Ahoj všem,
rád bych s Vámi probral jeden z legislativních požadavků, se kterým se můžete také setkat.
Ti z Vás, co provozují eshopy a registrovali se na úřadě pro ochranu osobních údajů jako správci osobních údajů, jistě jste řešili analýzu rizik a ochraná opatření zákona na ochranu osobních údajů 101/2000 Sb. v paragrafu 13.
Pokud uchováváme osobní údaje (např. údaje o objednávkách) na serverech VPSFree, posuzuje se zde také riziko kontroly přístupu k datům přímo na serveru superadminem.
Chci se zeptat, zda existuje nějaký smluvní dokument, který by řešil kontrolu přístupu, sledování přidělení super oprávnění, auditovatelnost a závazek mlčenlivosti. Jediný dokument, který jsem nalezl byly stanovy a informaci, že mezi členy jsou i právnické osoby/firmy. Možná jsem, něco přehlédl.
Technicky lze samozřejmně situaci řešit šifrováním dat (pokud se někomu nepodaří najít klíče v paměti) nebo data ze serveru odsuout co nejrychleji pryč. Budu rád, když se podělíte o svoje zkušenosti z realizace opatření.
Vím, že sdružení raději řeší technické problémy, ale postihy za porušení této povinosti jsou docela likvidační, zejména jste-li podnikatel ručící veškerým svým majetkem. Předpokládám, že řada členů již nějaké weby, které jsou relevatní k zákonu 101 provozují.
Děkuji za názory k diskuzi.
Hezký den.
S pozdravem Petr Juhaňák
Ahoj,
doufal jsem, že se na tohle objeví nějaká odpověď, protože mě to také hodně zajímá. Když jsme to kdysi dávno s firmou kvůli jednomu klientovi řešili, tak mi bylo ze strany VPSFree řečeno, že by museli mít se mnou podepsaný nějaký papír, že to by jako žejo bylo složité a že tam všichni mají na serverech mnohem citlivější data a že se tím nemám trápit...
Nakonec jsem pro klienta zvolil server u Wedosu, kde mají v obchodních podmínkách výslovně uvedenou ochranu informací a ochranu osobních údajů, což právník vyhodnotil jako dostatečné zajištění...
Třeba se od té doby něco změnilo? :)
Díky, pěkný den všem!
Stanislav Kocanda
Dne 30.6.2015 13:49, petr@juhanak.cz napsal:
Ahoj všem,
rád bych s Vámi probral jeden z legislativních
požadavků, se kterým se
můžete také setkat.
Ti z Vás, co
provozují eshopy a registrovali se na úřadě pro ochranu
osobních údajů
jako správci osobních údajů, jistě jste řešili analýzu
rizik a ochraná
opatření zákona na ochranu osobních údajů 101/2000 Sb. v
paragrafu
13.
Pokud uchováváme osobní údaje (např. údaje o objednávkách) na
serverech
VPSFree, posuzuje se zde také riziko kontroly přístupu k
datům přímo na
serveru superadminem.
Chci se zeptat, zda existuje
nějaký smluvní dokument, který by řešil
kontrolu přístupu, sledování
přidělení super oprávnění, auditovatelnost a
závazek mlčenlivosti.
Jediný dokument, který jsem nalezl byly stanovy a
informaci, že mezi
členy jsou i právnické osoby/firmy. Možná jsem, něco
přehlédl.
Technicky lze samozřejmně situaci řešit šifrováním dat (pokud se někomu
nepodaří najít klíče v paměti) nebo data ze serveru odsuout co
nejrychleji
pryč. Budu rád, když se podělíte o svoje zkušenosti z
realizace opatření.
Vím, že sdružení raději řeší technické
problémy, ale postihy za porušení
této povinosti jsou docela
likvidační, zejména jste-li podnikatel ručící
veškerým svým majetkem.
Předpokládám, že řada členů již nějaké weby, které
jsou relevatní k
zákonu 101 provozují.
Děkuji za názory k diskuzi.
Hezký den.
S pozdravem Petr Juhaňák
_______________________________________________
Community-list mailing
list
Community-list@lists.vpsfree.cz
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
budu uplne uprimny - tahle diskuze je z principu nesmyslna, spolek nemuze nest odpovednost za cleny, odpovednost za data je na nich.
Nevidim v tom problem, je to stejne jako v pripade SLA, uz vidim, jak to z toho Wedosu budes soudit a vysoudis, kdyz stejne, pokud ty data leaknou, to bude s nejvetsi pravdepodobnosti zanedbani na prvni instanci admina - tzn. toho admina VPS. Proste pravnicka blbost na Ntou, v realnem svete uz vidim, jak to cele bude krasne fungovat na zaklade jednoho OK od pravnika "ze takhle to ve smlouve staci".
Mne prijde diskuze na tohle tema zbytecna, aneb s pravnicinou, prelejvanim zodpovednosti a posouvanim horkeho bramboru - aspon za mnou - prosim nechodte. Je na kazdem zvazeni jeho rizik. :)
Ja se radsi budu starat o to, aby ty masiny byly realne technicky co nejbezpecnejsi. Papirovacky resit, to ne-e.
/snajpa
On 07/14/2015 07:43 AM, Stanislav Kocanda wrote:
Ahoj,
doufal jsem, že se na tohle objeví nějaká odpověď, protože mě to také hodně zajímá. Když jsme to kdysi dávno s firmou kvůli jednomu klientovi řešili, tak mi bylo ze strany VPSFree řečeno, že by museli mít se mnou podepsaný nějaký papír, že to by jako žejo bylo složité a že tam všichni mají na serverech mnohem citlivější data a že se tím nemám trápit...
Nakonec jsem pro klienta zvolil server u Wedosu, kde mají v obchodních podmínkách výslovně uvedenou ochranu informací a ochranu osobních údajů, což právník vyhodnotil jako dostatečné zajištění...
Třeba se od té doby něco změnilo? :)
Díky, pěkný den všem!
Stanislav Kocanda
Dne 30.6.2015 13:49, petr@juhanak.cz napsal:
Ahoj všem,
rád bych s Vámi probral jeden z legislativních požadavků, se kterým se můžete také setkat.
Ti z Vás, co provozují eshopy a registrovali se na úřadě pro ochranu osobních údajů jako správci osobních údajů, jistě jste řešili analýzu rizik a ochraná opatření zákona na ochranu osobních údajů 101/2000 Sb. v paragrafu 13.
Pokud uchováváme osobní údaje (např. údaje o objednávkách) na serverech VPSFree, posuzuje se zde také riziko kontroly přístupu k datům přímo na serveru superadminem.
Chci se zeptat, zda existuje nějaký smluvní dokument, který by řešil kontrolu přístupu, sledování přidělení super oprávnění, auditovatelnost a závazek mlčenlivosti. Jediný dokument, který jsem nalezl byly stanovy a informaci, že mezi členy jsou i právnické osoby/firmy. Možná jsem, něco přehlédl.
Technicky lze samozřejmně situaci řešit šifrováním dat (pokud se někomu nepodaří najít klíče v paměti) nebo data ze serveru odsuout co nejrychleji pryč. Budu rád, když se podělíte o svoje zkušenosti z realizace opatření.
Vím, že sdružení raději řeší technické problémy, ale postihy za porušení této povinosti jsou docela likvidační, zejména jste-li podnikatel ručící veškerým svým majetkem. Předpokládám, že řada členů již nějaké weby, které jsou relevatní k zákonu 101 provozují.
Děkuji za názory k diskuzi.
Hezký den.
S pozdravem Petr Juhaňák
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
mozna prekvapim, ale tento pristup chapu.
Co se tyce technicke bezpecnosti, tak nase VPSky muzou byt daleko lepe spravovane a chranene, nez u jinych spolecnosti nabizejici komercni VPS. Jak rika Pavel, zadna papiorva opicarna toto nevylepsi.
Podstata je ale nekde jinde.
Pokud ma nekdo superadmin pristup a nevede se evidence/log zaznamy pristupu k VPS/supervizoru a nikde neni deklarovano, ze tento clovek bude dodrzovat mlcenlivost, dale nebude pristupovat k datum umyslne nebo neumyslne behem vykonu sve prace administratora nema-li k tomu dovod....tak ma zakonite clen, ktery vyuziva VPSku pro zpracovani osobnich dat, problem se zakonem, protoze si s dodavatelem neuzavrel toto ujednani.
Clen tedy potrebuje jen ten papir, ktery pak ukaze uradu, ze vynalozil dostatecne velke usili.
Lidsky receno, superadmin si musi uvedomit, ze jeho jednani muze nekoho vyznamne poskodit, nema zneuzivat jeho prav a nema v hospode tlachat o tom, co videl a to i po ukonceni clenstvi clena - po nejakou rozumnou dobu. Nepredpokladam, ze by se nekdo chtel finance na superadminovi hojit, ostatne by to asi tezko prokazoval.
Je mi celkem jedno, jak tato diskuze dopadne, protože si budu muset nějak poradit. Nevím kolik superadminů máme, protože patřím mezi ty pasivní členy. Věřím však, že tato diskuze pomůže znovu zvážit zda zavedený přístup je správný a proč to tak je.
S pozdravem Petr Juhaňák
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
budu uplne uprimny - tahle diskuze je z principu nesmyslna, spolek nemuze nest odpovednost za cleny, odpovednost za data je na nich.
Nevidim v tom problem, je to stejne jako v pripade SLA, uz vidim, jak to z toho Wedosu budes soudit a vysoudis, kdyz stejne, pokud ty data leaknou, to bude s nejvetsi pravdepodobnosti zanedbani na prvni instanci admina - tzn. toho admina VPS. Proste pravnicka blbost na Ntou, v realnem svete uz vidim, jak to cele bude krasne fungovat na zaklade jednoho OK od pravnika "ze takhle to ve smlouve staci".
Mne prijde diskuze na tohle tema zbytecna, aneb s pravnicinou, prelejvanim zodpovednosti a posouvanim horkeho bramboru - aspon za mnou - prosim nechodte. Je na kazdem zvazeni jeho rizik. :)
Ja se radsi budu starat o to, aby ty masiny byly realne technicky co nejbezpecnejsi. Papirovacky resit, to ne-e.
/snajpa
On 07/14/2015 07:43 AM, Stanislav Kocanda wrote:
Ahoj,
doufal jsem, Ĺže se na tohle objevĂ nÄjakĂĄ odpovÄÄ, protoĹže mÄ to takĂŠ hodnÄ zajĂmĂĄ. KdyĹž jsme to kdysi dĂĄvno s firmou kvĹŻli jednomu klientovi ĹeĹĄili, tak mi bylo ze strany VPSFree ĹeÄeno, Ĺže by museli mĂt se mnou podepsanĂ˝ nÄjakĂ˝ papĂr, Ĺže to by jako Ĺžejo bylo sloĹžitĂŠ a Ĺže tam vĹĄichni majĂ na serverech mnohem citlivÄjĹĄĂ data a Ĺže se tĂm nemĂĄm trĂĄpit...
Nakonec jsem pro klienta zvolil server u Wedosu, kde majĂ v obchodnĂch podmĂnkĂĄch vĂ˝slovnÄ uvedenou ochranu informacĂ a ochranu osobnĂch ĂşdajĹŻ, coĹž prĂĄvnĂk vyhodnotil jako dostateÄnĂŠ zajiĹĄtÄnĂ...
TĹeba se od tĂŠ doby nÄco zmÄnilo? :)
DĂky, pÄknĂ˝ den vĹĄem!
Stanislav Kocanda
Dne 30.6.2015 13:49, petr@juhanak.cz napsal:
Ahoj vĹĄem,
rĂĄd bych s VĂĄmi probral jeden z legislativnĂch poĹžadavkĹŻ, se kterĂ˝m se mĹŻĹžete takĂŠ setkat.
Ti z VĂĄs, co provozujĂ eshopy a registrovali se na ĂşĹadÄ pro ochranu osobnĂch ĂşdajĹŻ jako sprĂĄvci osobnĂch ĂşdajĹŻ, jistÄ jste ĹeĹĄili analĂ˝zu rizik a ochranĂĄ opatĹenĂ zĂĄkona na ochranu osobnĂch ĂşdajĹŻ 101/2000 Sb. v paragrafu 13.
Pokud uchovĂĄvĂĄme osobnĂ Ăşdaje (napĹ. Ăşdaje o objednĂĄvkĂĄch) na serverech VPSFree, posuzuje se zde takĂŠ riziko kontroly pĹĂstupu k datĹŻm pĹĂmo na serveru superadminem.
Chci se zeptat, zda existuje nÄjakĂ˝ smluvnĂ dokument, kterĂ˝ by ĹeĹĄil kontrolu pĹĂstupu, sledovĂĄnĂ pĹidÄlenĂ super oprĂĄvnÄnĂ, auditovatelnost a zĂĄvazek mlÄenlivosti. JedinĂ˝ dokument, kterĂ˝ jsem nalezl byly stanovy a informaci, Ĺže mezi Äleny jsou i prĂĄvnickĂŠ osoby/firmy. MoĹžnĂĄ jsem, nÄco pĹehlĂŠdl.
Technicky lze samozĹejmnÄ situaci ĹeĹĄit ĹĄifrovĂĄnĂm dat (pokud se nÄkomu nepodaĹĂ najĂt klĂÄe v pamÄti) nebo data ze serveru odsuout co nejrychleji pryÄ. Budu rĂĄd, kdyĹž se podÄlĂte o svoje zkuĹĄenosti z realizace opatĹenĂ.
VĂm, Ĺže sdruĹženĂ radÄji ĹeĹĄĂ technickĂŠ problĂŠmy, ale postihy za poruĹĄenĂ tĂŠto povinosti jsou docela likvidaÄnĂ, zejmĂŠna jste-li podnikatel ruÄĂcĂ veĹĄkerĂ˝m svĂ˝m majetkem. PĹedpoklĂĄdĂĄm, Ĺže Ĺada ÄlenĹŻ jiĹž nÄjakĂŠ weby, kterĂŠ jsou relevatnĂ k zĂĄkonu 101 provozujĂ.
DÄkuji za nĂĄzory k diskuzi.
HezkĂ˝ den.
S pozdravem Petr JuhaĹĂĄk
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v2
iF4EAREIAAYFAlWk+VIACgkQgRwOVqYrsFWMhQEA4B/qTDDfvvvfcdQqQido6Djx vcHQ/mjrMWvaoADtfpIBALBXUXTUo1Wa0PaB0WdWbLxuy2avIy7CZpYtuZb44Dpo =oHld -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Root access na masiny maji (v nijak zvlastnim poradi):
- - ja - - Tomas Srnka (toms, clen rady) - - Jakub Skokan (aither, clen kontrolni komise) - - Jiri Medved (medved, nechce byt v organech, ale vydatne se ucastni adminovani masin, resi veci jako monitoring apod.)
Admin access do vpsAdminu (tzn. moznost aspon stahnout zalohu) maji krom root adminu jeste nasledujici:
- - Petr Krcmar (je v kontrolni komisi)
- - Michal Stral (je v rade spolku)
Spolek jako takovy tu odpovednost urcite nest nemuze.
Jestli by stacilo nekde vyjmenovat adminy a donutit je podepsat 'ack' vuci spolku, ze maji pristup k potencialne citlivym datum a minimalne aspon to, ze rozumi tomu, ze ty data nemaji aktivne vynaset; odpovednost za prusvih zpusobeny nejakym (nedejboze 0day) exploitem si nejsem jisty, jestli by bylo fer prenaset. Ale IMHO kdyz to nekdo chce resit az na takovou uroven, at si poridi svuj hardware, na softwarove virtualizaci to ani vyresit nejde.
Prislo by tohle jako reseni dostacujici? Myslim, ze dal uz se jit asi moc neda (+-). Ale asi lepsi, nez nic.
/snajpa
On 07/14/2015 02:42 PM, petr@juhanak.cz wrote:
Ahoj,
mozna prekvapim, ale tento pristup chapu.
Co se tyce technicke bezpecnosti, tak nase VPSky muzou byt daleko lepe spravovane a chranene, nez u jinych spolecnosti nabizejici komercni VPS. Jak rika Pavel, zadna papiorva opicarna toto nevylepsi.
Podstata je ale nekde jinde.
Pokud ma nekdo superadmin pristup a nevede se evidence/log zaznamy pristupu k VPS/supervizoru a nikde neni deklarovano, ze tento clovek bude dodrzovat mlcenlivost, dale nebude pristupovat k datum umyslne nebo neumyslne behem vykonu sve prace administratora nema-li k tomu dovod....tak ma zakonite clen, ktery vyuziva VPSku pro zpracovani osobnich dat, problem se zakonem, protoze si s dodavatelem neuzavrel toto ujednani.
Clen tedy potrebuje jen ten papir, ktery pak ukaze uradu, ze vynalozil dostatecne velke usili.
Lidsky receno, superadmin si musi uvedomit, ze jeho jednani muze nekoho vyznamne poskodit, nema zneuzivat jeho prav a nema v hospode tlachat o tom, co videl a to i po ukonceni clenstvi clena - po nejakou rozumnou dobu. Nepredpokladam, ze by se nekdo chtel finance na superadminovi hojit, ostatne by to asi tezko prokazoval.
Je mi celkem jedno, jak tato diskuze dopadne, protože si budu muset nějak poradit. Nevím kolik superadminů máme, protože patřím mezi ty pasivní členy. Věřím však, že tato diskuze pomůže znovu zvážit zda zavedený přístup je správný a proč to tak je.
S pozdravem Petr Juhaňák
Ahoj,
budu uplne uprimny - tahle diskuze je z principu nesmyslna, spolek nemuze nest odpovednost za cleny, odpovednost za data je na nich.
Nevidim v tom problem, je to stejne jako v pripade SLA, uz vidim, jak to z toho Wedosu budes soudit a vysoudis, kdyz stejne, pokud ty data leaknou, to bude s nejvetsi pravdepodobnosti zanedbani na prvni instanci admina - tzn. toho admina VPS. Proste pravnicka blbost na Ntou, v realnem svete uz vidim, jak to cele bude krasne fungovat na zaklade jednoho OK od pravnika "ze takhle to ve smlouve staci".
Mne prijde diskuze na tohle tema zbytecna, aneb s pravnicinou, prelejvanim zodpovednosti a posouvanim horkeho bramboru - aspon za mnou - prosim nechodte. Je na kazdem zvazeni jeho rizik. :)
Ja se radsi budu starat o to, aby ty masiny byly realne technicky co nejbezpecnejsi. Papirovacky resit, to ne-e.
/snajpa
On 07/14/2015 07:43 AM, Stanislav Kocanda wrote:
Ahoj,
doufal jsem, Ĺže se na tohle objevĂ nÄjakĂĄ odpovÄÄ, protoĹže mÄ to takĂŠ hodnÄ zajĂmĂĄ. KdyĹž jsme to kdysi dĂĄvno s firmou kvĹŻli jednomu klientovi ĹeĹĄili, tak mi bylo ze strany VPSFree ĹeÄeno, Ĺže by museli mĂt se mnou podepsanĂ˝ nÄjakĂ˝ papĂr, Ĺže to by jako Ĺžejo bylo sloĹžitĂŠ a Ĺže tam vĹĄichni majĂ na serverech mnohem citlivÄjĹĄĂ data a Ĺže se tĂm nemĂĄm trĂĄpit...
Nakonec jsem pro klienta zvolil server u Wedosu, kde majĂ v obchodnĂch podmĂnkĂĄch vĂ˝slovnÄ uvedenou ochranu informacĂ a ochranu osobnĂch ĂşdajĹŻ, coĹž prĂĄvnĂk vyhodnotil jako dostateÄnĂŠ zajiĹĄtÄnĂ...
TĹeba se od tĂŠ doby nÄco zmÄnilo? :)
DĂky, pÄknĂ˝ den vĹĄem!
Stanislav Kocanda
Dne 30.6.2015 13:49, petr@juhanak.cz napsal:
Ahoj vĹĄem,
rĂĄd bych s VĂĄmi probral jeden z legislativnĂch poĹžadavkĹŻ, se kterĂ˝m se mĹŻĹžete takĂŠ setkat.
Ti z VĂĄs, co provozujĂ eshopy a registrovali se na ĂşĹadÄ pro ochranu osobnĂch ĂşdajĹŻ jako sprĂĄvci osobnĂch ĂşdajĹŻ, jistÄ jste ĹeĹĄili analĂ˝zu rizik a ochranĂĄ opatĹenĂ zĂĄkona na ochranu osobnĂch ĂşdajĹŻ 101/2000 Sb. v paragrafu 13.
Pokud uchovĂĄvĂĄme osobnĂ Ăşdaje (napĹ. Ăşdaje o objednĂĄvkĂĄch) na serverech VPSFree, posuzuje se zde takĂŠ riziko kontroly pĹĂstupu k datĹŻm pĹĂmo na serveru superadminem.
Chci se zeptat, zda existuje nÄjakĂ˝ smluvnĂ dokument, kterĂ˝ by ĹeĹĄil kontrolu pĹĂstupu, sledovĂĄnĂ pĹidÄlenĂ super oprĂĄvnÄnĂ, auditovatelnost a zĂĄvazek mlÄenlivosti. JedinĂ˝ dokument, kterĂ˝ jsem nalezl byly stanovy a informaci, Ĺže mezi Äleny jsou i prĂĄvnickĂŠ osoby/firmy. MoĹžnĂĄ jsem, nÄco pĹehlĂŠdl.
Technicky lze samozĹejmnÄ situaci ĹeĹĄit ĹĄifrovĂĄnĂm dat (pokud se nÄkomu nepodaĹĂ najĂt klĂÄe v pamÄti) nebo data ze serveru odsuout co nejrychleji pryÄ. Budu rĂĄd, kdyĹž se podÄlĂte o svoje zkuĹĄenosti z realizace opatĹenĂ.
VĂm, Ĺže sdruĹženĂ radÄji ĹeĹĄĂ technickĂŠ problĂŠmy, ale postihy za poruĹĄenĂ tĂŠto povinosti jsou docela likvidaÄnĂ, zejmĂŠna jste-li podnikatel ruÄĂcĂ veĹĄkerĂ˝m svĂ˝m majetkem. PĹedpoklĂĄdĂĄm, Ĺže Ĺada ÄlenĹŻ jiĹž nÄjakĂŠ weby, kterĂŠ jsou relevatnĂ k zĂĄkonu 101 provozujĂ.
DÄkuji za nĂĄzory k diskuzi.
HezkĂ˝ den.
S pozdravem Petr JuhaĹĂĄk
Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 07/14/2015 02:51 PM, Pavel Snajdr wrote:
Root access na masiny maji (v nijak zvlastnim poradi):
- ja - Tomas Srnka (toms, clen rady) - Jakub Skokan (aither, clen
kontrolni komise) - Jiri Medved (medved, nechce byt v organech, ale vydatne se ucastni adminovani masin, resi veci jako monitoring apod.)
Admin access do vpsAdminu (tzn. moznost aspon stahnout zalohu) maji krom root adminu jeste nasledujici:
Petr Krcmar (je v kontrolni komisi)
Michal Stral (je v rade spolku)
A samozrejme jeste (sry):
- - Michal Janousek (kerry, je v kontrolni komisi ponovu a stara se o fakturaci/platby)
Spolek jako takovy tu odpovednost urcite nest nemuze.
Jestli by stacilo nekde vyjmenovat adminy a donutit je podepsat 'ack' vuci spolku, ze maji pristup k potencialne citlivym datum a minimalne aspon to, ze rozumi tomu, ze ty data nemaji aktivne vynaset; odpovednost za prusvih zpusobeny nejakym (nedejboze 0day) exploitem si nejsem jisty, jestli by bylo fer prenaset. Ale IMHO kdyz to nekdo chce resit az na takovou uroven, at si poridi svuj hardware, na softwarove virtualizaci to ani vyresit nejde.
Prislo by tohle jako reseni dostacujici? Myslim, ze dal uz se jit asi moc neda (+-). Ale asi lepsi, nez nic.
/snajpa
On 07/14/2015 02:42 PM, petr@juhanak.cz wrote:
Ahoj,
mozna prekvapim, ale tento pristup chapu.
Co se tyce technicke bezpecnosti, tak nase VPSky muzou byt daleko lepe spravovane a chranene, nez u jinych spolecnosti nabizejici komercni VPS. Jak rika Pavel, zadna papiorva opicarna toto nevylepsi.
Podstata je ale nekde jinde.
Pokud ma nekdo superadmin pristup a nevede se evidence/log zaznamy pristupu k VPS/supervizoru a nikde neni deklarovano, ze tento clovek bude dodrzovat mlcenlivost, dale nebude pristupovat k datum umyslne nebo neumyslne behem vykonu sve prace administratora nema-li k tomu dovod....tak ma zakonite clen, ktery vyuziva VPSku pro zpracovani osobnich dat, problem se zakonem, protoze si s dodavatelem neuzavrel toto ujednani.
Clen tedy potrebuje jen ten papir, ktery pak ukaze uradu, ze vynalozil dostatecne velke usili.
Lidsky receno, superadmin si musi uvedomit, ze jeho jednani muze nekoho vyznamne poskodit, nema zneuzivat jeho prav a nema v hospode tlachat o tom, co videl a to i po ukonceni clenstvi clena
- po nejakou rozumnou dobu. Nepredpokladam, ze by se nekdo chtel
finance na superadminovi hojit, ostatne by to asi tezko prokazoval.
Je mi celkem jedno, jak tato diskuze dopadne, protože si budu muset nějak poradit. Nevím kolik superadminů máme, protože patřím mezi ty pasivní členy. Věřím však, že tato diskuze pomůže znovu zvážit zda zavedený přístup je správný a proč to tak je.
S pozdravem Petr Juhaňák
Ahoj,
budu uplne uprimny - tahle diskuze je z principu nesmyslna, spolek nemuze nest odpovednost za cleny, odpovednost za data je na nich.
Nevidim v tom problem, je to stejne jako v pripade SLA, uz vidim, jak to z toho Wedosu budes soudit a vysoudis, kdyz stejne, pokud ty data leaknou, to bude s nejvetsi pravdepodobnosti zanedbani na prvni instanci admina - tzn. toho admina VPS. Proste pravnicka blbost na Ntou, v realnem svete uz vidim, jak to cele bude krasne fungovat na zaklade jednoho OK od pravnika "ze takhle to ve smlouve staci".
Mne prijde diskuze na tohle tema zbytecna, aneb s pravnicinou, prelejvanim zodpovednosti a posouvanim horkeho bramboru - aspon za mnou - prosim nechodte. Je na kazdem zvazeni jeho rizik. :)
Ja se radsi budu starat o to, aby ty masiny byly realne technicky co nejbezpecnejsi. Papirovacky resit, to ne-e.
/snajpa
On 07/14/2015 07:43 AM, Stanislav Kocanda wrote:
Ahoj,
doufal jsem, Ĺže se na tohle objevĂ nÄjakĂĄ odpovÄÄ, protoĹže mÄ to takĂŠ hodnÄ zajĂmĂĄ. KdyĹž jsme to kdysi dĂĄvno s firmou kvĹŻli jednomu klientovi ĹeĹĄili, tak mi bylo ze strany VPSFree ĹeÄeno, Ĺže by museli mĂt se mnou podepsanĂ˝ nÄjakĂ˝ papĂr, Ĺže to by jako Ĺžejo bylo sloĹžitĂŠ a Ĺže tam vĹĄichni majĂ na serverech mnohem citlivÄjĹĄĂ data a Ĺže se tĂm nemĂĄm trĂĄpit...
Nakonec jsem pro klienta zvolil server u Wedosu, kde majĂ v obchodnĂch podmĂnkĂĄch vĂ˝slovnÄ uvedenou ochranu informacĂ a ochranu osobnĂch ĂşdajĹŻ, coĹž prĂĄvnĂk vyhodnotil jako dostateÄnĂŠ zajiĹĄtÄnĂ...
TĹeba se od tĂŠ doby nÄco zmÄnilo? :)
DĂky, pÄknĂ˝ den vĹĄem!
Stanislav Kocanda
Dne 30.6.2015 13:49, petr@juhanak.cz napsal:
Ahoj vĹĄem,
rĂĄd bych s VĂĄmi probral jeden z legislativnĂch poĹžadavkĹŻ, se kterĂ˝m se mĹŻĹžete takĂŠ setkat.
Ti z VĂĄs, co provozujĂ eshopy a registrovali se na ĂşĹadÄ pro ochranu osobnĂch ĂşdajĹŻ jako sprĂĄvci osobnĂch ĂşdajĹŻ, jistÄ jste ĹeĹĄili analĂ˝zu rizik a ochranĂĄ opatĹenĂ zĂĄkona na ochranu osobnĂch ĂşdajĹŻ 101/2000 Sb. v paragrafu 13.
Pokud uchovĂĄvĂĄme osobnĂ Ăşdaje (napĹ. Ăşdaje o objednĂĄvkĂĄch) na serverech VPSFree, posuzuje se zde takĂŠ riziko kontroly pĹĂstupu k datĹŻm pĹĂmo na serveru superadminem.
Chci se zeptat, zda existuje nÄjakĂ˝ smluvnĂ dokument, kterĂ˝ by ĹeĹĄil kontrolu pĹĂstupu, sledovĂĄnĂ pĹidÄlenĂ super oprĂĄvnÄnĂ, auditovatelnost a zĂĄvazek mlÄenlivosti. JedinĂ˝ dokument, kterĂ˝ jsem nalezl byly stanovy a informaci, Ĺže mezi Äleny jsou i prĂĄvnickĂŠ osoby/firmy. MoĹžnĂĄ jsem, nÄco pĹehlĂŠdl.
Technicky lze samozĹejmnÄ situaci ĹeĹĄit ĹĄifrovĂĄnĂm dat (pokud se nÄkomu nepodaĹĂ najĂt klĂÄe v pamÄti) nebo data ze serveru odsuout co nejrychleji pryÄ. Budu rĂĄd, kdyĹž se podÄlĂte o svoje zkuĹĄenosti z realizace opatĹenĂ.
VĂm, Ĺže sdruĹženĂ radÄji ĹeĹĄĂ technickĂŠ problĂŠmy, ale postihy za poruĹĄenĂ tĂŠto povinosti jsou docela likvidaÄnĂ, zejmĂŠna jste-li podnikatel ruÄĂcĂ veĹĄkerĂ˝m svĂ˝m majetkem. PĹedpoklĂĄdĂĄm, Ĺže Ĺada ÄlenĹŻ jiĹž nÄjakĂŠ weby, kterĂŠ jsou relevatnĂ k zĂĄkonu 101 provozujĂ.
DÄkuji za nĂĄzory k diskuzi.
HezkĂ˝ den.
S pozdravem Petr JuhaĹĂĄk
Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
Pavel Snajdr -
petr@juhanak.cz -
Stanislav Kocanda