# Шифрование и защита данных # Использование СКЗИ и ГОСТ-криптографии **Зона ответственности:** Заказчик / Интегратор > **Коротко:** Printum не использует встроенные средства криптографической защиты информации на базе ГОСТ-алгоритмов. При необходимости применения сертифицированных СКЗИ они должны быть реализованы средствами инфраструктуры заказчика. ## Требование В ряде организаций существуют требования по использованию сертифицированных средств криптографической защиты информации и криптографических алгоритмов, соответствующих требованиям регуляторов. Такие требования могут распространяться на защиту сетевого взаимодействия между пользователями, серверами и компонентами системы. ## Как это реализовано в Printum В стандартной поставке Printum не использует встроенные СКЗИ и не реализует криптографические механизмы на базе алгоритмов: - ГОСТ Р 34.12-2015; - ГОСТ Р 34.10-2012; - ГОСТ Р 34.11-2012. Для защиты сетевого взаимодействия используются стандартные механизмы TLS 1.2 и TLS 1.3. В зависимости от конфигурации платформы могут использоваться стандартные криптографические алгоритмы: - AES-GCM; - ECDHE; - SHA-256. Подробная информация о защите сетевых соединений приведена в статье «Шифрование каналов связи». ## Что требуется от инфраструктуры Если в организации требуется применение сертифицированных ФСБ России средств криптографической защиты информации, такие средства должны внедряться на уровне инфраструктуры. Для защиты сетевого взаимодействия могут использоваться специализированные VPN-шлюзы и иные средства криптографической защиты, развернутые перед компонентами Printum. Выбор, внедрение и сопровождение СКЗИ выполняются заказчиком или интегратором. ## Ограничения и особенности Использование СКЗИ не входит в стандартную поставку Printum. Соответствие требованиям по применению ГОСТ-криптографии определяется используемыми средствами защиты инфраструктуры заказчика. # Управление сертификатами **Зона ответственности:** Printum + Заказчик / Интегратор > **Коротко:** Printum поддерживает использование сертификатов для защиты сетевых соединений и может работать с сертификатами, выпущенными корпоративным удостоверяющим центром. ## Требование Система должна обеспечивать возможность использования сертификатов для подтверждения подлинности узлов и защиты сетевых соединений. Использование инфраструктуры открытых ключей позволяет централизованно управлять доверием между компонентами системы. ## Как это реализовано в Printum Printum использует сертификаты при организации защищенных соединений по протоколу HTTPS. В системе могут использоваться: - самоподписанные сертификаты; - сертификаты, выпущенные корпоративным удостоверяющим центром; - сертификаты, выпущенные публичными центрами сертификации. Администратор может заменить сертификаты, используемые системой, на сертификаты, соответствующие требованиям организации. ## Что требуется от инфраструктуры При использовании корпоративной PKI выпуск, продление, отзыв и контроль сертификатов выполняются средствами удостоверяющего центра организации. ## Ограничения и особенности Жизненный цикл сертификатов определяется средствами инфраструктуры открытых ключей и не управляется средствами Printum. # Шифрование каналов связи **Зона ответственности:** Printum + Заказчик / Интегратор **Коротко:** Printum поддерживает передачу данных по защищённым каналам связи с использованием HTTPS, TLS и IPPS. Конкретный уровень защиты определяется используемыми сертификатами и настройками инфраструктуры. ## Требование Передаваемые данные должны быть защищены от перехвата, изменения и подмены в процессе передачи по сети. Использование защищённых каналов связи обеспечивает конфиденциальность и целостность данных при взаимодействии пользователей, компонентов системы и внешних сервисов. ## Как это реализовано в Printum Для защиты данных при передаче Printum поддерживает использование защищённых сетевых соединений. В зависимости от сценария эксплуатации могут использоваться: - HTTPS для взаимодействия пользователей с веб-интерфейсами системы; - TLS для взаимодействия с внешними сервисами и интеграциями; - IPPS для защищённой печати по сети. При использовании защищённых соединений обеспечиваются: - шифрование передаваемых данных; - контроль целостности данных; - проверка подлинности удалённого узла на основе сертификатов. Пользовательские интерфейсы системы работают через веб-сервер Nginx и поддерживают использование HTTPS. Поддерживается HTTP/2. Для повышения безопасности веб-сессий используются защищённые cookie-файлы и механизмы защиты веб-приложений, включая ограничения SameSite для cookie и защиту от встраивания страниц в сторонние сайты. Printum поддерживает работу за обратными прокси-серверами и балансировщиками нагрузки, передающими информацию о защищённом соединении через стандартные HTTP-заголовки. Printum поддерживает использование сертификатов, выпущенных корпоративным удостоверяющим центром, доверенным центром сертификации или созданных самостоятельно в соответствии с требованиями организации. Подробная информация о сертификатах приведена в статье «Управление сертификатами (PKI / CA)». ## Что требуется от инфраструктуры Настройка сертификатов, параметров TLS и политик сетевой безопасности выполняется администраторами инфраструктуры заказчика. При использовании корпоративной инфраструктуры открытых ключей выпуск, продление и отзыв сертификатов выполняются средствами удостоверяющего центра организации.