14 Jul
2015
14 Jul
'15
12:53 p.m.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
On 07/14/2015 02:51 PM, Pavel Snajdr wrote:
Root access na masiny maji (v nijak zvlastnim
poradi):
- ja - Tomas Srnka (toms, clen rady) - Jakub Skokan (aither, clen
kontrolni komise) - Jiri Medved (medved, nechce byt v organech, ale
vydatne se ucastni adminovani masin, resi veci jako monitoring
apod.)
Admin access do vpsAdminu (tzn. moznost aspon stahnout zalohu)
maji krom root adminu jeste nasledujici:
- Petr Krcmar (je v kontrolni komisi)
- Michal Stral (je v rade spolku)
A samozrejme jeste (sry):
- - Michal Janousek (kerry, je v kontrolni komisi ponovu a stara se o
fakturaci/platby)
Spolek jako takovy tu odpovednost urcite nest nemuze.
Jestli by stacilo nekde vyjmenovat adminy a donutit je podepsat
'ack' vuci spolku, ze maji pristup k potencialne citlivym datum a
minimalne aspon to, ze rozumi tomu, ze ty data nemaji aktivne
vynaset; odpovednost za prusvih zpusobeny nejakym (nedejboze 0day)
exploitem si nejsem jisty, jestli by bylo fer prenaset. Ale IMHO
kdyz to nekdo chce resit az na takovou uroven, at si poridi svuj
hardware, na softwarove virtualizaci to ani vyresit nejde.
Prislo by tohle jako reseni dostacujici? Myslim, ze dal uz se jit
asi moc neda (+-). Ale asi lepsi, nez nic.
/snajpa
On 07/14/2015 02:42 PM, petr(a)juhanak.cz wrote:
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
iF4EAREIAAYFAlWlBlMACgkQgRwOVqYrsFUl2AD/doFfMlnkQURhK53h0TBPi+2j
3yIJvaa06sQrqfYJu7EBANY14Y1en0lbBfl5HPjtfB3if06AmP/IKpIhkhBVmUWU
=7J5u
-----END PGP SIGNATURE-----
Ahoj,
mozna prekvapim, ale tento pristup chapu.
Co se tyce technicke bezpecnosti, tak nase VPSky
muzou byt daleko
lepe spravovane a chranene, nez u jinych spolecnosti nabizejici
komercni VPS. Jak rika Pavel, zadna papiorva opicarna toto
nevylepsi.
Podstata je ale nekde jinde.
Pokud ma nekdo superadmin pristup a nevede se
evidence/log
zaznamy pristupu k VPS/supervizoru a nikde neni deklarovano, ze
tento clovek bude dodrzovat mlcenlivost, dale nebude pristupovat
k datum umyslne nebo neumyslne behem vykonu sve prace
administratora nema-li k tomu dovod....tak ma zakonite clen,
ktery vyuziva VPSku pro zpracovani osobnich dat, problem se
zakonem, protoze si s dodavatelem neuzavrel toto ujednani.
Clen tedy potrebuje jen ten papir, ktery pak
ukaze uradu, ze
vynalozil dostatecne velke usili.
Lidsky receno, superadmin si musi uvedomit, ze
jeho jednani muze
nekoho vyznamne poskodit, nema zneuzivat jeho prav a nema v
hospode tlachat o tom, co videl a to i po ukonceni clenstvi clena
- po nejakou rozumnou dobu. Nepredpokladam, ze by se nekdo chtel
finance na superadminovi hojit, ostatne by to asi tezko
prokazoval.
Je mi celkem jedno, jak tato diskuze dopadne,
protože si budu
muset nějak poradit. Nevím kolik superadminů máme, protože patřím
mezi ty pasivní členy. Věřím však, že tato diskuze pomůže znovu
zvážit zda zavedený přístup je správný a proč to tak je.
S pozdravem Petr Juhaňák
Ahoj,
budu uplne uprimny - tahle diskuze je z principu
nesmyslna,
spolek nemuze nest odpovednost za cleny, odpovednost za data je
na nich.
Nevidim v tom problem, je to stejne jako v
pripade SLA, uz vidim,
jak to z toho Wedosu budes soudit a vysoudis, kdyz stejne, pokud
ty data leaknou, to bude s nejvetsi pravdepodobnosti zanedbani na
prvni instanci admina - tzn. toho admina VPS. Proste pravnicka
blbost na Ntou, v realnem svete uz vidim, jak to cele bude krasne
fungovat na zaklade jednoho OK od pravnika "ze takhle to ve
smlouve staci".
Mne prijde diskuze na tohle tema zbytecna, aneb s
pravnicinou,
prelejvanim zodpovednosti a posouvanim horkeho bramboru - aspon
za mnou - prosim nechodte. Je na kazdem zvazeni jeho rizik. :)
Ja se radsi budu starat o to, aby ty masiny byly
realne technicky
co nejbezpecnejsi. Papirovacky resit, to ne-e.
/snajpa
> On 07/14/2015 07:43 AM, Stanislav Kocanda wrote:
>>> Ahoj,
>>>>
>>>> doufal jsem, Ĺže se na tohle objevĂ nÄjakĂĄ odpovÄÄ,
>>>> protoĹže mÄ to takĂŠ hodnÄ zajĂmĂĄ. KdyĹž jsme to kdysi
>>>> dĂĄvno s firmou kvĹŻli jednomu klientovi ĹeĹĄili, tak mi
>>>> bylo ze strany VPSFree ĹeÄeno, Ĺže by museli mĂt se
>>>> mnou podepsanĂ˝ nÄjakĂ˝ papĂr, Ĺže to by jako Ĺžejo bylo
>>>> sloĹžitĂŠ a Ĺže tam vĹĄichni majĂ na serverech mnohem
>>>> citlivÄjĹĄĂ data a Ĺže se tĂm nemĂĄm trĂĄpit...
>>>>
>>>> Nakonec jsem pro klienta zvolil server u Wedosu, kde majĂ
>>>> v obchodnĂch podmĂnkĂĄch vĂ˝slovnÄ uvedenou ochranu
>>>> informacĂ a ochranu osobnĂch ĂşdajĹŻ, coĹž prĂĄvnĂk
>>>> vyhodnotil jako dostateÄnĂŠ zajiĹĄtÄnĂ...
>>>>
>>>> TĹeba se od tĂŠ doby nÄco zmÄnilo? :)
>>>>
>>>> DĂky, pÄknĂ˝ den vĹĄem!
>>>>
>>>> Stanislav Kocanda
>>>>
>>>> Dne 30.6.2015 13:49, petr(a)juhanak.cz napsal:
>>>>
>>>>> Ahoj vĹĄem,
>>>>>
>>>>> rĂĄd bych s VĂĄmi probral jeden z legislativnĂch
>>>>> poŞadavků, se kterým se můŞete takÊ setkat.
>>>>>
>>>>> Ti z VĂĄs, co provozujĂ eshopy a registrovali se na
>>>>> ĂşĹadÄ pro ochranu osobnĂch ĂşdajĹŻ jako sprĂĄvci
>>>>> osobnĂch ĂşdajĹŻ, jistÄ jste ĹeĹĄili analĂ˝zu rizik a
>>>>> ochranĂĄ opatĹenĂ zĂĄkona na ochranu osobnĂch ĂşdajĹŻ
>>>>> 101/2000 Sb. v paragrafu 13.
>>>>>
>>>>> Pokud uchovĂĄvĂĄme osobnĂ Ăşdaje (napĹ. Ăşdaje o
>>>>> objednĂĄvkĂĄch) na serverech VPSFree, posuzuje se zde
>>>>> takĂŠ riziko kontroly pĹĂstupu k datĹŻm pĹĂmo na
>>>>> serveru superadminem.
>>>>>
>>>>> Chci se zeptat, zda existuje nÄjakĂ˝ smluvnĂ dokument,
>>>>> kterĂ˝ by ĹeĹĄil kontrolu pĹĂstupu, sledovĂĄnĂ
>>>>> pĹidÄlenĂ super oprĂĄvnÄnĂ, auditovatelnost a
>>>>> zĂĄvazek mlÄenlivosti. JedinĂ˝ dokument, kterĂ˝ jsem
>>>>> nalezl byly stanovy a informaci, Ĺže mezi Äleny jsou i
>>>>> prĂĄvnickĂŠ osoby/firmy. MoĹžnĂĄ jsem, nÄco pĹehlĂŠdl.
>>>>>
>>>>> Technicky lze samozĹejmnÄ situaci ĹeĹĄit ĹĄifrovĂĄnĂm
>>>>> dat (pokud se nÄkomu nepodaĹĂ najĂt klĂÄe v
>>>>> pamÄti) nebo data ze serveru odsuout co nejrychleji
>>>>> pryÄ. Budu rĂĄd, kdyĹž se podÄlĂte o svoje zkuĹĄenosti
>>>>> z realizace opatĹenĂ.
>>>>>
>>>>> VĂm, Ĺže sdruĹženĂ radÄji ĹeĹĄĂ technickĂŠ
>>>>> problĂŠmy, ale postihy za poruĹĄenĂ tĂŠto povinosti jsou
>>>>> docela likvidaÄnĂ, zejmĂŠna jste-li podnikatel
>>>>> ruÄĂcĂ veĹĄkerĂ˝m svĂ˝m majetkem. PĹedpoklĂĄdĂĄm, Ĺže
>>>>> Ĺada ÄlenĹŻ jiĹž nÄjakĂŠ weby, kterĂŠ jsou relevatnĂ
>>>>> k zĂĄkonu 101 provozujĂ.
>>>>>
>>>>> DÄkuji za nĂĄzory k diskuzi.
>>>>>
>>>>> HezkĂ˝ den.
>>>>>
>>>>> S pozdravem Petr JuhaĹĂĄk
>>>>>
>>>>> _______________________________________________
>>>>> Community-list mailing list
>>>>> Community-list(a)lists.vpsfree.cz
>>>>> <mailto:Community-list@lists.vpsfree.cz>
>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>
>>>>
>>>> _______________________________________________
>>>> Community-list mailing list Community-list(a)lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>
>> _______________________________________________ Community-list
>> mailing list Community-list(a)lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
_______________________________________________
Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list