Het basisniveau van de beveiliging stel je in met het veld ‘Niveau’. Apployed bevat drie beveiligingsniveaus, met elk eigen kenmerken. Het hoogste niveau bevat een twee-factorauthenticatie. Daarmee wordt een extra authenticatie via e-mail en beveiligingscode toegevoegd aan de authenticatie, middels een gebruikersnaam en wachtwoord. Binnen elk niveau kun je de sterkte van het wachtwoord zelf instellen.
De beveiligingsniveaus:
- Laag – Met dit niveau heb je de bevoegdheid om zelf de sterkte van het wachtwoord te bepalen en wordt een gebruiker na drie foutieve inlogpogingen voor vijftien minuten geblokkeerd.
- Midden – Dezelfde kenmerken als niveau ‘Laag’ en zorgt er daarnaast voor dat elke gebruiker om 90 dagen een nieuw wachtwoord moet instellen. Deze mag niet hetzelfde zijn als de laatste vijf wachtwoorden.
- Hoog – Dezelfde kenmerken als niveau ‘Midden’ en een 2-Factor Authenticatie.
Je kunt daarnaast vanuit Wachtwoordbeleid in een keer voor alle gebruikers bepalen hoe lang een wachtwoord minimaal moet zijn en welke karakters deze moet bevatten.
2. Twee-factor-authenticatie (2FA) gebruiken
Heb je voor beveiligingsniveau Hoog gekozen? Dan maak je gebruik van de twee-factorauthenticatie. Apployed verifieert elke gebruiker die inlogt nu een tweede maal. Naast de gebruikersnaam en het wachtwoord, gebruikt Apployed daarvoor aanvullend een e-mailbericht met een beveiligingscode.
Zo werkt de twee-factor-authenticatie bij het inloggen in Apployed.
Tijdens het inloggen herkent Apployed de gebruikersnaam. Wanneer de gebruikersnaam en het wachtwoord correct zijn ingevoerd, stuurt het systeem automatisch een e-mail naar het zakelijke e-mailadres dat ingevuld is in het account dat bij de gebruikersnaam hoort. In die e-mail staat een beveiligingscode, die bij het inloggen ingevoerd dient te worden. Na het correct invoeren van die code is de gebruiker ingelogd.
a. E-mailinstellingen
Om de twee-factor-authenticatie te gebruiken, heeft Apployed van iedere gebruiker een e-mailadres nodig. Dit e-mailadres moet ingevuld worden in het veld Zakelijk e-mailadres. Het veld vind je op tabblad Stamgegevens, onder het scherm Personalia.
Let op! Wanneer de Twee-factor-authenticatie wordt gebruikt, dient er te allen tijde een geldig en voor de gebruiker toegankelijk e-mailadres te zijn ingevuld in het veld Zakelijk e-mailadres.
b. E-mailinstellingen bij uitdiensttreding
Wanneer een medewerker uit dienst gaat, heeft deze nog steeds recht op inzage in de personeelsgegevens die jij van deze oud-medewerker bewaart. Wanneer er loonstroken of jaaroverzichten worden aangeboden via Apployed, moet de medewerker deze kunnen opvragen en downloaden.
Gebruiken jullie de twee-factor-authenticatie en zakelijke e-mailadressen voor het ontvangen van de beveiligingsmail? Dan is het, bij uitdiensttreding, nodig het adres dat voor de uit dienst tredende medewerker is ingevuld in het veld Zakelijk e-mailadres te wijzigingen in een persoonlijk e-mailadres. Zo houdt de medewerker toegang tot de persoonlijke informatie, waaronder de loonstroken en jaaropgaven.
c. Onthouden van device en browser of app
Moet iedereen, bij iedere inlogpoging, een beveiligingscode invoeren?
Nee, Apployed onthoudt 90 dagen lang waarmee een gebruiker is ingelogd. Wanneer een gebruiker binnen die 90 dagen met dezelfde combinatie van apparaat en browser of app inlogt, hoeft er geen beveiligingscode ingevoerd te worden.
Wanneer je inlogt met een ‘nieuw’ apparaat of een andere browser/app, zal Apployed vragen om een beveiligingscode. Ook wanneer je al via een ander apparaat bent ingelogd. De nieuwe combinatie van apparaat en browser/app wordt door Apployed vervolgens 90 dagen lang onthouden. Bij een nieuwe inlogpoging met dezelfde combinatie (apparaat + browser/app) zal Apployed herkennen dat er eerder een succesvolle inlogpoging is geweest. Het systeem vraagt dan niet om een beveiligingscode. De e-mail met deze code zal in dat geval ook niet verstuurd worden.
d. Over andere instellingen en de werking van de twee-factor-authenticatie in Apployed
De twee-factor-authenticatie zet je aan door het beveiligingsniveau op Hoog te zetten. Wanneer de 2FA actief is, zal Apployed de gebruikers en de apparaten waarmee ze inloggen onthouden. Zodra je het beveiligingsniveau verlaagt (Midden of Laag), wordt de 2FA gedeactiveerd. Apployed vergeet nu de combinaties van gebruiker en apparaten, waarmee eerder is ingelogd. Wanneer je de 2FA opnieuw activeert, zal iedereen, bij de eerste inlogpoging daarna, weer een beveiligingscode moeten invoeren.