-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Root access na masiny maji (v nijak zvlastnim poradi):
- - ja
- - Tomas Srnka (toms, clen rady)
- - Jakub Skokan (aither, clen kontrolni komise)
- - Jiri Medved (medved, nechce byt v organech, ale vydatne se ucastni
adminovani masin, resi veci jako monitoring apod.)
Admin access do vpsAdminu (tzn. moznost aspon stahnout zalohu) maji
krom root adminu jeste nasledujici:
- - Petr Krcmar (je v kontrolni komisi)
- - Michal Stral (je v rade spolku)
Spolek jako takovy tu odpovednost urcite nest nemuze.
Jestli by stacilo nekde vyjmenovat adminy a donutit je podepsat 'ack'
vuci spolku, ze maji pristup k potencialne citlivym datum a minimalne
aspon to, ze rozumi tomu, ze ty data nemaji aktivne vynaset;
odpovednost za prusvih zpusobeny nejakym (nedejboze 0day) exploitem si
nejsem jisty, jestli by bylo fer prenaset.
Ale IMHO kdyz to nekdo chce resit az na takovou uroven, at si poridi
svuj hardware, na softwarove virtualizaci to ani vyresit nejde.
Prislo by tohle jako reseni dostacujici? Myslim, ze dal uz se jit asi
moc neda (+-). Ale asi lepsi, nez nic.
/snajpa
On 07/14/2015 02:42 PM, petr(a)juhanak.cz wrote:
Ahoj,
mozna prekvapim, ale tento pristup chapu.
Co se tyce technicke bezpecnosti, tak nase VPSky muzou byt daleko
lepe spravovane a chranene, nez u jinych spolecnosti nabizejici
komercni VPS. Jak rika Pavel, zadna papiorva opicarna toto
nevylepsi.
Podstata je ale nekde jinde.
Pokud ma nekdo superadmin pristup a nevede se evidence/log zaznamy
pristupu k VPS/supervizoru a nikde neni deklarovano, ze tento
clovek bude dodrzovat mlcenlivost, dale nebude pristupovat k datum
umyslne nebo neumyslne behem vykonu sve prace administratora
nema-li k tomu dovod....tak ma zakonite clen, ktery vyuziva VPSku
pro zpracovani osobnich dat, problem se zakonem, protoze si s
dodavatelem neuzavrel toto ujednani.
Clen tedy potrebuje jen ten papir, ktery pak ukaze uradu, ze
vynalozil dostatecne velke usili.
Lidsky receno, superadmin si musi uvedomit, ze jeho jednani muze
nekoho vyznamne poskodit, nema zneuzivat jeho prav a nema v hospode
tlachat o tom, co videl a to i po ukonceni clenstvi clena - po
nejakou rozumnou dobu. Nepredpokladam, ze by se nekdo chtel finance
na superadminovi hojit, ostatne by to asi tezko prokazoval.
Je mi celkem jedno, jak tato diskuze dopadne, protože si budu muset
nějak poradit. Nevím kolik superadminů máme, protože patřím mezi ty
pasivní členy. Věřím však, že tato diskuze pomůže znovu zvážit zda
zavedený přístup je správný a proč to tak je.
S pozdravem Petr Juhaňák
Ahoj,
budu uplne uprimny - tahle diskuze je z principu nesmyslna, spolek
nemuze nest odpovednost za cleny, odpovednost za data je na nich.
Nevidim v tom problem, je to stejne jako v pripade SLA, uz vidim,
jak to z toho Wedosu budes soudit a vysoudis, kdyz stejne, pokud ty
data leaknou, to bude s nejvetsi pravdepodobnosti zanedbani na
prvni instanci admina - tzn. toho admina VPS. Proste pravnicka
blbost na Ntou, v realnem svete uz vidim, jak to cele bude krasne
fungovat na zaklade jednoho OK od pravnika "ze takhle to ve smlouve
staci".
Mne prijde diskuze na tohle tema zbytecna, aneb s pravnicinou,
prelejvanim zodpovednosti a posouvanim horkeho bramboru - aspon za
mnou - prosim nechodte. Je na kazdem zvazeni jeho rizik. :)
Ja se radsi budu starat o to, aby ty masiny byly realne technicky
co nejbezpecnejsi. Papirovacky resit, to ne-e.
/snajpa
On 07/14/2015 07:43 AM, Stanislav Kocanda wrote:
>
Ahoj,
>
> doufal jsem, Ĺže se na tohle objevĂ nÄjakĂĄ odpovÄÄ,
> protoĹže mÄ to takĂŠ hodnÄ zajĂmĂĄ. KdyĹž jsme to kdysi
> dĂĄvno s firmou kvĹŻli jednomu klientovi ĹeĹĄili, tak mi
> bylo ze strany VPSFree ĹeÄeno, Ĺže by museli mĂt se mnou
> podepsanĂ˝ nÄjakĂ˝ papĂr, Ĺže to by jako Ĺžejo bylo
> sloĹžitĂŠ a Ĺže tam vĹĄichni majĂ na serverech mnohem
> citlivÄjĹĄĂ data a Ĺže se tĂm nemĂĄm trĂĄpit...
>
> Nakonec jsem pro klienta zvolil server u Wedosu, kde majĂ v
> obchodnĂch podmĂnkĂĄch vĂ˝slovnÄ uvedenou ochranu
> informacĂ a ochranu osobnĂch ĂşdajĹŻ, coĹž prĂĄvnĂk
> vyhodnotil jako dostateÄnĂŠ zajiĹĄtÄnĂ...
>
> TĹeba se od tĂŠ doby nÄco zmÄnilo? :)
>
> DĂky, pÄknĂ˝ den vĹĄem!
>
> Stanislav Kocanda
>
> Dne 30.6.2015 13:49, petr(a)juhanak.cz napsal:
>
>> Ahoj vĹĄem,
>>
>> rĂĄd bych s VĂĄmi probral jeden z legislativnĂch
>> poŞadavků, se kterým se můŞete takÊ setkat.
>>
>> Ti z VĂĄs, co provozujĂ eshopy a registrovali se na
>> ĂşĹadÄ pro ochranu osobnĂch ĂşdajĹŻ jako sprĂĄvci
>> osobnĂch ĂşdajĹŻ, jistÄ jste ĹeĹĄili analĂ˝zu rizik a
>> ochranĂĄ opatĹenĂ zĂĄkona na ochranu osobnĂch ĂşdajĹŻ
>> 101/2000 Sb. v paragrafu 13.
>>
>> Pokud uchovĂĄvĂĄme osobnĂ Ăşdaje (napĹ. Ăşdaje o
>> objednĂĄvkĂĄch) na serverech VPSFree, posuzuje se zde takĂŠ
>> riziko kontroly pĹĂstupu k datĹŻm pĹĂmo na serveru
>> superadminem.
>>
>> Chci se zeptat, zda existuje nÄjakĂ˝ smluvnĂ dokument,
>> kterĂ˝ by ĹeĹĄil kontrolu pĹĂstupu, sledovĂĄnĂ
>> pĹidÄlenĂ super oprĂĄvnÄnĂ, auditovatelnost a zĂĄvazek
>> mlÄenlivosti. JedinĂ˝ dokument, kterĂ˝ jsem nalezl byly
>> stanovy a informaci, Ĺže mezi Äleny jsou i prĂĄvnickĂŠ
>> osoby/firmy. MoĹžnĂĄ jsem, nÄco pĹehlĂŠdl.
>>
>> Technicky lze samozĹejmnÄ situaci ĹeĹĄit ĹĄifrovĂĄnĂm
>> dat (pokud se nÄkomu nepodaĹĂ najĂt klĂÄe v pamÄti)
>> nebo data ze serveru odsuout co nejrychleji pryÄ. Budu
>> rĂĄd, kdyĹž se podÄlĂte o svoje zkuĹĄenosti z realizace
>> opatĹenĂ.
>>
>> VĂm, Ĺže sdruĹženĂ radÄji ĹeĹĄĂ technickĂŠ problĂŠmy,
>> ale postihy za poruĹĄenĂ tĂŠto povinosti jsou docela
>> likvidaÄnĂ, zejmĂŠna jste-li podnikatel ruÄĂcĂ
>> veĹĄkerĂ˝m svĂ˝m majetkem. PĹedpoklĂĄdĂĄm, Ĺže Ĺada
>> ÄlenĹŻ jiĹž nÄjakĂŠ weby, kterĂŠ jsou relevatnĂ k
>> zĂĄkonu 101 provozujĂ.
>>
>> DÄkuji za nĂĄzory k diskuzi.
>>
>> HezkĂ˝ den.
>>
>> S pozdravem Petr JuhaĹĂĄk
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list(a)lists.vpsfree.cz
>> <mailto:Community-list@lists.vpsfree.cz>
>>
http://lists.vpsfree.cz/listinfo/community-list
>
>
> _______________________________________________
> Community-list mailing list Community-list(a)lists.vpsfree.cz
>
http://lists.vpsfree.cz/listinfo/community-list
>
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
iF4EAREIAAYFAlWlBeAACgkQgRwOVqYrsFUovQD/fCZJeOor51EHniGmDwWn8VGL
W6XhV9S4FpHjNRn2SbIBAI3sOmuFqPgpSYRGh2XdW1my0xNlad0fo+YulSvNein6
=JZ6I
-----END PGP SIGNATURE-----