Skip to main content
指南·14 分钟阅读·

安全共享证书而不暴露您的系统或数据

快速回答

Quick Answer

安全共享证书意味着通过受控渠道向客户交付质量文件 — MTCs、CoCs、NDE reports — 该渠道对收件人进行身份验证、记录访问、防止未授权重新分发,并且不暴露您的内部系统。选项范围从具有访问控制链接的加密电子邮件到具有每文件权限的定制客户门户。

当客户要求证书时,最简单的回应是将 PDF 附加到电子邮件中并发送。问题不在于 PDF — 而是电子邮件无法提供的所有内容:交付确认、谁访问了文件的证明、如果证书被替换时的版本控制,以及任何保证文件未被转发给不应该获得它的方。

对于质量证书 — 包含专有材料数据、热量可追溯性和供应商信息 — 受控分发是真实的要求,而不是理论上的考虑。


"安全"对于证书分发的含义

证书共享中的安全涉及几个不同的属性:

身份验证: 收件人是他们声称的人。您与正确的客户联系人共享,而不是未验证的电子邮件地址。

授权: 收件人获得授权接收正在共享的特定文件。客户应该能够访问其自己订单的证书 — 而不是其他客户的工作。

机密性: 内容在传输和静止时受到保护。加密传输和访问控制的存储。

审计跟踪: 记录谁访问了什么以及何时。如果出现关于文件真实性或时间的问题,您可以证明证书何时被共享和访问。

完整性验证: 收到的文件与发送的文件相匹配 — 在传输或交付后未被修改。

访问控制持久性: 如果需要撤销对共享文件的访问 — 因为收件人改变了角色、证书被替换或关系结束 — 您可以撤销它,而不依赖于收件人删除其副本。

电子邮件不能可靠地提供这些属性。安全的共享机制提供所有这些。


常见的证书共享场景及其风险

场景 1:电子邮件附件(最常见,最少控制)

通过电子邮件发送的 PDF 是:

  • 发送后未追踪 — 您无法看到它们是否被打开、转发或打印
  • 不可撤销 — 如果证书被替换或发现错误,您无法召回原件
  • 不安全 — 电子邮件默认不加密;附件可能在传输过程中被拦截
  • 未认证 — 任何收到转发电子邮件的人都有该文件

电子邮件附件对于低敏感文件和受信任的长期客户关系是可以接受的。对于受管制的行业、敏感订单或任何进行文件控制审计的情况都是不充分的。

场景 2:共享文件夹(方便,高风险)

授予客户访问共享文件夹的权限(Dropbox、SharePoint、Google Drive)会产生:

  • 对他们在该文件夹内可以访问的内容没有限制
  • 没有每文件或每订单的访问控制
  • 访问没有有意义的审计跟踪
  • 如果客户账户被泄露则暴露
  • 无法控制进一步的共享

基于文件夹的共享很常见,因为它很简单。它在几乎所有安全和审计标准上都失败了。

场景 3:客户的供应商门户(他们的系统,您的数据)

许多大客户要求供应商直接上传证书到他们的供应商门户。从客户的角度来说这是安全的 — 他们控制访问。从您的角度,这意味着:

  • 除了您自己的日志外,您没有关于上传了什么和由谁上传的记录
  • 您无法验证文件是否被正确接收
  • 门户可能不会在客户保留期之后保留文件
  • 您依赖于客户系统的可用性和记录保留

上传到客户门户满足交付要求,但不应替代您自己的保留系统。保持您的副本。

场景 4:定制证书共享门户(最受控)

专门为质量文件共享而构建的门户提供:

  • 每客户访问控制 — 每个客户只看到他们自己的证书
  • 每文件或每订单的访问授权 — 精确共享已授权的内容
  • 具有可选重新身份验证的过期链接
  • 显示谁查看或下载了每个文件的访问日志
  • 访问时的通知(对于确认收据很有用)
  • 文件替换 — 当更新的证书替换原件时,客户被引导到新版本
  • 不暴露内部系统、ERP 数据或其他客户的信息

这是任何经常向多个客户发货且受质量审计的组织的适当模式。


技术实施:安全共享系统需要什么

无论您是构建还是评估共享系统,这些技术属性很重要:

访问控制体系结构

每个文件共享应限制为:

  • 特定客户(租户隔离 — 无跨客户可见性)
  • 特定工作、订单或装运(不是整个证书库)
  • 特定授权联系人或客户处的一组联系人

收件人端的基于角色的访问:某些联系人需要只读访问;其他人可能需要下载权限。

具有身份验证的基于链接的共享

安全链接应该是:

  • 对每个收件人或每个共享事件唯一
  • 有时间限制(与使用案例相适应的过期日期)
  • 可选地要求收件人重新身份验证(电子邮件验证、密码或 SSO)
  • 在单击或下载时在访问日志中追踪

一个对任何拥有它的人无限期有效的链接不是安全共享 — 它是一种不同的分发模式。

审计日志要求

对于受管制的行业,审计日志必须捕获:

  • 文件标识符
  • 共享事件:时间戳、谁授权共享、收件人
  • 访问事件:时间戳、收件人身份、操作(查看、下载、打印)
  • 任何撤销事件

此日志必须是不可变的 — 事后无法编辑。

文件完整性

共享文件必须防篡改。选项:

  • 带有来自您组织证书的加密数字签名的 PDF
  • 哈希验证 — 收件人可以验证文件哈希与原件匹配
  • 水印 — 日期/收件人特定的水印,阻止未授权重新分发

不暴露内部系统

您证书门户的外部访问必须与您的内部网络、ERP 或运营系统完全隔离。门户运行所需的最少数据 — 它仅服务于已批准的、最终的证书 — 即使客户账户被破坏,也不会提供内部系统的任何路径。


对要求"直接访问"的客户说什么

某些客户要求对您的系统的直接访问 — 登录到您的 ERP 或文件管理系统,以便他们可以自己拉取证书。拒绝的安全理由很充分:

  • 直接系统访问暴露的内部运营数据超出证书范围
  • 泄露的客户账户成为您周界内的威胁参与者
  • 客户一旦拥有系统登录就无法控制他们访问什么
  • 跨客户数据暴露风险很大

恰当的回应是提供一个定制的共享门户,给客户自助访问他们自己的证书 — 而不需要系统访问。TestCert 提供这个模式:客户获得他们文档的专用、访问控制的视图。仅此而已。


今天证书共享中最常见的安全风险是什么?

最常见的风险是通过电子邮件转发的不受控分发。发送给客户组织一个联系人的证书可能被转发到内部、转包商或 — 在最坏的情况下 — 发布到论坛或提供给竞争对手。对于包含专有热化学数据的文件,这是真实的知识产权问题。具有访问控制和审计日志的基于链接的共享消除了大部分风险。

客户是否有权接收原始证书,还是我们可以发送副本?

这取决于客户的 PO 要求和适用的标准。大多数质量框架接受经认证的副本或 PDF 版本代替纸质原件。某些 ASME 应用对特定文件类型需要湿墨签署的原件。在 21 CFR Part 11 下运营的制药客户可能需要符合电子记录要求的记录。在订单录入时澄清 — 默认为 PDF 对大多数商业制造是可接受的,除非客户另有指定。

我们如何处理声称从未收到我们发送的证书的客户?

带有访问日志的定制共享系统消除了大多数这些争议 — 您可以显示共享事件和访问事件(或缺乏)。使用电子邮件,"从未收到"更难解决。最佳做法:使用具有交付追踪的共享链接而不是电子邮件附件,如果链接在定义的时间内未被访问,请发送后续通知。对于关键装运,要求书面确认收到文档。

我们可以使用 SharePoint 或 Dropbox 等标准文件共享服务进行客户证书共享吗?

这些服务可以与适当的配置一起使用,但需要仔细的访问控制设置。每个客户必须有完全隔离的空间 — 跨客户没有共享文件夹。访问必须在文件或文件夹级别配置,而不仅仅是网站级别。必须启用和审查审计日志。最简单和最具审计防御能力的方法是使用专为质量文件共享而构建的解决方案,而不是采用通用文件存储。

当客户关系结束时,共享证书应该怎么办?

当客户关系结束时,撤销活跃共享访问权限,使客户无法继续从门户下载文件。在所需的保留期内保留您的共享证书副本 — 客户关系的结束并不终止您的保留义务。记录访问撤销和应用于存档记录的保留政策。

Ready to automate your certificate workflow?

Try TestCert free

相关指南