30 Jan
2018
30 Jan
'18
11:09 p.m.
Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez zvednuti my pohodlny zadele,
obzvlast pokud jedes nejakou PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v
DB, kam ty PHP spagety vidi.
A co ted s tim, vypneme to vsehno? ;)
Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad tim clovek zamysli, zasifrovat
vsechno taky neni reseni.
Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu nosit klicenku s trhavinou na
flashkach, mame vymluvu, proc plosne nasadit sifrovani, proc se nam nepujde dostat do
racku neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno chraneny (tj. abys nam
fakt nechtel otevrit ten rack).
Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak muzem nase systemy postupne
posouvat vic smerem plausible deniability, tj. soukromi je level jedna, level nuda, ale co
nam to umozni je ochranit i adminy pred tim, aby vedeli, co clen bezi.
Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni bez toho, aby to vypadalo,
jako kdyz se chystame hostovat tunu detskyho porna a lokalni pobocku CIA. Jenom to nebude
vsehno hned - a nektery levely zabezpeceni na sharovanym hardwaru ani nepujde udelat.
Chci:
- sifrovani v ZoL
- aby clen mel moznost klic per dataset neulozit, ale zadat si ho sam pres bezpecny kanal
(ssh/https api call)
- monitoring otevreni racku co bez nahlaseni predem donuti masiny smazat klice z RAM
Ale tohle je furt malo, pokud admini nemaji vedet, co clen bezi. Ani fullvirt ani se
sifrovanou RAM na AMD nam nepomuze, takze resim, jak zahostovat single board desky pro
cleny, kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.
Ve finale:
- budes mit moznost data na VPS sifrovat svymi hesly, ktera se u nas nebudou ukladat
(prusvih je, ze my nemame jak dokazat, ze jsme to nikde neulozili)
- pri neautorizovanym pristupu do racku se klice smaznou, to samy pri rebootu/resetu a je
pak na tobe zvazit, jestli je OK data uz odemknout
- budes mit moznost nejcitlivejsi data vysoupnout vedle po siti na svuj dedikovanej
systemek kalibru ARM Cortex A53, do budoucna RISC-V
Problem nastava, kdyz s adminkem pujde do datacentra nekdo sebedulezitejsi, nez GDRP
byrokrat s kulometem u palice, pak admin nema moznost ani nejak kliknout smazani klicu,
nebo aspon nejakej counter na webu ve smyslu kanarka, ktery bude pocitat pocet podobnych
incidentu.
Shared computing ma svoje limity, bohuzel, jestli sledujes, kam tim mirim.
GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do budoucna nam dava zaminku
jit na to vic z husta, co se soukromi tyce.
Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a teroristum, kdyz mame racky
obehnany pomalu ziletkovym dratem? Nemuze, at si stezuje v Bruselu.
Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne to papirovani. V druhy vlne
se musime zbavit nedostacujiciho OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
bezpecnostni politiku - a je odspoda nahoru cely podepsany a verifikovatelny.
/snajpa
On 30 Jan 2018, at 23:41, Jaroslav Skrivan
<skrivy(a)skrivy.net> wrote:
Jenom moje osobni zkusenost - odnest si cizi disky z datacentra neni zas takovy problem,
jak se na prvni pohled muze zdat.
From: Pavel Snajdr
Sent: 1/30/2018 10:49 PM
To: vpsFree.cz Community list
Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
Ahoj,
GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho jsou vsichni vyjukani uplne,
ale naprosto totalne zbytecne.
Podivej se, co bezime za procesory.
Jak ma nekdo neco v takovym stavu vubec industry-wide za neco rucit?
Za mne je GDPR o tom a pouze o tom, ze musime podepsat papir s lidmi, co maji admin
pristupy, aby acknuli oficialne svoji zodpovednost.
V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle posledni zkusenosti s PCR a
PSR jim k identifikaci ani to nemusi stacit...).
Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.
Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma zodpovednost, best
practices v ohledu bezpecnosti davno sleduje.
A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to vyresi, tak se rovnou zeptam - a
borci, jak se k tomu asi programy na ty masine dostanou? Hint: stejne musi byt data
odemcena pri behu. A ze se k nim neco dostane za behu je mnoooohem pravdepodobnejsi, nez
ze nam z hlidanyho datacentra nekdo ukradne disky a vycte si neco offline.
Tedy, muj nazor je, ze vubec neni potreba panikarit a natoz se uchylovat k reseni stylem
‘radsi to na vpsFree nedam vubec’. To ty servery muzeme rovnou vypnout totiz - a cely to
zabalit s tim, ze jsme se nechali prevalcovat byrokratama.
/snajpa
(Pavel Snajdr)
(Predseda vpsFree.cz)
(+420 720 107 791)
On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
<lukas(a)aiken.cz> wrote:
Ahoj,
pokud si vzpomínám, tak něco podobného už se řešilo na valné hromadě
(byť ještě nebylo nařízení GDPR). A situace je v podstatě taková, že to
asi příliš řešit nelze, protože by to pro spolek znamenalo velkou
administrativní zátěž a značný nárůst nákladů.
Čili asi nejčistším řešením v tuto chvíli je, nevyužívat servery
vpsFree.cz k ukládání osobních údajů - přinejmenším do doby, než se
všechny záležitosti vyřeší (a než vůbec vznikne nějaký závazný výklad
různých ustanovení směrnice).
Lukáš Jelínek
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Ahoj ve spolek!
Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR se pomalu ale jistě
blíží. Bohužel jsem byl, ač neprávník do této problematiky trochu
zatlačen a byly na mě již vzneseny dotazy týkající se GDPR a vpsFree.
Myslím, si, že je nás více, kteří na VPS máme uloženy nějaké ty osobní
údaje (adresy, emaily, apod.) a skoro všichni máme nějaký ten
webserver, kde se logují IP adresy, které jsou rovněž považovány za
osobní údaje. Díky tomu jsme z pohledu GDPR považování za správce
osobních údajů. Podle článku 4 GDPR se zpracovaním osobních údajů
rozumí také ukládání osobních údajů. Z toho plyne, že jakýkoliv
poskytovatel cloudových služeb, hostingu, VPS, atd. je vůči správci v
postavení zpracovatele osobních údajů. Článek 28 GDPR potom řeší vztah
zpracovatele a správce, kde mj. požaduje nějaký smluvní vztah mezi
nimi. Když to převedu na protředí vpsFree tak členové jsou v podstatě
správci osobních údajů a vpsFree je zpracovatelem osobních údajů.
Můj dotaz zní, zda a jak bylo nebo bude GDPR řešeno na úrovní vpsFree?
V podstatě asi jde o to, aby bylo v případě kontroly z UOOÚ možno
něčím nebo nějak prokázat, že vpsFree je v souladu s GDPR a taky
garantuje, že data nebudou uložena mimo EU. Věřím, že v našich řadách
jsou kompetentnější členové v této věci jako já a tak bých rád otevřel
diskusi.
Honza.
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list 
30 Jan
30 Jan
11:30 p.m.
New subject: vpsFree.cz a GDPR
Problém je, že tohle všechno řeší technické věci, které udělat chceš,
ale neřeší to chybějící papíry, které potřebuješ pro úřad.
Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že
jsem náhodou včas prodal akcie" nějakou skutečnou ochranu osobních údajů
v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti vymysleli
směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak,
jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to
nesmysl!" nic nezachrání.
Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný právní
akt. Pokud je právním aktem - dostatečným pro úřad - členství v vpsfree,
tak je asi všechno v poho. (http://www.privacy-regulation.eu/cs/28.htm)
Pokud ne, tak je problém.
Jinak teda
Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
jakou ma
zodpovednost, best practices v ohledu bezpecnosti davno sleduje.
Co když to neví, nebo na to dlabe? :-)
Pavel Snajdr wrote:
Stejne jako oskenovat, co ti tam bezi a dostat se ti
tam bez zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou PHPkovinu a data, ktery
by bylo potreba chranit, jsou primo v DB, kam ty PHP spagety vidi.
A co ted s tim, vypneme to vsehno? ;)
Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad tim clovek zamysli,
zasifrovat vsechno taky neni reseni.
Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu nosit klicenku s trhavinou na
flashkach, mame vymluvu, proc plosne nasadit sifrovani, proc se nam nepujde dostat do
racku neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno chraneny (tj. abys nam
fakt nechtel otevrit ten rack).
Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak muzem nase systemy postupne
posouvat vic smerem plausible deniability, tj. soukromi je level jedna, level nuda, ale co
nam to umozni je ochranit i adminy pred tim, aby vedeli, co clen bezi.
Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni bez toho, aby to vypadalo,
jako kdyz se chystame hostovat tunu detskyho porna a lokalni pobocku CIA. Jenom to nebude
vsehno hned - a nektery levely zabezpeceni na sharovanym hardwaru ani nepujde udelat.
Chci:
- sifrovani v ZoL
- aby clen mel moznost klic per dataset neulozit, ale zadat si ho sam pres bezpecny kanal
(ssh/https api call)
- monitoring otevreni racku co bez nahlaseni predem donuti masiny smazat klice z RAM
Ale tohle je furt malo, pokud admini nemaji vedet, co clen bezi. Ani fullvirt ani se
sifrovanou RAM na AMD nam nepomuze, takze resim, jak zahostovat single board desky pro
cleny, kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.
Ve finale:
- budes mit moznost data na VPS sifrovat svymi hesly, ktera se u nas nebudou ukladat
(prusvih je, ze my nemame jak dokazat, ze jsme to nikde neulozili)
- pri neautorizovanym pristupu do racku se klice smaznou, to samy pri rebootu/resetu a je
pak na tobe zvazit, jestli je OK data uz odemknout
- budes mit moznost nejcitlivejsi data vysoupnout vedle po siti na svuj dedikovanej
systemek kalibru ARM Cortex A53, do budoucna RISC-V
Problem nastava, kdyz s adminkem pujde do datacentra nekdo sebedulezitejsi, nez GDRP
byrokrat s kulometem u palice, pak admin nema moznost ani nejak kliknout smazani klicu,
nebo aspon nejakej counter na webu ve smyslu kanarka, ktery bude pocitat pocet podobnych
incidentu.
Shared computing ma svoje limity, bohuzel, jestli sledujes, kam tim mirim.
GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do budoucna nam dava zaminku
jit na to vic z husta, co se soukromi tyce.
Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a teroristum, kdyz mame
racky obehnany pomalu ziletkovym dratem? Nemuze, at si stezuje v Bruselu.
Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne to papirovani. V druhy vlne
se musime zbavit nedostacujiciho OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
bezpecnostni politiku - a je odspoda nahoru cely podepsany a verifikovatelny.
/snajpa
On 30 Jan 2018, at 23:41, Jaroslav Skrivan
<skrivy(a)skrivy.net> wrote:
Jenom moje osobni zkusenost - odnest si cizi disky z datacentra neni zas takovy problem,
jak se na prvni pohled muze zdat.
From: Pavel Snajdr
Sent: 1/30/2018 10:49 PM
To: vpsFree.cz Community list
Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
Ahoj,
GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho jsou vsichni vyjukani uplne,
ale naprosto totalne zbytecne.
Podivej se, co bezime za procesory.
Jak ma nekdo neco v takovym stavu vubec industry-wide za neco rucit?
Za mne je GDPR o tom a pouze o tom, ze musime podepsat papir s lidmi, co maji admin
pristupy, aby acknuli oficialne svoji zodpovednost.
V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle posledni zkusenosti s PCR a
PSR jim k identifikaci ani to nemusi stacit...).
Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.
Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma zodpovednost, best
practices v ohledu bezpecnosti davno sleduje.
A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to vyresi, tak se rovnou zeptam - a
borci, jak se k tomu asi programy na ty masine dostanou? Hint: stejne musi byt data
odemcena pri behu. A ze se k nim neco dostane za behu je mnoooohem pravdepodobnejsi, nez
ze nam z hlidanyho datacentra nekdo ukradne disky a vycte si neco offline.
Tedy, muj nazor je, ze vubec neni potreba panikarit a natoz se uchylovat k reseni stylem
‘radsi to na vpsFree nedam vubec’. To ty servery muzeme rovnou vypnout totiz - a cely to
zabalit s tim, ze jsme se nechali prevalcovat byrokratama.
/snajpa
(Pavel Snajdr)
(Predseda vpsFree.cz)
(+420 720 107 791)
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
<lukas(a)aiken.cz> wrote:
Ahoj,
pokud si vzpomínám, tak něco podobného už se řešilo na valné hromadě
(byť ještě nebylo nařízení GDPR). A situace je v podstatě taková, že to
asi příliš řešit nelze, protože by to pro spolek znamenalo velkou
administrativní zátěž a značný nárůst nákladů.
Čili asi nejčistším řešením v tuto chvíli je, nevyužívat servery
vpsFree.cz k ukládání osobních údajů - přinejmenším do doby, než se
všechny záležitosti vyřeší (a než vůbec vznikne nějaký závazný výklad
různých ustanovení směrnice).
Lukáš Jelínek
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Ahoj ve spolek!
Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR se pomalu ale jistě
blíží. Bohužel jsem byl, ač neprávník do této problematiky trochu
zatlačen a byly na mě již vzneseny dotazy týkající se GDPR a vpsFree.
Myslím, si, že je nás více, kteří na VPS máme uloženy nějaké ty osobní
údaje (adresy, emaily, apod.) a skoro všichni máme nějaký ten
webserver, kde se logují IP adresy, které jsou rovněž považovány za
osobní údaje. Díky tomu jsme z pohledu GDPR považování za správce
osobních údajů. Podle článku 4 GDPR se zpracovaním osobních údajů
rozumí také ukládání osobních údajů. Z toho plyne, že jakýkoliv
poskytovatel cloudových služeb, hostingu, VPS, atd. je vůči správci v
postavení zpracovatele osobních údajů. Článek 28 GDPR potom řeší vztah
zpracovatele a správce, kde mj. požaduje nějaký smluvní vztah mezi
nimi. Když to převedu na protředí vpsFree tak členové jsou v podstatě
správci osobních údajů a vpsFree je zpracovatelem osobních údajů.
Můj dotaz zní, zda a jak bylo nebo bude GDPR řešeno na úrovní vpsFree?
V podstatě asi jde o to, aby bylo v případě kontroly z UOOÚ možno
něčím nebo nějak prokázat, že vpsFree je v souladu s GDPR a taky
garantuje, že data nebudou uložena mimo EU. Věřím, že v našich řadách
jsou kompetentnější členové v této věci jako já a tak bých rád otevřel
diskusi.
Honza.
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list 
31 Jan
31 Jan
12:41 a.m.
New subject: vpsFree.cz a GDPR
Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela jiná pak
jendotliví správci vlastních žiletek.
Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a
pošlete semtam email, natož považovatelný za reklamní? Jste v tom
až po uši...
Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:
Problém je, že tohle všechno řeší technické věci,
které udělat chceš,> ale neřeší to chybějící papíry, které potřebuješ pro úřad.
Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že> jsem
náhodou včas prodal akcie" nějakou skutečnou ochranu
osobních údajů> v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti
vymysleli> směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak,>
jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to
nesmysl!" nic nezachrání.
Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný právní> akt. Pokud je
právním aktem - dostatečným pro úřad - členství v
vpsfree,> tak je asi všechno v poho.
(http://www.privacy-regulation.eu/cs/28.htm)> Pokud ne, tak je problém.
Jinak teda
Ja v tom vidim mnoho povyku pro nic, ajtak, ktery
vi, jakou ma
zodpovednost, best practices v ohledu bezpecnosti davno sleduje.
Co když to neví, nebo na to dlabe? :-)
Pavel Snajdr wrote:
Stejne jako oskenovat, co ti tam bezi a dostat se
ti tam bez
zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou PHPkovinu
a data, ktery by bylo potreba chranit, jsou primo v DB, kam ty PHP
spagety vidi.>>
A co ted s tim, vypneme to vsehno? ;)
Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad tim
clovek zamysli, zasifrovat vsechno taky neni reseni.>>
Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu nosit
klicenku s trhavinou na flashkach, mame vymluvu, proc plosne nasadit
sifrovani, proc se nam nepujde dostat do racku neautorizovane, aniz
by to neodmazlo klice a neshodilo vsehno chraneny (tj. abys nam fakt
nechtel otevrit ten rack).>>
Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak muzem nase
systemy postupne posouvat vic smerem plausible deniability, tj.
soukromi je level jedna, level nuda, ale co nam to umozni je ochranit
i adminy pred tim, aby vedeli, co clen bezi.>>
Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni bez
toho, aby to vypadalo, jako kdyz se chystame hostovat tunu detskyho
porna a lokalni pobocku CIA. Jenom to nebude vsehno hned - a nektery
levely zabezpeceni na sharovanym hardwaru ani nepujde udelat.>>
Chci:
- sifrovani v ZoL
- aby clen mel moznost klic per dataset neulozit, ale zadat si ho sam
pres bezpecny kanal (ssh/https api call)>> - monitoring otevreni racku co bez
nahlaseni predem donuti masiny
smazat klice z RAM>>
Ale tohle je furt malo, pokud admini nemaji vedet, co clen bezi. Ani
fullvirt ani se sifrovanou RAM na AMD nam nepomuze, takze resim, jak
zahostovat single board desky pro cleny, kteri chteji mit moznost
nejcitlivejsi data mit fakt soukrome.>>
Ve finale:
- budes mit moznost data na VPS sifrovat svymi hesly, ktera se u nas
nebudou ukladat (prusvih je, ze my nemame jak dokazat, ze jsme to
nikde neulozili)>>
- pri neautorizovanym pristupu do racku se klice smaznou, to samy pri
rebootu/resetu a je pak na tobe zvazit, jestli je OK data uz
odemknout>>
- budes mit moznost nejcitlivejsi data vysoupnout vedle po siti na
svuj dedikovanej systemek kalibru ARM Cortex A53, do budoucna
RISC-V>>
Problem nastava, kdyz s adminkem pujde do datacentra nekdo
sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak admin
nema moznost ani nejak kliknout smazani klicu, nebo aspon nejakej
counter na webu ve smyslu kanarka, ktery bude pocitat pocet podobnych
incidentu.>>
Shared computing ma svoje limity, bohuzel, jestli sledujes, kam
tim mirim.>>
GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do
budoucna nam dava zaminku jit na to vic z husta, co se soukromi tyce.>>
Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a
teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem?
Nemuze, at si stezuje v Bruselu.>>
Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne to
papirovani. V druhy vlne se musime zbavit nedostacujiciho OpenVZ,
vpsAdminOS ma podstatne lip ovladatelnejsi bezpecnostni politiku - a
je odspoda nahoru cely podepsany a verifikovatelny.>>
/snajpa
_________________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list On 30 Jan 2018, at 23:41, Jaroslav Skrivan
<skrivy(a)skrivy.net>
wrote:>>>
Jenom moje osobni zkusenost - odnest si cizi disky z datacentra neni
zas takovy problem, jak se na prvni pohled muze zdat.>>> From: Pavel Snajdr
Sent: 1/30/2018 10:49 PM
To: vpsFree.cz Community list
Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
Ahoj,
GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho jsou
vsichni vyjukani uplne, ale naprosto totalne zbytecne.>>>
Podivej se, co bezime za procesory.
Jak ma nekdo neco v takovym stavu vubec industry-wide za neco rucit?>>>
Za mne je GDPR o tom a pouze o tom, ze musime podepsat papir s
lidmi, co maji admin pristupy, aby acknuli oficialne svoji
zodpovednost.>>>
V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle posledni
zkusenosti s PCR a PSR jim k identifikaci ani to nemusi stacit...).>>>
Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.
Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
zodpovednost, best practices v ohledu bezpecnosti davno sleduje.>>>
A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to vyresi, tak se
rovnou zeptam - a borci, jak se k tomu asi programy na ty masine
dostanou? Hint: stejne musi byt data odemcena pri behu. A ze se k
nim neco dostane za behu je mnoooohem pravdepodobnejsi, nez ze nam z
hlidanyho datacentra nekdo ukradne disky a vycte si neco offline.>>>
Tedy, muj nazor je, ze vubec neni potreba panikarit a natoz se
uchylovat k reseni stylem ‘radsi to na vpsFree nedam vubec’. To ty
servery muzeme rovnou vypnout totiz - a cely to zabalit s tim, ze
jsme se nechali prevalcovat byrokratama.>>>
/snajpa
(Pavel Snajdr)
(Predseda vpsFree.cz)
(+420 720 107 791)
_________________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
<lukas(a)aiken.cz>
wrote:>>>>
Ahoj,
pokud si vzpomínám, tak něco podobného už se řešilo na valné
hromadě>>>> (byť ještě nebylo nařízení GDPR). A situace je v podstatě
taková,
že to>>>> asi příliš řešit nelze, protože by to pro spolek znamenalo velkou
administrativní zátěž a značný nárůst nákladů.
Čili asi nejčistším řešením v tuto chvíli je, nevyužívat servery
vpsFree.cz k ukládání osobních údajů - přinejmenším do doby, než se>>>>
všechny záležitosti vyřeší (a než vůbec vznikne nějaký závazný
výklad>>>> různých ustanovení směrnice).
Lukáš Jelínek
> Ahoj ve spolek!
>
> Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR se pomalu ale
> jistě>>>>> blíží. Bohužel jsem byl, ač neprávník do této problematiky
trochu>>>>> zatlačen a byly na mě již vzneseny dotazy týkající se GDPR a
> vpsFree.>>>>>
> Myslím, si, že je nás více, kteří na VPS máme uloženy nějaké ty
> osobní>>>>> údaje (adresy, emaily, apod.) a skoro všichni máme nějaký
ten
> webserver, kde se logují IP adresy, které jsou rovněž
> považovány za>>>>> osobní údaje. Díky tomu jsme z pohledu GDPR
považování za správce>>>>> osobních údajů. Podle článku 4 GDPR se
zpracovaním osobních údajů>>>>> rozumí také ukládání osobních údajů. Z toho
plyne, že jakýkoliv
> poskytovatel cloudových služeb, hostingu, VPS, atd. je vůči
> správci v>>>>> postavení zpracovatele osobních údajů. Článek 28 GDPR
potom řeší
> vztah>>>>> zpracovatele a správce, kde mj. požaduje nějaký smluvní
vztah mezi>>>>> nimi. Když to převedu na protředí vpsFree tak členové jsou
v
> podstatě>>>>> správci osobních údajů a vpsFree je zpracovatelem
osobních údajů.>>>>>
> Můj dotaz zní, zda a jak bylo nebo bude GDPR řešeno na úrovní
> vpsFree?>>>>> V podstatě asi jde o to, aby bylo v případě kontroly z
UOOÚ možno>>>>> něčím nebo nějak prokázat, že vpsFree je v souladu s GDPR a
taky
> garantuje, že data nebudou uložena mimo EU. Věřím, že v našich
> řadách>>>>> jsou kompetentnější členové v této věci jako já a tak bých
rád
> otevřel>>>>> diskusi.
>
> Honza.
>
_________________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_________________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_________________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
2516
days inactive
2517
days old
community-list@lists.vpsfree.cz
2 comments
3 participants
participants (3)
-
Jindřich Sadílek -
Jirka Bourek -
Pavel Snajdr