Разработка B2B-личного кабинета для клиентов компании ЕВРАЗ

Задача

Создать B2B-личный кабинет для клиентов компании ЕВРАЗ.

Evraz plc (Evraz, LSE: EVR) — международная вертикально-интегрированная металлургическая и горнодобывающая компания с активами в Российской Федерации, Украине, США, Канаде, Чехии, Италии, Казахстане и ЮАР… Входит в число крупнейших производителей стали в мире. Собственная база железной руды и коксующегося угля практически полностью обеспечивает внутренние потребности ЕВРАЗа. Они входят в ведущий индекс Лондонской Фондовой Биржи FTSE-250. ЕВРАЗ объединяет около 90 000 сотрудников по всему миру.

B2B-личный кабинет должен:

1. Агрегировать информацию из нескольких источников (SAP, специализированный софт и т.д.) и обеспечить нетривиальную логику регистрации.
2. Давать возможность быстрого «снятия» важных показателей из любого места.
3. Давать мощные инструменты для работы с табличными данными (повторить excel в вебе).
4. Обеспечивать высокий уровень безопасности коммерческой информации.

Решение

B2B-личный кабинет для клиентов очень объемный, поэтому полное описание мы привели в нашем блоге. А здесь просто тезисно перечислим решения и функционал, примененные в проекте.

Быстрый доступ к важным показателям:

• Рабочий стол (dashboard);
• Адаптивная верстка (работа с мобильных устройств);
• Наглядные графики, диаграммы и виджеты.

Сложный табличный интерфейс кабинета (“excel в вебе”):

• Большой объем данных — до 40 столбцов, десятки тысяч строк;
• Фильтрация, настройка отображаемых фильтров;
• Сортировка. Одновременно можно сортировать по нескольким областям;
• Группировка и агрегации. Одновременно можно группировать ряд столбцов. По сгруппированным выводится сумма значений (там, где это необходимо);
• Настройка выводимых столбцов:

1. Перетаскивание столбцов;
2. Изменение ширины поля с запоминанием измененных размеров для каждого набора;
3. Возможность самостоятельно создавать (и сохранять) наборы областей, группировок, сортировок и фильтрации. При этом пользователю доступно определенное количество «предустановленных» наборов, сконфигурированных оптимальным образом под наиболее частые сценарии использования;
4. «Контекстное меню» — при выборе строки, в зависимости от реестра, где мы находимся, есть возможность перехода в другие реестры с фильтрацией по значениям, связанным с выбранными строками;
5. Выгрузка в csv и отправка на почту как всего реестра, так и выбранных строк;
6. Специальный расширенный вид интерфейса (скрывается меню и область с фильтрами);
7. Специальный полноэкранный вид интерфейса — табличная область максимизируется.

Агрегация информации из нескольких источников

• Один b2b-личный кабинет на трех серверах. Первый — база данных под управлением MSSQL (назовем его промежуточной базой данных, ПБД), второй, с документами — CRM. Третий сервер — Bitrix VM с «1С-Битрикс: Управление сайтом»;
• Сложная схема регистрации и авторизации:

1. пользователи хранятся не на платформе, а в сторонней БД;
2. пользователи проходят модерацию у разных администраторов;
3. регистрация всегда временная и истекает через N дней (администраторы могут продлить активность пользователя еще на N дней);
4. личный кабинет для клиентов отсылает 16 разных уведомлений всем участникам этого процесса на разных этапах.

• Работа с оригиналами документов — SOAP, получение разных документов из разных источников. Пакетное скачивание плюс запрет хранения документов в системе.

Высокий уровень безопасности

Были рассмотрены следующие векторы атаки:

• Уязвимости сервера сайта:

1. Уязвимости программного обеспечения севера;
2. Получение доступа к консоли сервера на котором находится ресурс.

• Уязвимости CMS и самого разрабатываемого сайта:

1. Проникновение к панели управления;
2. Проникновение к программному коду;
3. Уязвимости в программном коде.

• Уязвимости браузера пользователя:

1. Кража логина / пароля у конкретного авторизованного пользователя.

Для каждого из них были обозначены способы защиты, реализованные при разработке.

Помимо этого:

1. Распределение данных по специальным серверам;
2. Двойная авторизация к коммерческим данным через механизм «сессий доступа к коммерческой информации»;
3. Разработка регламента обеспечения безопасности.

Итоги

Всё вышеописанное только первый этап проекта. Впереди второй и третий этапы, не менее интересные.

Личные кабинеты такого уровня уже стали нашей специализацией. Если у вас сложная логика, нестандартные интеграции, зубодробительные интерфейсы и высокие запросы к безопасности — звоните, мы такое любим.