Предлагаем вашему вниманию выдержки из стенограммы вебинара, состоявшегося 27 июня 2014 года.

Эксперт 2: Вопрос серьёзный. Я думаю, все-таки стоит раздельно устанавливать CiviCRM и неполным образом делать её открытой для внешнего доступа, скорее будет даже лучше использовать какие то сертификаты SSL и шифрование, то есть доступ закрывать, а не тем более интегрировать её с Drupal вашего сайта.

Эксперт 1: Так же стоит отметить, что если данные будут храниться на каком-нибудь дешевом хостинге, то очевидно, что они рано или поздно попадут в чужие руки, что сводит на нет все бонусы использования CiviCRM. Прежде чем работать с данными, позаботьтесь об их безопасности и о надёжном хостинге.

Эксперт 2: Я бы настоятельно посоветовал использовать сертификаты, потому что есть несколько сценариев, при которых неиспользовании сертификатов в базе данных можно в какой-то момент потерять контроль над базой, если в организации каждому будет предоставлен доступ, то невозможно будет даже определить, когда и из какого места злоумышленник зашёл в базу и дублировал данные, или, что гораздо хуже, просто  скомпрометировал через обновление массива данных, и вы не сможете больше адекватно ими пользоваться.

Эксперт 1: Также, если у вас есть, скажем, три базы данных в разных регионах, вы легко сможете построить вашу модель CiviCRM таким образом, чтобы, например, выделить роль главного администратора в какой-то один офис, и все остальные офисы будут уже подчинены этому главному администратору, и, фактически, не смогут сделать каких-то фатальных изменений в ядре данных, то есть каждый офис работает с теми данными, которые “принадлежат” ему до тех пор, пока, конечно, главный администратор не даст “распоряжение”, чтобы эти данные стали видимыми между офисами, это означает то, что функционал базы данных предназначен/рассчитан для использования на национальном уровне вашей организации. Конечно, её можно использовать и в качестве локальной базы, но тогда заложенный в CiviCRM потенциал, который очень велик, не используется почти вообще. 

Эксперт 1:  База данных, находящаяся на национальном уровне, находится там, куда вы договоритесь её установить с главным офисом вашей организации. Например, приобретите себе место в облаке на amazon.com, установите туда Drupal и CiviCRM, закройте всевозможными сертификатами и паролями и предоставьте доступ всем вашим партнёрам, то есть физически данные находятся в одном месте.

Эксперт 2: Все правильно, но хочу предупредить немного про Амазон. Дело в том, что единственный способ его борьбы с DDoS-атаками это простое наращивание облака, что может быть достаточно дорого и в случае с российскими организациями я бы использовал какой-нибудь другой ресурс, например Google Shield или некоторые другие сервисы.

Эксперт 1: Tакже, в основном, DDoS-атаки в основном направлены на какие-то общедоступные ресурсы. Говоря о конкретной базе данных, если она используется только для служебного использования, то можно закрыть её, к примеру, общим паролем на корневом уровне, или закрыть ее доступом по делегированным ip-адресам, чтобы весь недоверенный трафик отсекался.

Эксперт 2: Говоря про доступ по IP - это зависит от того, насколько динамично вы будете использовать базу. Если она будет больше использоваться как статический ресурс для служебного пользования и не связываться с какими-либо иными сервисами, то такая возможность присутствует.

Эксперт 2: Могу сказать, что перед развертыванием какой-либо базы данных следует осуществить анализ  возможных рисков, и 100-процентной безопасности не бывает, мы лишь помогаем сократить риски до возможного минимума. В вашем случае, в случае вашей организации можно привести распределение рисков между уровнями доступа,  делать резервные копии базы данных максимально часто и т.д.

Эксперт 1: Федор, скажите, какие проблемы у вас возникли при экспорте и осществляли ли вы его между текущими вашими записями и CiviCRM или вы пока находитесь на стадии тестирования базы без стадии реального управления?

Эксперт 1: Рано или поздно у любого софта находятся какие-то уязвимости, и, разумеется, при публикации какого-либо бага в Drupal или CiviCRM мы будем выходить на наших пользователей и предоставлять им обновления.

Эксперт 2: В CiviCRM обновления происходят в среднем два раза в год или один раз в полгода, а в Drupal они происходят гораздо чаще, а критических обновлений, требующих обновления всего ядра - 2-3 раза в год.

Эксперт 3: Да, после соответствующего тестирования критические обновления будут выпускаться, и, по возможности, оперативно. Уровень безопасности нашего пакета CiviCRM не отличается от уровня безопасности базового пакета.

Также я хотел бы сказать, что CiviCRM включает различные модули, о тех модулях, которые мы не тестировали, стоит почитать, какая есть информация по их аудиту, какие есть открытые уязвимости и т.д. перед их включением, а те модули, которые были предустановлены в пакете, мы проверяли, и они должны быть достаточно безопасными. В первую очередь, будут выпускаться критические обновления и патчи, которые вы будете иметь возможность скачать в виде пакетов.

Эксперт 2: Вы можете начать как раз с этих 10 тысяч. Надо только понять, 10 тысяч - это Москва или это какие-то конкретные кандидаты по разным округам, обычно, их сначала “заливают” в базу данных, а потом уже обрабатывают. У вас есть телефоны? Или люди просто дают свой номер паспорта или даже без него просто делают подпись под кандидата и все? Тогда, наверное, вам придется после занесения в базу данных звонить по телефонному справочнику этим людям, Эксперт 2: Хочу привести пример использования базы данных.  Я буквально несколько дней назад проводил пару обзвонов, используя базы данных, и могу сказать, что работать с внесением информации от респондентов по типу Да/Нет/Может быть/Не отвечает, очень удобно используя именно CiviCRM, потому что если заранее при экспорте отметить метку или тэг массива информации, то обратное внесение информации в базу данных очень простое, и, если, например, данный обзвон был сделан для организации мероприятия, то этих людей сразу после обновления информации можно внести как участников события или же в качестве возможных участников. Это можно использовать для экономии времени. А затем с их помощью делать телефонные обзвоны и в несколько шагов разбивать этих людей на три основные категории: которые вас поддерживают, более поддерживают, которые при этом участвуют в мероприятиях и не участвуют. Потом надо решать, что вы хотите с этими людьми делать. Собственно в этом есть основная рутинная роль базы данных.

Эксперт 1: К сожалению, законодательство заточено на то, чтобы убить любую попытку вести неучтенную базу данных, так что здесь это остается на ваше усмотрение, что для вас важнее - держать все в Excel (хотя, по сути, это тоже является прецедентом) или иметь мощную и функциональную базу данных высокого уровня. В любом случае, мы даем Вам эффективный инструмент для работы, а все юридические вопросы, наверное, стоит оставить партийным юристам