Skip to content

Sicherheit

SICHERHEIT wird bei allen pfx Apps gross geschrieben.

Sicher entwickeln

Der Entwicklungsprozess aller pfx App ist CI / CD basiert.

CI / CD einfach erklärt

Herkömmliche Entwicklung

In herkömmlichen Entwicklungsprozessen schreibt einer oder mehrere Entwickler Teile eines Codes welcher dann zu einer gemeinsamen Codebasis zusammengeführt wird. Anschliessend muss ein weiterer Entwickler die komplette Codebasis testen und kompiliieren (= "maschinenlesbar machen"). Dieser Prozess hat mehrere Schwachstellen:

  • Probleme beim Zusammenführen des Codes verschiedener Entwickler
  • Fehler beim Kompilieren
  • Doppelspurigkeiten
  • Viel "Handarbeit"
  • Viel Zeit benötigt von Entwicklung bis zum Release
  • Sensitive Schlüssel, Zertifikate oder Tokens müssen für das Kompilieren manuell bereitgestellt werden
  • Viele Brüche in Prozessen die Fehleranfällig sind

Entwicklung mit CI / CD

CI/CD (Continuous Integration/Continuous Delivery) automatisiert praktisch alle Entwicklungsschritte ab dem Schreiben des Quellcodes.

Man kann sich das auch wie ein Fliessband vorstellen.

Ein Entwickler "pusht" seine Änderungen am Code, der (neue) Code wird mit bestehendem Code automatisch zusammengeführt und versioniert, getestet und wenn keine Fehler auftreten kompiliert (=build) und auf den verschiedenen Kanälen zum Download angeboten (=deploy)

In der Praxis gibt es dann noch Zwischenschritte, da nicht jede Änderung am Code gleich einen neuen Release rechtfertigt.

In unserer Entwicklung wird jede Anmeldung immer mindestens zweistufig authentifiziert.

Durch unsere CI / CD Entwicklung hat kein Entwickler Zugriff auf sensitive Schlüssel, Zertifikate oder Tokens.

Zudem wird bei jeder Code - Änderung eine Reihe von Tests ausgelöst, die verhindert das nicht funktionsfähige Apps veröffentlicht werden.

Sicher im App

Sämtliche sensitiven Daten wie Passwörter und Benutzernamen werden direkt auf dem Gerät durch den Benutzer eingegeben - und bleiben auch dort.

In iOS wird zur Speicherung der Zugangsdaten Keychain ("Schlüsselbund") verwendet, in Android Keystore.

Durch die direkte Verbindung der Apps zur jeweiligen Proffix Rest-API besteht keinerlei Verbindung zwischen den unterschiedlichen Mandaten, Unternehmen oder Benutzern.

Sicher übermitteln

pfx übermittelt Daten aus Proffix immer direkt an die dedizierte Rest-API des Proffix Mandanten - ohne Umwege über fremde Server.

pfx erzwingt dabei eine SSL - verschlüsselte Verbindung (siehe auch Tipps Proffix Rest-API)

Ein weiterer Vorteil dabei: Wenn Ihre Proffix Rest-API läuft und Sie über eine Internetverbindung verfügen wird pfx immer funktionieren. Es gibt keinen Wartungsintervall, keine Downtime - es funktioniert einfach.

INFO

Bitte denken Sie daran: Alle Verschlüsselung und Sicherheit bringt nichts, wenn das Benutzerpasswort z.B. 1234 lautet.