[vpsFree.cz: community-list] Kontrola přístupu k datům na serveru a zákoné požadavky

Pavel Snajdr snajpa at snajpa.net
Tue Jul 14 14:51:44 CEST 2015 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Root access na masiny maji (v nijak zvlastnim poradi):

- - ja
- - Tomas Srnka (toms, clen rady)
- - Jakub Skokan (aither, clen kontrolni komise)
- - Jiri Medved (medved, nechce byt v organech, ale vydatne se ucastni
adminovani masin, resi veci jako monitoring apod.)

Admin access do vpsAdminu (tzn. moznost aspon stahnout zalohu) maji
krom root adminu jeste nasledujici:

- - Petr Krcmar (je v kontrolni komisi)

- - Michal Stral (je v rade spolku)

Spolek jako takovy tu odpovednost urcite nest nemuze.

Jestli by stacilo nekde vyjmenovat adminy a donutit je podepsat 'ack'
vuci spolku, ze maji pristup k potencialne citlivym datum a minimalne
aspon to, ze rozumi tomu, ze ty data nemaji aktivne vynaset;
odpovednost za prusvih zpusobeny nejakym (nedejboze 0day) exploitem si
nejsem jisty, jestli by bylo fer prenaset.
Ale IMHO kdyz to nekdo chce resit az na takovou uroven, at si poridi
svuj hardware, na softwarove virtualizaci to ani vyresit nejde.

Prislo by tohle jako reseni dostacujici? Myslim, ze dal uz se jit asi
moc neda (+-). Ale asi lepsi, nez nic.

/snajpa


On 07/14/2015 02:42 PM, petr at juhanak.cz wrote:
> Ahoj,
> 
> mozna prekvapim, ale tento pristup chapu.
> 
> Co se tyce technicke bezpecnosti, tak nase VPSky muzou byt daleko 
> lepe spravovane a chranene, nez u jinych spolecnosti nabizejici 
> komercni VPS. Jak rika Pavel, zadna papiorva opicarna toto 
> nevylepsi.
> 
> Podstata je ale nekde jinde.
> 
> Pokud ma nekdo superadmin pristup a nevede se evidence/log zaznamy 
> pristupu k VPS/supervizoru a nikde neni deklarovano, ze tento 
> clovek bude dodrzovat mlcenlivost, dale nebude pristupovat k datum
>  umyslne nebo neumyslne behem vykonu sve prace administratora 
> nema-li k tomu dovod....tak ma zakonite clen, ktery vyuziva VPSku 
> pro zpracovani osobnich dat, problem se zakonem, protoze si s 
> dodavatelem neuzavrel toto ujednani.
> 
> Clen tedy potrebuje jen ten papir, ktery pak ukaze uradu, ze 
> vynalozil dostatecne velke usili.
> 
> Lidsky receno, superadmin si musi uvedomit, ze jeho jednani muze 
> nekoho vyznamne poskodit, nema zneuzivat jeho prav a nema v hospode
> tlachat o tom, co videl a to i po ukonceni clenstvi clena - po
> nejakou rozumnou dobu. Nepredpokladam, ze by se nekdo chtel finance
> na superadminovi hojit, ostatne by to asi tezko prokazoval.
> 
> Je mi celkem jedno, jak tato diskuze dopadne, protože si budu muset
> nějak poradit. Nevím kolik superadminů máme, protože patřím mezi ty
> pasivní členy. Věřím však, že tato diskuze pomůže znovu zvážit zda
> zavedený přístup je správný a proč to tak je.
> 
> S pozdravem Petr Juhaňák
> 
> Ahoj,
> 
> budu uplne uprimny - tahle diskuze je z principu nesmyslna, spolek 
> nemuze nest odpovednost za cleny, odpovednost za data je na nich.
> 
> Nevidim v tom problem, je to stejne jako v pripade SLA, uz vidim, 
> jak to z toho Wedosu budes soudit a vysoudis, kdyz stejne, pokud ty
> data leaknou, to bude s nejvetsi pravdepodobnosti zanedbani na 
> prvni instanci admina - tzn. toho admina VPS. Proste pravnicka 
> blbost na Ntou, v realnem svete uz vidim, jak to cele bude krasne 
> fungovat na zaklade jednoho OK od pravnika "ze takhle to ve smlouve
> staci".
> 
> Mne prijde diskuze na tohle tema zbytecna, aneb s pravnicinou, 
> prelejvanim zodpovednosti a posouvanim horkeho bramboru - aspon za 
> mnou - prosim nechodte. Je na kazdem zvazeni jeho rizik. :)
> 
> Ja se radsi budu starat o to, aby ty masiny byly realne technicky 
> co nejbezpecnejsi. Papirovacky resit, to ne-e.
> 
> /snajpa
> 
> On 07/14/2015 07:43 AM, Stanislav Kocanda wrote:
>>>> Ahoj,
>>>> 
>>>> doufal jsem, že se na tohle objeví nějaká odpověď, 
>>>> protože mě to také hodně zajímá. Když jsme to kdysi 
>>>> dávno s firmou kvůli jednomu klientovi řešili, tak mi 
>>>> bylo ze strany VPSFree řečeno, že by museli mít se mnou 
>>>> podepsaný nějaký papír, že to by jako žejo bylo 
>>>> sloĹžitĂŠ a Ĺže tam vĹĄichni majĂ­ na serverech mnohem 
>>>> citlivější data a že se tím nemám trápit...
>>>> 
>>>> Nakonec jsem pro klienta zvolil server u Wedosu, kde majĂ­ v 
>>>> obchodních podmínkách výslovně uvedenou ochranu 
>>>> informacĂ­ a ochranu osobnĂ­ch ĂşdajĹŻ, coĹž prĂĄvnĂ­k 
>>>> vyhodnotil jako dostatečné zajištění...
>>>> 
>>>> Třeba se od té doby něco změnilo? :)
>>>> 
>>>> Díky, pěkný den všem!
>>>> 
>>>> Stanislav Kocanda
>>>> 
>>>> Dne 30.6.2015 13:49, petr at juhanak.cz napsal:
>>>> 
>>>>> Ahoj vĹĄem,
>>>>> 
>>>>> rĂĄd bych s VĂĄmi probral jeden z legislativnĂ­ch 
>>>>> poŞadavků, se kterým se můŞete takÊ setkat.
>>>>> 
>>>>> Ti z VĂĄs, co provozujĂ­ eshopy a registrovali se na 
>>>>> úřadě pro ochranu osobních údajů jako správci 
>>>>> osobních údajů, jistě jste řešili analýzu rizik a 
>>>>> ochraná opatření zákona na ochranu osobních údajů 
>>>>> 101/2000 Sb. v paragrafu 13.
>>>>> 
>>>>> Pokud uchováváme osobní údaje (např. údaje o 
>>>>> objednĂĄvkĂĄch) na serverech VPSFree, posuzuje se zde takĂŠ
>>>>> riziko kontroly přístupu k datům přímo na serveru
>>>>> superadminem.
>>>>> 
>>>>> Chci se zeptat, zda existuje nějaký smluvní dokument, 
>>>>> který by řešil kontrolu přístupu, sledování 
>>>>> přidělení super oprávnění, auditovatelnost a závazek
>>>>> mlčenlivosti. Jediný dokument, který jsem nalezl byly
>>>>> stanovy a informaci, že mezi členy jsou i právnické
>>>>> osoby/firmy. Možná jsem, něco přehlédl.
>>>>> 
>>>>> Technicky lze samozřejmně situaci řešit šifrováním 
>>>>> dat (pokud se někomu nepodaří najít klíče v paměti)
>>>>>  nebo data ze serveru odsuout co nejrychleji pryč. Budu 
>>>>> rád, když se podělíte o svoje zkušenosti z realizace 
>>>>> opatření.
>>>>> 
>>>>> Vím, že sdružení raději řeší technické problémy,
>>>>>  ale postihy za poruĹĄenĂ­ tĂŠto povinosti jsou docela 
>>>>> likvidační, zejména jste-li podnikatel ručící 
>>>>> veškerým svým majetkem. Předpokládám, že řada 
>>>>> členů již nějaké weby, které jsou relevatní k 
>>>>> zĂĄkonu 101 provozujĂ­.
>>>>> 
>>>>> Děkuji za názory k diskuzi.
>>>>> 
>>>>> HezkĂ˝ den.
>>>>> 
>>>>> S pozdravem Petr Juhaňåk
>>>>> 
>>>>> _______________________________________________ 
>>>>> Community-list mailing list
>>>>> Community-list at lists.vpsfree.cz 
>>>>> <mailto:Community-list at lists.vpsfree.cz> 
>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>> 
>>>> 
>>>> _______________________________________________ 
>>>> Community-list mailing list Community-list at lists.vpsfree.cz 
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>> 
>> _______________________________________________ Community-list 
>> mailing list Community-list at lists.vpsfree.cz 
>> http://lists.vpsfree.cz/listinfo/community-list
>> 
> 
> 
> _______________________________________________ Community-list 
> mailing list Community-list at lists.vpsfree.cz 
> http://lists.vpsfree.cz/listinfo/community-list
> 
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2

iF4EAREIAAYFAlWlBeAACgkQgRwOVqYrsFUovQD/fCZJeOor51EHniGmDwWn8VGL
W6XhV9S4FpHjNRn2SbIBAI3sOmuFqPgpSYRGh2XdW1my0xNlad0fo+YulSvNein6
=JZ6I
-----END PGP SIGNATURE-----

More information about the Community-list mailing list