مقدمة: لماذا لا تكفي كلمة المرور وحدها؟
في كثير من الشركات الخليجية، ما زالت حماية نظام ERP تعتمد على اسم مستخدم وكلمة مرور فقط، مع أن:
– الموظفين قد يعيدون استخدام نفس كلمة المرور في أكثر من نظام.
– كلمات المرور قد تُشارك بين الزملاء، أو تُكتب في أماكن غير آمنة.
– هجمات التصيّد (Phishing) أصبحت أكثر ذكاءً من أي وقت مضى.
لهذا أصبحت المصادقة الثنائية (Two-Factor Authentication – 2FA) معياراً عملياً لحماية أنظمة الأعمال الحساسة، وخاصة أنظمة ERP التي تحتوي على بيانات مالية وضريبية وعملاء.
يومي ERP صُمِّم بحيث يمكن ربطه بطبقة 2FA تضيف خطوة تحقق ثانية بعد كلمة المرور، مع الحفاظ على سهولة الاستخدام للموظفين في السعودية والخليج.
أولاً: ما هي 2FA في سياق يومي ERP؟
المصادقة الثنائية تعني أن دخول المستخدم إلى حسابه في يومي يتطلب:
– شيئاً يعرفه: كلمة المرور.
– شيئاً يمتلكه أو يتحكم فيه: كود تحقق لمرة واحدة (OTP) عبر تطبيق مصادقة أو رسالة.
بهذا الأسلوب، حتى لو عرف شخص ما كلمة المرور، فلن يستطيع الدخول إلى النظام بدون عامل التحقق الثاني المرتبط بالجوال أو تطبيق المصادقة للمستخدم.
ثانياً: سيناريو الدخول مع 2FA في يومي
عند تفعيل 2FA على حساب مستخدم أو مجموعة مستخدمين:
1) يدخل المستخدم اسمه وكلمة مروره كالمعتاد.
2) إذا كانت البيانات صحيحة وكان 2FA مفعّلاً:
– يظهر له حقل إدخال كود تحقق لمرة واحدة.
– يتم توليد الكود عبر تطبيق مصادقة (مثل Google Authenticator أو Microsoft Authenticator) أو عن طريق قناة تحقق تعتمدها الشركة.
3) عند إدخال الكود الصحيح في الوقت المحدد:
– يتم إنشاء الجلسة (Session) وربطها بعامل التحقق الثاني.
– تُطبَّق نفس صلاحيات الأدوار والفروع، لكن على جلسة أكثر أماناً.
ثالثاً: أين تضيف 2FA قيمة حقيقية في بيئة ERP؟
– حسابات المدراء الماليين (CFO/Finance Manager):
– لديهم صلاحيات على قيود محاسبية، تقارير حساسة، إعدادات ضريبية.
– اختراق حساب واحد منهم قد يكفي لتغيير بيانات أساسية.
– حسابات مديري الفروع:
– صلاحيات على نقاط البيع، تسعير، خصومات.
– حسابات مديري النظام (System Admins):
– لديهم سيطرة على إعدادات الشركة والصلاحيات.
في هذه الحسابات، 2FA ليست رفاهية؛ بل خط دفاع ضروري، خاصة عندما تكون الدخولات من شبكات عامة أو من منازل الموظفين.
رابعاً: ربط 2FA بنموذج الصلاحيات والفروع في يومي
يومي يعتمد نموذج صلاحيات RBAC متقدم مع فروع متعددة:
– يمكن تفعيل 2FA على:
– مستوى أدوار معيّنة (مثلاً إلزام 2FA لكل مستخدم يحمل دور “مدير عام الشركة” أو “مدير مالي”).
– أو على مستخدمين محددين حسب حساسية صلاحياتهم.
– بعد نجاح 2FA:
– تُطبَّق نفس قواعد الفروع (current_branch_id، allowedBranchIds).
– يبقى المستخدم مقيداً بالفروع والموارد المسموح بها له، لكن مع تأكيد قوي على هوية الشخص الذي دخل فعلاً.
خامساً: أفضل ممارسات تفعيل 2FA في بيئة خليجية
لتحقيق توازن بين الأمان وسهولة الاستخدام:
– ابدأ بالحسابات الحرجة:
– مديري النظام.
– المدراء الماليين.
– مديري الفروع الكبيرة.
– اعتمد تطبيقات مصادقة موثوقة:
– استخدام تطبيقات توليد كود (TOTP) أكثر أماناً من الرسائل القصيرة SMS في كثير من الحالات.
– درِّب الموظفين:
– قدّم دليل مبسط لكيفية إعداد 2FA وربطها بحساب يومي.
– وضّح كيفية التعامل مع فقدان الهاتف أو تطبيق المصادقة (قنوات استرجاع آمنة).
سادساً: ماذا يعني 2FA لامتثال شركتك؟
بينما لا تشترط كل الجهات التنظيمية في الخليج 2FA صراحة على أنظمة ERP، إلا أن:
– وجودها يعتبر نقطة قوة في أي تقرير داخلي لإدارة المخاطر.
– يمكن الإشارة إليها ضمن سياسات الأمان عند التعاقد مع عملاء كبار (B2B) أو الدخول في مناقصات حكومية.
– تقلل من احتمال تسرّب بيانات ضريبية أو مالية يمكن أن تضع الشركة في موقف حرج أمام جهات مثل ZATCA.
دعوة لاتخاذ خطوة عملية (CTA)
لو كنت تدير نظام Yaomy ERP لشركتك اليوم بدون طبقة 2FA، فهذه فرصة لإضافة خط دفاع إضافي بأقل إزعاج ممكن للموظفين.
تواصل مع فريق يومي ERP أو فريق تقنية المعلومات الداخلي لديك لـ:
– مراجعة الحسابات الحرجة في النظام.
– وضع خطة تدريجية لتفعيل 2FA عليهم.
– تدريب الفريق المالي وفرق الفروع على استخدام المصادقة الثنائية كجزء طبيعي من رحلة الدخول للنظام.
روابط داخلية مقترحة
– صفحة: أمان البيانات والصلاحيات في يومي ERP (Cluster 15 – id 521).
– صفحة: الجلسات الآمنة وإدارة تسجيل الدخول في يومي (Cluster 15 – id 525).
– صفحة: تأمين شاشة تسجيل الدخول وكلمات المرور (Cluster 15 – id 526).
– صفحة: سجل الأنشطة والتدقيق (Activity Log) في يومي (Cluster 4 – id 111).