Invantive Cloud - Exact Online - Beperken toegang divisies voor gebruikers

Bestaat de mogelijkheid in Invantive Cloud om de toegang tot divisies van Exact Online te beperken?

Concreet voorbeeld:

  • Exact Online bevat 2 administraties (1 en 2)
  • Gebruiker 1 mag beide administraties uitlezen
  • Gebruiker 2 mag enkel administratie 2 uitlezen

Ik neem aan dat het gaat om twee fysieke gebruikers, elk met een eigen aanmeldcode op Exact Online en een eigen aanmeldcode op Invantive Cloud.

Achtergrond

Een databaseregistratie op Invantive Cloud zal altijd hard gekoppeld zijn aan een Exact Online gebruiker, eventueel beperkt tot een aantal administraties. Elke Invantive Cloud-gebruiker binnen dezelfde omgeving heeft identieke toegang tot de databases. Invantive Cloud kent een strakke scheiding tussen omgevingen (multi-tenant), maar geen autorisatie binnen de omgeving anders dan reguliere gebruiker, superuser en dienstenaccount. Via deze beperkte autorisatie is het niet mogelijk om een Invantive Cloud-user de toegang te zeggen tot een database waar andere Invantive Cloud gebruikers in die omgeving wel bij kunnen.

Insteken

Uit de vraag kan ik niet opmaken wat de achterliggende reden voor het beperken van de toegang is.

Als het gaat om gebruiksgemak, dan kan een aparte database met een aparte client ID geregistreerd worden voor gebruiker 2 en gebruikt.

Als het gaat om gegevensbeveiliging als in: administratie 1 is niet toegankelijk volgens de complianceregels voor Invantive Cloud gebruiker 2, dan kan dit niet binnen dezelfde omgeving gerealiseerd worden.

Use-statement: geen optie

Het is ook niet mogelijk om de gegevensbeveiliging te organiseren met het use-statement, bijvoorbeeld door in het use een select te gebruiken met andere uitkomsten per Cloud-gebruiker.

Allereerst is dat maar een enkelvoudige beveiliging terwijl de aard van Exact Online-gegevens vaak is dat er privacygevoelige gegevens opvraagbaar zijn. Dit geldt zelfs voor financiële transacties omdat er namen van contactpersonen in de platgeslagen views kunnen staan.

Maar ten tweede kunnen de gecachete data gedeeld worden tussen gebruikers. Een ongeautoriseerde gebruiker zou dan alsnog toegang krijgen tot de data waar hij geen toegang zou moeten hebben.

Advies

Advies is om indien strikte datascheiding nodig is, is om een aparte omgeving te introduceren. Door te werken met meerdere omgevingen gelden dezelfde waarborgen qua datascheiding en versleuteling als tussen onafhankelijke gebruikers.

De tweede administratie zou bijvoorbeeld een apart abonnement kunnen nemen, waarin zowel gebruiker 1 als gebruiker 2 geregistreerd wordt. Afhankelijk van de omvang van de administratie kunnen hier extra kosten aan verbonden zijn (Free Plan versus Invantive Office for Entrepreneurs).