Clock PMS+ a été développé en intégrant de fortes mesures de sécurité afin d'éviter tout accès non autorisé à vos données et opérations critiques.
Sécurité du réseau
Cette fonction vous permet de contrôler à partir de quels réseaux l'utilisateur peut accéder à Clock PMS+. Les paramètres sont disponibles dans le menu Paramètres->Tous les paramètres->Utilisateurs->Sécurité réseau. Ici, vous pouvez activer ou désactiver les options suivantes:
- Réseaux de confiance. Les utilisateurs de Clock PMS+ peuvent être divisés en 2 groupes - les utilisateurs ayant accès au système de n'importe où et ceux qui peuvent accéder au système à partir d'une liste spécifiée d'adresses IP et de réseaux, par exemple le réseau de votre hôtel (vous trouverez plus de renseignements dans l'article Utilisateurs).
- Liste noire des réseaux. Utilisez cette option pour refuser instantanément et sans condition l'accès à votre abonnement depuis une certaine adresse IP ou un certain réseau. La restriction concerne tous les comptes de l'abonnement. Cette fonction doit être utilisée avec une extrême prudence afin d'éviter de restreindre votre propre accès. Si cette situation se produit, le propriétaire de l'abonnement peut désactiver la liste noire des réseaux en cliquant sur le lien "J'ai oublié mon mot de passe" sur l'écran de connexion.
Authentification multifactorielle (AMF)
Le principe d'AMF est le suivant : pour accéder à votre compte, vous devrez combiner les informations dont vous disposez (nom d'utilisateur et mot de passe) et les éléments que vous possédez (smartphone et le mot de passe à usage unique généré sur celui-ci). Les mots de passe à 6 chiffres de l'application restent valides pendant 60 secondes.
Les fonctionnalités pour lesquelles vous pourrez avoir activé l'AMF pour votre utilisateur sont les suivantes:
- Accès complet aux informations de la carte de crédit. L'utilisation de cartes tokenisées n'entre pas dans cette catégorie. Toutefois, la vérification du numéro complet de la carte de crédit et du code CVV nécessite que vous ayez activé la fonction AMF pour votre utilisateur.
- Création et modification d'utilisateurs et de groupes d'utilisateurs.
- Paramétrage des prestataires de paiement.
- Modification de l'email du propriétaire du compte et de l'email de l'hôtel.
Pour activer l'accès AMF pour votre utilisateur:
- Installez une application d'authentification à double facteur:
- L'application Google Authenticator sur votre smartphone (disponible gratuitement sur l'AppStore et Google Play);
- Une extension Google Chrome / une extension similaire pour d'autres navigateurs;
- Une application sur votre ordinateur comme Authy (disponible pour Linux, macOS et Windows);
- Connectez-vous au système avec l'utilisateur pour lequel l'AMF doit être activée
- Allez dans le menu de navigation -> Paramètres ->Mon utilisateur
- Choisissez AMF dans la barre latérale.
Suivez les instructions (le chargement du QR code peut prendre jusqu'à 1 minute):
- Ouvrez l'application "Google Authenticator" sur votre smartphone;
- Ajoutez un nouveau compte à "Google Authenticator" en sélectionnant l'icône " + " ;
- Sélectionnez 'Scanner le code QR' et pointez votre appareil photo sur le QR code;
- Le compte 'ClockPMS' incluant votre nom d'utilisateur sera ajouté à l'application;
- Saisissez le code à 6 chiffres de l'application et sélectionnez 'Activer MFA' pour terminer le processus.
Important: La synchronisation du temps est cruciale pour les applications d'authentification multi-facteurs (MFA) telles que Google Authenticator, car ces applications génèrent des mots de passe à usage unique basés sur le temps (TOTPs). Ces mots de passe ne sont valables que pour une courte période, généralement 30/60 secondes. Si le temps sur l'appareil de l'utilisateur n'est pas synchronisé avec le temps du serveur, le TOTP généré pourrait être incorrect, entraînant des échecs d'authentification et des problèmes d'accès potentiels.
Suppression de l'accès AMF
Afin de supprimer l'accès AMF, vous devez avoir le droit 'Utilisateurs : Créer et modifier' et une AMF active.
Il vous permettra d'accéder à la liste des utilisateurs pour accéder à l'écran d'édition de l'utilisateur spécifique et désactiver l'AMF.
Blocage automatique des utilisateurs
Après 6 tentatives de connexion non réussies, le compte de l'utilisateur est automatiquement bloqué pour une période de 30 minutes. Un e-mail de notification est également envoyé avec l'objet suivant : "[CLOCK PMS SECURITY] Too many login errors detected. The user is locked." à l'adresse électronique du propriétaire de l'abonnement. Vous pouvez définir des courriels supplémentaires pour recevoir ces notifications.
- Allez dans le menu Navigation -> Paramètres->Tous les paramètres->Utilisateurs->Adresses email des administrateurs;
- Saisissez les courriels en les séparant par une virgule et enregistrez.
S'il vous arrive de bloquer votre compte, vous pouvez contacter un utilisateur ayant le droit "Utilisateurs : Créer et modifier" et lui demander de modifier votre utilisateur et de cliquer sur le bouton "Débloquer l'utilisateur".