<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"></head><body>
<div>Je to tak jak rika Jirka.</div><div><br></div><div>VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou a hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni dokumenty typu informovane souhlasy.</div><div><br></div><div>To same si udelaji clenove ale v jinem ramci, uz na urovni jejich provozovane technologie php eshopy a podobne a zase seznam opatreni, proces kdyz nekdo odvola souhlas se zpracovanim, seznam opatreni.</div><div><br></div><div>To jsou veci ktere si kazdy muze pripravit uz ted.</div><div><br></div><div>Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o technickem svete.</div><div><br></div><div><br></div><div><br></div><div id="composer_signature"><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">S pozdravem<div>Petr JuhaĹák</div><div><br></div><div>petr@juhanak.cz | +420 739 639 132</div></div><br><br>-------- PĹŻvodnĂ zpráva --------<br>Od: JindĹ™ich SadĂlek <jindrich.sadilek@gmail.com> <br>Datum: 31.01.18 1:41 (GMT+01:00) <br>Komu: community-list@lists.vpsfree.cz <br>PĹ™edmÄ›t: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR <br><br><div>Jedna vÄ›c je, co si musĂ poĹ™ešit VPSfree jako organizace, zcela jiná pak jendotlivĂ správci vlastnĂch Ĺľiletek.<br></div>
<div><br></div>
<div>Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a pošlete semtam email, natož považovatelný za reklamn� Jste v tom až po uši...<br></div>
<div><br></div>
<div><br></div>
<div>Dne St, 31. leden 2018 v 00:30 h uĹľivatel Jirka Bourek napsal:<br></div>
<blockquote type="cite"><div>Problém je, že tohle všechno řešà technické věci, které udělat chceš,<br></div>
<div>ale neĹ™ešà to chybÄ›jĂcĂ papĂry, kterĂ© potĹ™ebuješ pro úřad.<br></div>
<div><br></div>
<div>Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že<br></div>
<div>jsem náhodou vÄŤas prodal akcie" nÄ›jakou skuteÄŤnou ochranu osobnĂch ĂşdajĹŻ<br></div>
<div>v podstatÄ› Ĺ™ešit nejde. JenĹľe to úřednĂky z EU nezajĂmá - ti vymysleli<br></div>
<div>smÄ›rnici na ochranu osobnĂch ĂşdajĹŻ, takĹľe se osobnĂ Ăşdaje chránĂ tak,<br></div>
<div>jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to<br></div>
<div>nesmysl!" nic nezachránĂ.<br></div>
<div><br></div>
<div>TakĹľe správce potĹ™ebuje se zpracovatelem mĂt smlouvu nebo jinĂ˝ právnĂ<br></div>
<div>akt. Pokud je právnĂm aktem - dostateÄŤnĂ˝m pro úřad - ÄŤlenstvĂ v vpsfree,<br></div>
<div>tak je asi všechno v poho. (<a href="http://www.privacy-regulation.eu/cs/28.htm">http://www.privacy-regulation.eu/cs/28.htm</a>)<br></div>
<div>Pokud ne, tak je problém.<br></div>
<div><br></div>
<div>Jinak teda<br></div>
<div><br></div>
<div>> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma<br></div>
<div>zodpovednost, best practices v ohledu bezpecnosti davno sleduje.<br></div>
<div><br></div>
<div>Co kdyĹľ to nevĂ, nebo na to dlabe? :-)<br></div>
<div><br></div>
<div><br></div>
<div>Pavel Snajdr wrote:<br></div>
<blockquote><div>Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v DB, kam ty PHP spagety vidi.<br></div>
<div><br></div>
<div>A co ted s tim, vypneme to vsehno? ;)<br></div>
<div><br></div>
<div>Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad tim clovek zamysli, zasifrovat vsechno taky neni reseni.<br></div>
<div><br></div>
<div>Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu nosit klicenku s trhavinou na flashkach, mame vymluvu, proc plosne nasadit sifrovani, proc se nam nepujde dostat do racku neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno chraneny (tj. abys nam fakt nechtel otevrit ten rack).<br></div>
<div><br></div>
<div>Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak muzem nase systemy postupne posouvat vic smerem plausible deniability, tj. soukromi je level jedna, level nuda, ale co nam to umozni je ochranit i adminy pred tim, aby vedeli, co clen bezi.<br></div>
<div><br></div>
<div>Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni bez toho, aby to vypadalo, jako kdyz se chystame hostovat tunu detskyho porna a lokalni pobocku CIA. Jenom to nebude vsehno hned - a nektery levely zabezpeceni na sharovanym hardwaru ani nepujde udelat.<br></div>
<div><br></div>
<div>Chci:<br></div>
<div><br></div>
<div>- sifrovani v ZoL<br></div>
<div>- aby clen mel moznost klic per dataset neulozit, ale zadat si ho sam pres bezpecny kanal (ssh/https api call)<br></div>
<div>- monitoring otevreni racku co bez nahlaseni predem donuti masiny smazat klice z RAM<br></div>
<div><br></div>
<div>Ale tohle je furt malo, pokud admini nemaji vedet, co clen bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam nepomuze, takze resim, jak zahostovat single board desky pro cleny, kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.<br></div>
<div><br></div>
<div>Ve finale:<br></div>
<div><br></div>
<div>- budes mit moznost data na VPS sifrovat svymi hesly, ktera se u nas nebudou ukladat (prusvih je, ze my nemame jak dokazat, ze jsme to nikde neulozili)<br></div>
<div><br></div>
<div>- pri neautorizovanym pristupu do racku se klice smaznou, to samy pri rebootu/resetu a je pak na tobe zvazit, jestli je OK data uz odemknout<br></div>
<div><br></div>
<div>- budes mit moznost nejcitlivejsi data vysoupnout vedle po siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do budoucna RISC-V<br></div>
<div><br></div>
<div>Problem nastava, kdyz s adminkem pujde do datacentra nekdo sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak admin nema moznost ani nejak kliknout smazani klicu, nebo aspon nejakej counter na webu ve smyslu kanarka, ktery bude pocitat pocet podobnych incidentu.<br></div>
<div><br></div>
<div>Shared computing ma svoje limity, bohuzel, jestli sledujes, kam tim mirim.<br></div>
<div><br></div>
<div>GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do budoucna nam dava zaminku jit na to vic z husta, co se soukromi tyce.<br></div>
<div><br></div>
<div>Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem? Nemuze, at si stezuje v Bruselu.<br></div>
<div><br></div>
<div>Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne to papirovani. V druhy vlne se musime zbavit nedostacujiciho OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi bezpecnostni politiku - a je odspoda nahoru cely podepsany a verifikovatelny.<br></div>
<div><br></div>
<div>/snajpa<br></div>
<div><br></div>
<blockquote><div>On 30 Jan 2018, at 23:41, Jaroslav Skrivan <<a href="mailto:skrivy@skrivy.net">skrivy@skrivy.net</a>> wrote:<br></div>
<div><br></div>
<div>Jenom moje osobni zkusenost - odnest si cizi disky z datacentra neni zas takovy problem, jak se na prvni pohled muze zdat.<br></div>
<div>From: Pavel Snajdr<br></div>
<div>Sent: ‎1/‎30/‎2018 10:49 PM<br></div>
<div>To: vpsFree.cz Community list<br></div>
<div>Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR<br></div>
<div><br></div>
<div>Ahoj,<br></div>
<div><br></div>
<div>GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.<br></div>
<div><br></div>
<div>Podivej se, co bezime za procesory.<br></div>
<div><br></div>
<div>Jak ma nekdo neco v takovym stavu vubec industry-wide za neco rucit?<br></div>
<div><br></div>
<div>Za mne je GDPR o tom a pouze o tom, ze musime podepsat papir s lidmi, co maji admin pristupy, aby acknuli oficialne svoji zodpovednost.<br></div>
<div><br></div>
<div>V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle posledni zkusenosti s PCR a PSR jim k identifikaci ani to nemusi stacit...).<br></div>
<div><br></div>
<div>Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.<br></div>
<div><br></div>
<div>Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma zodpovednost, best practices v ohledu bezpecnosti davno sleduje.<br></div>
<div><br></div>
<div>A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to vyresi, tak se rovnou zeptam - a borci, jak se k tomu asi programy na ty masine dostanou? Hint: stejne musi byt data odemcena pri behu. A ze se k nim neco dostane za behu je mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho datacentra nekdo ukradne disky a vycte si neco offline.<br></div>
<div><br></div>
<div>Tedy, muj nazor je, ze vubec neni potreba panikarit a natoz se uchylovat k reseni stylem â€radsi to na vpsFree nedam vubec’. To ty servery muzeme rovnou vypnout totiz - a cely to zabalit s tim, ze jsme se nechali prevalcovat byrokratama.<br></div>
<div><br></div>
<div>/snajpa<br></div>
<div>(Pavel Snajdr)<br></div>
<div>(Predseda vpsFree.cz)<br></div>
<div>(+420 720 107 791)<br></div>
<div><br></div>
<blockquote><div>On 30 Jan 2018, at 22:10, Lukáš JelĂnek - AIKEN <<a href="mailto:lukas@aiken.cz">lukas@aiken.cz</a>> wrote:<br></div>
<div><br></div>
<div>Ahoj,<br></div>
<div><br></div>
<div>pokud si vzpomĂnám, tak nÄ›co podobnĂ©ho uĹľ se Ĺ™ešilo na valnĂ© hromadÄ›<br></div>
<div>(byĹĄ ještÄ› nebylo naĹ™ĂzenĂ GDPR). A situace je v podstatÄ› taková, Ĺľe to<br></div>
<div>asi pĹ™Ăliš Ĺ™ešit nelze, protoĹľe by to pro spolek znamenalo velkou<br></div>
<div>administrativnà zátěž a značný nárůst nákladů.<br></div>
<div><br></div>
<div>ÄŚili asi nejÄŤistšĂm Ĺ™ešenĂm v tuto chvĂli je, nevyuĹľĂvat servery<br></div>
<div>vpsFree.cz k ukládánĂ osobnĂch ĂşdajĹŻ - pĹ™inejmenšĂm do doby, neĹľ se<br></div>
<div>všechny záležitosti vyřešà (a než vůbec vznikne nějaký závazný výklad<br></div>
<div>různých ustanovenà směrnice).<br></div>
<div><br></div>
<div>Lukáš JelĂnek<br></div>
<div><br></div>
<div><br></div>
<div><br></div>
<blockquote><div>Ahoj ve spolek!<br></div>
<div><br></div>
<div>Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR se pomalu ale jistě<br></div>
<div>blĂĹľĂ. BohuĹľel jsem byl, aÄŤ neprávnĂk do tĂ©to problematiky trochu<br></div>
<div>zatlaÄŤen a byly na mÄ› jiĹľ vzneseny dotazy tĂ˝kajĂcĂ se GDPR a vpsFree.<br></div>
<div><br></div>
<div>MyslĂm, si, Ĺľe je nás vĂce, kteřà na VPS máme uloĹľeny nÄ›jakĂ© ty osobnĂ<br></div>
<div>údaje (adresy, emaily, apod.) a skoro všichni máme nějaký ten<br></div>
<div>webserver, kde se logujà IP adresy, které jsou rovněž považovány za<br></div>
<div>osobnĂ Ăşdaje. DĂky tomu jsme z pohledu GDPR povaĹľovánĂ za správce<br></div>
<div>osobnĂch ĂşdajĹŻ. Podle ÄŤlánku 4 GDPR se zpracovanĂm osobnĂch ĂşdajĹŻ<br></div>
<div>rozumĂ takĂ© ukládánĂ osobnĂch ĂşdajĹŻ. Z toho plyne, Ĺľe jakĂ˝koliv<br></div>
<div>poskytovatel cloudových služeb, hostingu, VPS, atd. je vůči správci v<br></div>
<div>postavenĂ zpracovatele osobnĂch ĂşdajĹŻ. ÄŚlánek 28 GDPR potom Ĺ™ešà vztah<br></div>
<div>zpracovatele a správce, kde mj. požaduje nějaký smluvnà vztah mezi<br></div>
<div>nimi. Když to převedu na protředà vpsFree tak členové jsou v podstatě<br></div>
<div>správci osobnĂch ĂşdajĹŻ a vpsFree je zpracovatelem osobnĂch ĂşdajĹŻ.<br></div>
<div><br></div>
<div>MĹŻj dotaz znĂ, zda a jak bylo nebo bude GDPR Ĺ™ešeno na ĂşrovnĂ vpsFree?<br></div>
<div>V podstatÄ› asi jde o to, aby bylo v pĹ™ĂpadÄ› kontroly z UOOĂš moĹľno<br></div>
<div>něčĂm nebo nÄ›jak prokázat, Ĺľe vpsFree je v souladu s GDPR a taky<br></div>
<div>garantuje, Ĺľe data nebudou uloĹľena mimo EU. VěřĂm, Ĺľe v našich Ĺ™adách<br></div>
<div>jsou kompetentnějšà členové v této věci jako já a tak bých rád otevřel<br></div>
<div>diskusi.<br></div>
<div><br></div>
<div>Honza.<br></div>
<div><br></div>
</blockquote><div><br></div>
<div><u>_______________________________________________</u><br></div>
<div>Community-list mailing list<br></div>
<div><a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br></div>
<div><a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br></div>
</blockquote><div><br></div>
<div><u>_______________________________________________</u><br></div>
<div>Community-list mailing list<br></div>
<div><a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br></div>
<div><a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br></div>
<div><u>_______________________________________________</u><br></div>
<div>Community-list mailing list<br></div>
<div><a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br></div>
<div><a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br></div>
</blockquote><div><br></div>
<div><br></div>
<div><br></div>
<div><u>_______________________________________________</u><br></div>
<div>Community-list mailing list<br></div>
<div><a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br></div>
<div><a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br></div>
<div><br></div>
</blockquote><div><u>_______________________________________________</u><br></div>
<div>Community-list mailing list<br></div>
<div><a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br></div>
<div><a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br></div>
</blockquote><div><br></div>
</body></html>