W systemie Alior Banku przewidziano zaawansowane mechanizmy audytowe. Rejestrowane jest każde użycie istotnych przywilejów np. fakt logowania, przydzielania uprawnień i utworzenia konta. Oprócz standardowych zestawów zapytań audytowych działają także mechanizmy analizy nietypowych zachowań użytkowników systemu informatycznego. Ich celem jest szybkie wykrywanie odchyleń od obowiązujących standardów i zachowań w systemie, w ten sposób można wykryć każde nieuprawnione działanie administratorów czy użytkowników. Wszystkie takie informacje są rejestrowane w postaci logów i podlegają weryfikacji.

Logi systemowe są zapisywane w taki sposób, aby uniemożliwić administratorowi niezauważoną ingerencję w ich zawartość. Mechanizm ten wylicza sumy kontrolne, stanowiące część zapisów audytowych, a następnie podpisuje cyfrowo utworzone logi. Manipulacja polegająca na usunięciu lub modyfikacji wpisów powoduje niezgodność treści logów z sumami kontrolnymi, zmiana sum (np. ponowne ich wyliczenie) zostanie wykryta przy weryfikacji podpisu. Dzięki temu można wykryć miejsce hipotetycznej ingerencji.

Hasło i token

Pracownicy banku uwierzytelniają się przy użyciu certyfikatu na karcie kryptograficznej (Aladdin eToken). Uwierzytelnianie za pomocą Active Directory następuje nie tylko na poziomie aplikacji, ale też urządzeń sieciowych przy wykorzystaniu protokołu 802.1x i mechanizmów kontroli dostępu do sieci (uwierzytelnienie i wymuszenie polityki na stacjach) w połączeniu z zaporami sieciowymi.

System zarządzania uprawnieniami użytkowników DRACO jest zintegrowany z Active Directory oraz ze wszystkimi podstawowymi aplikacjami używanymi w Banku, jak System Obsługi Klienta, środowisko Contact Center, System Weryfikacji Kredytowej, portal internetowy oraz intranetowy banku, czy System Obiegu Dokumentów. Logowanie do wszystkich aplikacji odbywa się automatycznie po zalogowaniu użytkownika do stacji roboczej, umożliwia to integracja z Active Directory oraz protokół Kerberos. "Dzięki użyciu DRACO oraz certyfikatów użytkowników i tokenów sprzętowych, zapewniono bardzo bezpieczną metodę dwuskładnikowego uwierzytelnienia, a także uproszczono maksymalnie działania pracowników - nie muszą oni pamiętać dziesiątek haseł, a jedynie posiadać token i znać hasło do klucza prywatnego" - mówi Henryk Baniowski.

Administratorzy systemu DRACO mają do dyspozycji konsolę WWW, w której definiują systemy, role oraz uprawnienia. Administratorzy również podzieleni są na role, a krytyczne operacje wymagają autoryzacji przez dwóch administratorów. System jest na tyle prosty w użytkowaniu, że cała administracja uprawnieniami użytkowników w aplikacjach biznesowych odbywa się poza działem IT. Klienci banku, logując się do systemu bankowości internetowej, uwierzytelniają się przy pomocy hasła maskowanego lub karty kryptograficznej (opartej o technologię firmy Gemalto), a system DRACO zarządza ich uprawnieniami, dając dostęp tylko do właściwych modułów. Autoryzacja transakcji odbywa się za pomocą jednorazowych kodów przesyłanych kanałem SMS bądź przy użyciu podpisu elektronicznego z wykorzystaniem kart kryptograficznych.