31 Jan
2018
31 Jan
'18
8:15 p.m.
Cauko Honzo,
diky za obsahlou odpoved.
Co mi neni jasny:
musime mit explicitni smlouvu s kazdym clenem, pokud rada spolku proste
vyda potreba narizeni/opatreni v ramci soucasnych organizacnich radu
spolku?
Tj. proste to bude platit pro vsechny cleny naprosto stejne, ze:
- data jsou na specifikovanych mistech viz dokumentace infrastruktury na
wiki
- k datum maji pristup specifikovane osoby viz dokumentace na wiki
- k datum ma potencialne, ale ne primo ani vyslovne pristup subdodavatel
(Master Internet)
- lidi s pristupem k datum maji pridanou motivaci neskodit pomoci nejake
hmotne zodpovednosti/NDA, kde se specifikuje, za co a proc maji
zodpovednost (root access, vpsAdmin-level access).
A vymalovano, plus minus par drobnosti - tak si to jednoduse
predstavuju.
Nebo to neni tak jednoduche?
Pokud ne, proc?
Jak konkretne to poresilo FORPSI?
A jinak, kdyby prislo tvrde na tvrde, za co, pekne prosim, muzeme dostat
pokutu zrovna my, transparentni organizace, pokud:
- seznam lidi, co maji pristupy, mame uz daavno verejny
- umisteni dat - je verejne od zacatku
- pouzite technologie jsou publikovane od zacatku
- primo ve stanovach mame, ze o citlivych datech ma rada i kontrolni
komise zachovavat mlcenlivost
V cem konkretne nejsme pripraveni, kdyz se teda budem bavit o nejake
dokazatelnosti toho, ze nejsme pripraveni, pripadne u soudu?
Za co muzem dostat pokutu, kdyz rizika mame takhle jasne popsana davno,
kazdy je (doufam) chape (jako kde jsou masiny, kdo ma pristup, co to
znamena bezet na sdilenem HW... co to znamena bezet ve sdilenem
datacentrum). Vzdyt to pisem vsude od zacatku, jak co delame.
Prosim, moc pekne prosim, lidi, dejte mi proti tomu neco konkretnejsiho
nez "IMHO" nazory motivovane strachem z byrokratu. Nepodelal jsem se
zatim z financniho uradu, nepodelam se na svoji zodpovednost ani z GDPR,
jenom musim vedet absolutne presne, s cim mam tu cest, abych si to "na
svoji hubu" umel obhajit.
Ucetniho jsem pro vpsFree taky hledal podle toho, aby stal za nami, ze
to co delame, proste *NENI* podnikani a stojim si za tim a stat budu u
soudu, pokud na to nekdy prijde.
Obdobny pristup bych rad praktikoval ohledne GDPR, prosim linkujte
relevantni info, proc to neni, jak si myslim, proc si myslim kraviny.
Tedy, idealni endgame je ne, ze se nas zpracovani nijak netyka, ale ze
co delame, je dostatecne transparentni a je dostatecne dohledatelna
zodpovednost uz ted, aniz by bylo v podstate potreba cokoliv menit.
Diky moc za feedback ;)
/snajpa
On 2018-01-31 20:46, Ing. Jan Dvořák wrote:
Ahoj!
IMHO to co je ve stanovách rozhodně stačit nebude. Nechci teď řešit
členskou evidenci, apod. To je další věc k řešení, ale teď začnu
trochu ze široka. Poskytování VPS je služba IaaS (infrastruktura jako
služba). vpsFree, jako ten kdo tuto službu poskytuje je dle GDPR
zpracovatelem osobních údajů. To jestli má přístup k osobním údajům
členů na VPS nebo ne není rozhodující. Pokud vpsFree nebude mít
smluvní ujednání se správci (členy) tak může být považován přímo za
správce sám. Toto vše je novinka GDPR. Doposud se na tyto zpracovatele
legislativa v oblasti osobních údajů nevztahovala nebo se dala obejít.
Takže vpsFree má IMHO dvě možnosti. Buď jasně deklaruje, že poskytnutá
VPS jsou pouze pro osobní potřebu a zakáže členům zpracovávat na VPS
jakékoliv osobní údaje. Tím pádem nebude muset řešit žádné GDPR, což
ale bude znamenat odchod členů, na které se GDPR vztahuje. Nebo bude
muset s každým členem, který bude na VPS zpracovávat osobní údaje
uzavřít zpracovatelskou smlouvu. GDPR poměrně jasně stanovuje co
taková smlouva má obsahovat a tak jen heslovitě:
- předmět a trvání zpracování
- povaha a účel zpracování
- typ osobních údajů a kategorii subjektů údajů
- povinnosti a práva správce
- povinnosti zpracovatele (zpracování osobní údajů jen na základě
dokumentovaných pokynů správce, zajistit důvěrnost, přijmout vhodná
bezpečnostní opatření)
Co z toho by se vztahovalo na smlouvu mezi vpsFree a členem, to je
otázka na právníka. Dokázal bych si představit, že členové s takovou
smlouvou by mohli mít třeba o něco vyšší členský poplatek, aby se
pokryly vícenáklady
Termín účinnosti se pomalu ale jistě blíží. Ve firmách se provádí
různé audity a je třeba aby vpsFree co nejdříve jasně deklarovalo jak
se ke GDPR postaví, aby Ti členové, kterých se to týká (bohužel jsem
to i já) se mohli zařídit.
Tento problém budou řešit všichni poskytovatelé hostingu, VPS,
cloudových služeb. V ČR je situace zatím tristní, zatím toto nikdo
neřešil, jedině FORPSI, co jsem viděl se k tomu zatím nějak postavili.
Co jsem tak sondoval v zahraničí tak úplně připraveny jsou jen ti
největší (Microsoft, Amazon, apod.) a ti menší se postupně připravují.
Nicméně ke změnám v Service Agreementech v souvislosti s GDPR určitě
bude docházet.
Je třeba si taky říct, že s GDPR také přichází jedna zásadní změna.
Doposud porušení zákona správcem musel prokazovat úřad, ale s GDPR je
to naopak. Správce je ten, který musí prokazovat, že nic neporušil.
A malá poznámka na závěr, jak zaznělo na jednom semináři. Největším
rizikem GDPR není vlastní nařízení, úřady, kontroly, pokuty apod.
Největším rizikem jsou lidé. Díky mediální masáži a bublině se může
objevit spoustu trollů, kteří díky GDPR dostanou do ruky jednoduchou
možnost škodit.
Honza.
Dne 31.1.2018 v 08:12 zd nex napsal(a):
Ahojte,
také si tu směrnici vykládám tak, že každý člen musí za data na VPS
zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že
je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně
o to, jestli stačí to co je ve stanovách - či jestli nějak bude také
potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho daty) a
vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo ve
stanovách - že jsou zde admini a následně jednotlivý členové co
pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by nemělo
být nutné nic měnit, kromě té specifikace - kdo a jaký má přístup k
VPS a jakou zodpovědnost (plnou).
-- S pozdravem,
Zdeněk Dlauhý
Email:support@pripravto.cz <mailto:support@pripravto.cz>
Mobil: +420 702 549 370
Web: www.pripravto.cz <http://www.pripravto.cz>
Dne 31. ledna 2018 6:21 Petr Juhaňák <petr(a)juhanak.cz
<mailto:petr@juhanak.cz>> napsal(a):
Je to tak jak rika Jirka.
VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere
eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou
a
hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka
nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni
dokumenty typu informovane souhlasy.
To same si udelaji clenove ale v jinem ramci, uz na urovni jejich
provozovane technologie php eshopy a podobne a zase seznam
opatreni,
proces kdyz nekdo odvola souhlas se zpracovanim, seznam opatreni.
To jsou veci ktere si kazdy muze pripravit uz ted.
Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je
mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o
technickem
svete.
S pozdravem
Petr Juhaňák
petr(a)juhanak.cz <mailto:petr@juhanak.cz> | +420 739 639 132
<tel:+420%20739%20639%20132>
-------- Původní zpráva --------
Od: Jindřich Sadílek <jindrich.sadilek(a)gmail.com
<mailto:jindrich.sadilek@gmail.com>>
Datum: 31.01.18 1:41 (GMT+01:00)
Komu: community-list(a)lists.vpsfree.cz
<mailto:community-list@lists.vpsfree.cz>
Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela
jiná
pak jendotliví správci vlastních žiletek.
Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a
pošlete semtam email, natož považovatelný za reklamní? Jste v tom
až
po uši...
Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:
--
Ing. Jan Dvorak
****************************************
Ing. Jan Dvorak
Fischerova 690/23
779 00 Olomouc, Nove Sady
Czech Republic
****************************************
Tel: +420-603 444 240
E-mail: jan.dvorak(a)dvorak-sw.com
Web: http://www.dvorak-sw.com
****************************************
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Problém je, že tohle všechno řeší technické
věci, které udělat
chceš,
ale neřeší to chybějící papíry, které potřebuješ pro úřad.
Jasně, v oboru "no tak nám procesory trochu leakujou paměť,
hlavně že
jsem náhodou včas prodal akcie" nějakou skutečnou ochranu
osobních
údajů
v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti
vymysleli
směrnici na ochranu osobních údajů, takže se osobní údaje chrání
tak,
jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to
nesmysl!" nic nezachrání.
Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný
právní
akt. Pokud je právním aktem - dostatečným pro úřad - členství v
vpsfree,
tak je asi všechno v poho.
(http://www.privacy-regulation.eu/cs/28.htm
<http://www.privacy-regulation.eu/cs/28.htm>)
Pokud ne, tak je problém.
Jinak teda
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Ja v tom vidim mnoho povyku pro nic, ajtak, ktery
vi, jakou ma
zodpovednost, best practices v ohledu bezpecnosti davno sleduje.
Co když to neví, nebo na to dlabe? :-)
Pavel Snajdr wrote:
Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez
zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou
PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v
DB, kam ty PHP spagety vidi.
A co ted s tim, vypneme to vsehno? ;)
Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad
tim clovek zamysli, zasifrovat vsechno taky neni reseni.
Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu
nosit klicenku s trhavinou na flashkach, mame vymluvu, proc
plosne nasadit sifrovani, proc se nam nepujde dostat do racku
neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno
chraneny (tj. abys nam fakt nechtel otevrit ten rack).
Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak
muzem nase systemy postupne posouvat vic smerem plausible
deniability, tj. soukromi je level jedna, level nuda, ale co
nam to umozni je ochranit i adminy pred tim, aby vedeli, co
clen bezi.
Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni
bez toho, aby to vypadalo, jako kdyz se chystame hostovat
tunu
detskyho porna a lokalni pobocku CIA. Jenom to nebude vsehno
hned - a nektery levely zabezpeceni na sharovanym hardwaru
ani
nepujde udelat.
Chci:
- sifrovani v ZoL
- aby clen mel moznost klic per dataset neulozit, ale zadat
si
ho sam pres bezpecny kanal (ssh/https api call)
- monitoring otevreni racku co bez nahlaseni predem donuti
masiny smazat klice z RAM
Ale tohle je furt malo, pokud admini nemaji vedet, co clen
bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam nepomuze,
takze resim, jak zahostovat single board desky pro cleny,
kteri chteji mit moznost nejcitlivejsi data mit fakt
soukrome.
Ve finale:
- budes mit moznost data na VPS sifrovat svymi hesly, ktera
se
u nas nebudou ukladat (prusvih je, ze my nemame jak dokazat,
ze jsme to nikde neulozili)
- pri neautorizovanym pristupu do racku se klice smaznou, to
samy pri rebootu/resetu a je pak na tobe zvazit, jestli je OK
data uz odemknout
- budes mit moznost nejcitlivejsi data vysoupnout vedle po
siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do
budoucna RISC-V
Problem nastava, kdyz s adminkem pujde do datacentra nekdo
sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak
admin nema moznost ani nejak kliknout smazani klicu, nebo
aspon nejakej counter na webu ve smyslu kanarka, ktery bude
pocitat pocet podobnych incidentu.
Shared computing ma svoje limity, bohuzel, jestli sledujes,
kam tim mirim.
GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do
budoucna nam dava zaminku jit na to vic z husta, co se
soukromi tyce.
Muze nam pak nekdo nadavat, ze delame hosting detskyho porna
a
teroristum, kdyz mame racky obehnany pomalu ziletkovym
dratem?
Nemuze, at si stezuje v Bruselu.
Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne
to papirovani. V druhy vlne se musime zbavit nedostacujiciho
OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
bezpecnostni politiku - a je odspoda nahoru cely podepsany a
verifikovatelny.
/snajpa
On 30 Jan 2018, at 23:41, Jaroslav Skrivan
<skrivy(a)skrivy.net <mailto:skrivy@skrivy.net>> wrote:
Jenom moje osobni zkusenost - odnest si cizi disky z
datacentra neni zas takovy problem, jak se na prvni
pohled
muze zdat.
From: Pavel Snajdr
Sent: 1/30/2018 10:49 PM
To: vpsFree.cz Community list
Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a
GDPR
Ahoj,
GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho
jsou vsichni vyjukani uplne, ale naprosto totalne
zbytecne.
Podivej se, co bezime za procesory.
Jak ma nekdo neco v takovym stavu vubec industry-wide za
neco rucit?
Za mne je GDPR o tom a pouze o tom, ze musime podepsat
papir s lidmi, co maji admin pristupy, aby acknuli
oficialne svoji zodpovednost.
V seznamu clenu uz ted mame jenom nejnutnejsi udaje
(podle
posledni zkusenosti s PCR a PSR jim k identifikaci ani to
nemusi stacit...).
Ve stanovach mame zakotvenou ochranu dat clenu uz od
zacatku.
Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
jakou ma zodpovednost, best practices v ohledu
bezpecnosti
davno sleduje.
A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to
vyresi, tak se rovnou zeptam - a borci, jak se k tomu asi
programy na ty masine dostanou? Hint: stejne musi byt
data
odemcena pri behu. A ze se k nim neco dostane za behu je
mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho
datacentra nekdo ukradne disky a vycte si neco offline.
Tedy, muj nazor je, ze vubec neni potreba panikarit a
natoz se uchylovat k reseni stylem ‘radsi to na vpsFree
nedam vubec’. To ty servery muzeme rovnou vypnout totiz -
a cely to zabalit s tim, ze jsme se nechali prevalcovat
byrokratama.
/snajpa
(Pavel Snajdr)
(Predseda vpsFree.cz)
(+420 720 107 791 <tel:+420%20720%20107%20791>)
On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
<lukas(a)aiken.cz <mailto:lukas@aiken.cz>> wrote:
Ahoj,
pokud si vzpomínám, tak něco podobného už se řešilo
na
valné hromadě
(byť ještě nebylo nařízení GDPR). A situace je v
podstatě taková, že to
asi příliš řešit nelze, protože by to pro spolek
znamenalo velkou
administrativní zátěž a značný nárůst nákladů.
Čili asi nejčistším řešením v tuto chvíli je,
nevyužívat servery
vpsFree.cz k ukládání osobních údajů - přinejmenším
do
doby, než se
všechny záležitosti vyřeší (a než vůbec vznikne
nějaký
závazný výklad
různých ustanovení směrnice).
Lukáš Jelínek
Ahoj ve spolek!
Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR
se pomalu ale jistě
blíží. Bohužel jsem byl, ač neprávník do této
problematiky trochu
zatlačen a byly na mě již vzneseny dotazy
týkající
se GDPR a vpsFree.
Myslím, si, že je nás více, kteří na VPS máme
uloženy nějaké ty osobní
údaje (adresy, emaily, apod.) a skoro všichni
máme
nějaký ten
webserver, kde se logují IP adresy, které jsou
rovněž považovány za
osobní údaje. Díky tomu jsme z pohledu GDPR
považování za správce
osobních údajů. Podle článku 4 GDPR se
zpracovaním
osobních údajů
rozumí také ukládání osobních údajů. Z toho
plyne,
že jakýkoliv
poskytovatel cloudových služeb, hostingu, VPS,
atd. je vůči správci v
postavení zpracovatele osobních údajů. Článek 28
GDPR potom řeší vztah
zpracovatele a správce, kde mj. požaduje nějaký
smluvní vztah mezi
nimi. Když to převedu na protředí vpsFree tak
členové jsou v podstatě
správci osobních údajů a vpsFree je zpracovatelem
osobních údajů.
Můj dotaz zní, zda a jak bylo nebo bude GDPR
řešeno na úrovní vpsFree?
V podstatě asi jde o to, aby bylo v případě
kontroly z UOOÚ možno
něčím nebo nějak prokázat, že vpsFree je v
souladu
s GDPR a taky
garantuje, že data nebudou uložena mimo EU.
Věřím,
že v našich řadách
jsou kompetentnější členové v této věci jako já a
tak bých rád otevřel
diskusi.
Honza.
_________________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
_________________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
_________________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
_________________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
_________________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>