Zugriffskontrolle und Authentifizierung

1.1       Least Privilege

atwork definiert klare Rollen und Berechtigungen: Entwickler, Administratoren und Nutzer (User) mit jeweils klaren Zugriffsregelungen und Authentifizierungsvorschriften.

Zugriffe auf Systeme und Daten erfolgen nach dem Prinzip der geringsten Berechtigung («Least Privilege»). Entwickler nutzen MFA-geschützte Azure Entra ID-Zugänge. Admins verwalten Nutzer und Umfragen innerhalb der Anwendung; sie unterliegen strengen Passwortrichtlinien und rollenbasierten Zugriffsbeschränkungen. Nutzer können ihre eigenen Profile verwalten und an Umfragen teilnehmen.

1.2       Authentifizierung

Der Zugriff auf AWS SES ist auf autorisierte Entwickler beschränkt, geschützt durch Multi-Faktor-Authentifizierung. Der Zugriff auf Azure OpenAI erfolgt ausschliesslich über Managed Identities mit rollenbasierten Zugriffskontrolle (RBAC).

Für Admins und User besteht keine Multi-Faktor-Authentifizierung.

1.3       Passwörter

Alle Nutzer, einschliesslich derjenigen mit Supervisor-Rolle, müssen Passwörter mit mindestens 12 Zeichen verwenden, darunter mindestens ein Grossbuchstabe, ein Kleinbuchstabe, eine Zahl und ein Sonderzeichen.

1.4       Zugriffsprotokollierung & Sitzungsverwaltung

Zur zusätzlichen Absicherung werden alle Anmeldevorgänge und Zugriffe protokolliert, sodass bei Bedarf eine lückenlose Nachverfolgung möglich ist. Sitzungen werden automatisch beendet, wenn sie inaktiv sind, um Missbrauch zu vermeiden.