Systém ESO9 nabízí řadu možností jak zabezpečit nejen osobní údaje, ale samozřejmě i všechna ostatní data. Jedná se především o nastavení přístupu do aplikace a o nastavení uživatelských práv pro konkrétního uživatele. Tato nastavení systému zná a provádí certifikovaný správce ESO9, který takto může definovat, kdo má přístup do aplikace, která data (osobní údaje) může zpracovávat a jakým způsobem (jestli na ně může pouze nahlížet, nebo jestli je může i editovat, případně mazat). Všechny operace, které uživatel v systému ESO9 na základě svých uživatelských práv realizuje, jsou logovány, takže jsou snadno dohledatelné. Nastavení logování zajišťuje opět správce systému ESO9.

Pro přístup uživatele do aplikace ESO9 lze použít tři typy autentikace:

1. ESO9 autentikace - používá se při přístupu uživatele přes internet, ESO9 autentikaci je však možné využít i při přístupu uživatele z lokální sítě, po uživateli je při přístupu do aplikace ESO9 vždy požadováno jeho přihlašovací jméno a heslo.
2. NT autentikace - používá se při přístupu uživatele z lokální sítě, uživatel do aplikace ESO9 přistupuje na základě svého přihlášení do lokální sítě (na svou pracovní stanici), přihlašovací jméno a heslo je tedy vyžadováno pouze jednou, a to při přihlášení uživatele do jeho počítače.
3. Certifikátová autentikace - nejbezpečnější a pro uživatele jednodušší způsob ověření při přístupu přes internet, uživatelé při přístupu do aplikace ESO9 používají digitální certifikát. Certifikáty lze využívat i pro případ souběžného přístupu téhož uživatele z více stanic (např. pro přístup z práce a pro přístup z domova). Výhodou této autentikace je, že uživatel nemusí při každém přístupu do aplikace zadávat jméno a heslo.
   

ESO9 autentikace je základní způsob ověření při přístupu uživatele přes internet. Používá se i v lokálních sítích, kde neexistuje Active Directory (AD), eventuálně při přístupu uživatelů z různých domén. Aplikační web na IIS si sám uživatele neověřuje, umožní přístup kohokoli. Ověření pomocí zadaného uživatelského jména a hesla provede aplikační server sám (při každém přístupu do aplikace musí uživatel zadat znovu své ověření). Vlastní komunikační kanál může jet přes HTTPS (zabezpečení proti odposlechu jména a hesla). Tento způsob ověření je funkční na všech podporovaných platformách a prohlížečích.

NT autentikace je základní způsob ověření uživatele v lokální síti. Vyžaduje existenci Active Directory (AD) a doménových uživatelských účtů, kterými se uživatelé přihlašují ke svým pracovním stanicím. Při přístupu k IIS se je tato služba sama ověří oproti Active Directory (AD) a do ESO9 je již předá jako ověřené uživatele, kteří tak nemusí při přístupu do aplikace nic zadávat. Internet Explorer si dokáže převzít doménové ověření lokálně přihlášeného uživatele, ostatní prohlížeče (resp. ostatní platformy) se chovají různě v závislosti na své verzi a použitém OS. NT autentikace neprojde přes internet, tam je třeba použít další způsoby ověření.

Certifikátová autentikace je nejbezpečnější a pro uživatele jednodušší způsob ověření při přístupu přes internet. Webový server a všichni uživatelé používají digitální certifikáty, pomocí kterých prokazují svou identitu. Certifikáty lze exportovat pro případ souběžného přístupu téhož uživatele z více stanic (např. pro přístup z práce a pro přístup z domova). Výhodou pro uživatele je, že nemusí při každém přístupu do aplikace zadávat jméno a heslo. Zároveň lze webový server nakonfigurovat tak, aby komunikoval pouze s definovanou skupinou klientských certifikátů, čímž automaticky zabrání možnosti přístupu libovolného anonymního uživatele z internetu. Certifikáty lze používat buď komerční, nebo vygenerované vlastní certifikační autoritou. 21 dní před koncem platnosti certifikátu je uživatel při vstupu do aplikace upozorněn informační hláškou na jeho blízkou expiraci. Tento způsob ověření je funkční na všech podporovaných platformách a prohlížečích.

Nastavení autentikace aplikace provádí správce aplikace ESO9 prostřednictvím programu Správce ESO9. Podrobný popis způsobu nastavení zabezpečení najdete v dokumentu Autentikace uživatele.

Pokud máme nastaveny přístupy uživatelů do aplikace, můžeme následně jednotlivým uživatelům nebo (lépe) celým skupinám uživatelů nastavit přístupy do jednotlivých činností. Vhodným nastavením uživatelských práv pro uživatele informačního systému ESO9 lze snadno definovat, kdo má ke kterým datům přístup a jakým způsobem je může zpracovávat. Nastavení uživatelských práv může provádět pouze správce systému.

Základní nastavení uživatelů v IS ESO9 se provádí prostřednictvím naplnění číselníku 9.1.5 Uživatelé, který obsahuje seznam všech uživatelů systému. Jedná se o zásadní číselník pro umožnění přístupu uživatelů do systému. Kód uživatele v tomto číselníku musí odpovídat přihlašovacímu jménu uživatele do Windows (pro NT autentikaci) nebo jen přihlašovacímu jménu uživatele (pro ESO9 autentikaci).
Každý uživatel může být v systému zařazen do jedné či více skupin uživatelů podle svého pracovního zařazení (skupinou se myslí množina uživatelů, kteří vykonávají v informačním systému stejné činnosti). Naopak každá skupina uživatelů může obsahovat jednoho či více uživatelů. Krajní možností je stav, kdy jedna skupina = jeden uživatel. Toto rozřazení se provádí v číselníku 9.1.6 Skupiny uživatelů.
Uživateli se zobrazí všechny dostupné činnosti v jeho stromě činností (levá navigační lišta). Kromě toho lze každému uživateli vytvořit jeho domovskou stránku, která bude obsahovat odkazy pouze na jím nejpoužívanější činnosti.

Definovat přístupová práva k jednotlivým činnostem pro skupiny uživatelů lze prostřednictvím odkazu Přiřazení činností v činnosti 9.1.6 Skupiny uživatelů. Každé skupině uživatelů lze přiřadit konkrétní činnost nebo celé podstromy činností. Každý uživatel z dané skupiny pak bude mít oprávnění spustit pouze činnosti přiřazené této skupině.

Všechny operace, které uživatel v systému ESO9 na základě svých uživatelských práv provádí, jsou logovány, takže jsou snadno dohledatelné. Nastavení logování pro jednotlivé uživatele provádí správce aplikace ESO9 prostřednictvím programu Správce ESO9. Více informací viz dokument Popis logování.
Prohlížení údajů z logovací databáze je možné prostřednictvím číselníku 9.8.4 Logovací databáze, resp. 9.8.12 Logovací databáze - detailní logy. Do logovací databáze jsou v průběhu práce uživatelů zaznamenávány všechny akce dle úrovně nastaveného logování.

Logování lze nastavit na čtyřech úrovních:

Při plném logování dochází k zaznamenávání všech akcí, které uživatel během svého přihlášení v aplikaci ESO9 vykoná. Logují se tak nejen akce jako je např. vložení nového řádku, editace nebo výmaz řádku atd., ale i pouhé zobrazení stránek aplikace, vyhledávání, zadávání filtrů pro stránky atd. Veškerý pohyb uživatele je zaznamenán v logovací databázi. V běžném provozu ESO9 je plné logování vypnuto, neboť zpomaluje provoz aplikačního serveru.

Při aplikačním logování dochází k logování aplikačních akcí, tzn. akcí, které uživatel vykoná během provozu aplikace ESO9. Loguje se tak např. vložení nového řádku, editace nebo výmaz řádku, akce na tlačítko, přihlášení a odhlášení uživatele atd. Aplikační logování nelze vypnout, běží automaticky na pozadí.

Obsahuje podrobné informace o běhu aplikačního serveru. Zapíná se v okamžiku, kdy v aplikaci vznikne problém a je potřeba jej cíleně hledat. V běžném provozu ESO9 je toto logování vypnuto, neboť zpomaluje provoz aplikačního serveru.

Obsahuje podrobné statistiky o datových zdrojích jednotlivých formulářů a sestav. Výstup z tohoto logování slouží správci jako podklad při optimalizaci aplikace. Výkonové logování nelze vypnout, pouze lze nastavením jeho parametrů zvedat či snižovat hranici, od kdy se spouštěné datové zdroje budou logovat.