[vpsFree.cz: community-list] Kontrola přístupu k datům na serveru a zákoné požadavky

Pavel Snajdr snajpa at snajpa.net
Tue Jul 14 14:53:40 CEST 2015 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

On 07/14/2015 02:51 PM, Pavel Snajdr wrote:
> Root access na masiny maji (v nijak zvlastnim poradi):
> 
> - ja - Tomas Srnka (toms, clen rady) - Jakub Skokan (aither, clen
> kontrolni komise) - Jiri Medved (medved, nechce byt v organech, ale
> vydatne se ucastni adminovani masin, resi veci jako monitoring
> apod.)
> 
> Admin access do vpsAdminu (tzn. moznost aspon stahnout zalohu)
> maji krom root adminu jeste nasledujici:
> 
> - Petr Krcmar (je v kontrolni komisi)
> 
> - Michal Stral (je v rade spolku)

A samozrejme jeste (sry):

- - Michal Janousek (kerry, je v kontrolni komisi ponovu a stara se o
fakturaci/platby)

> 
> Spolek jako takovy tu odpovednost urcite nest nemuze.
> 
> Jestli by stacilo nekde vyjmenovat adminy a donutit je podepsat
> 'ack' vuci spolku, ze maji pristup k potencialne citlivym datum a
> minimalne aspon to, ze rozumi tomu, ze ty data nemaji aktivne
> vynaset; odpovednost za prusvih zpusobeny nejakym (nedejboze 0day)
> exploitem si nejsem jisty, jestli by bylo fer prenaset. Ale IMHO
> kdyz to nekdo chce resit az na takovou uroven, at si poridi svuj
> hardware, na softwarove virtualizaci to ani vyresit nejde.
> 
> Prislo by tohle jako reseni dostacujici? Myslim, ze dal uz se jit
> asi moc neda (+-). Ale asi lepsi, nez nic.
> 
> /snajpa
> 
> 
> On 07/14/2015 02:42 PM, petr at juhanak.cz wrote:
>> Ahoj,
> 
>> mozna prekvapim, ale tento pristup chapu.
> 
>> Co se tyce technicke bezpecnosti, tak nase VPSky muzou byt daleko
>>  lepe spravovane a chranene, nez u jinych spolecnosti nabizejici
>>  komercni VPS. Jak rika Pavel, zadna papiorva opicarna toto 
>> nevylepsi.
> 
>> Podstata je ale nekde jinde.
> 
>> Pokud ma nekdo superadmin pristup a nevede se evidence/log
>> zaznamy pristupu k VPS/supervizoru a nikde neni deklarovano, ze
>> tento clovek bude dodrzovat mlcenlivost, dale nebude pristupovat
>> k datum umyslne nebo neumyslne behem vykonu sve prace
>> administratora nema-li k tomu dovod....tak ma zakonite clen,
>> ktery vyuziva VPSku pro zpracovani osobnich dat, problem se
>> zakonem, protoze si s dodavatelem neuzavrel toto ujednani.
> 
>> Clen tedy potrebuje jen ten papir, ktery pak ukaze uradu, ze 
>> vynalozil dostatecne velke usili.
> 
>> Lidsky receno, superadmin si musi uvedomit, ze jeho jednani muze
>>  nekoho vyznamne poskodit, nema zneuzivat jeho prav a nema v
>> hospode tlachat o tom, co videl a to i po ukonceni clenstvi clena
>> - po nejakou rozumnou dobu. Nepredpokladam, ze by se nekdo chtel
>> finance na superadminovi hojit, ostatne by to asi tezko
>> prokazoval.
> 
>> Je mi celkem jedno, jak tato diskuze dopadne, protože si budu
>> muset nějak poradit. Nevím kolik superadminů máme, protože patřím
>> mezi ty pasivní členy. Věřím však, že tato diskuze pomůže znovu
>> zvážit zda zavedený přístup je správný a proč to tak je.
> 
>> S pozdravem Petr Juhaňák
> 
>> Ahoj,
> 
>> budu uplne uprimny - tahle diskuze je z principu nesmyslna,
>> spolek nemuze nest odpovednost za cleny, odpovednost za data je
>> na nich.
> 
>> Nevidim v tom problem, je to stejne jako v pripade SLA, uz vidim,
>>  jak to z toho Wedosu budes soudit a vysoudis, kdyz stejne, pokud
>> ty data leaknou, to bude s nejvetsi pravdepodobnosti zanedbani na
>>  prvni instanci admina - tzn. toho admina VPS. Proste pravnicka 
>> blbost na Ntou, v realnem svete uz vidim, jak to cele bude krasne
>>  fungovat na zaklade jednoho OK od pravnika "ze takhle to ve
>> smlouve staci".
> 
>> Mne prijde diskuze na tohle tema zbytecna, aneb s pravnicinou, 
>> prelejvanim zodpovednosti a posouvanim horkeho bramboru - aspon
>> za mnou - prosim nechodte. Je na kazdem zvazeni jeho rizik. :)
> 
>> Ja se radsi budu starat o to, aby ty masiny byly realne technicky
>>  co nejbezpecnejsi. Papirovacky resit, to ne-e.
> 
>> /snajpa
> 
>> On 07/14/2015 07:43 AM, Stanislav Kocanda wrote:
>>>>> Ahoj,
>>>>> 
>>>>> doufal jsem, že se na tohle objeví nějaká odpověď, 
>>>>> protože mě to také hodně zajímá. Když jsme to kdysi
>>>>>  dávno s firmou kvůli jednomu klientovi řešili, tak mi
>>>>>  bylo ze strany VPSFree řečeno, že by museli mít se
>>>>> mnou podepsaný nějaký papír, že to by jako žejo bylo
>>>>>  sloĹžitĂŠ a Ĺže tam vĹĄichni majĂ­ na serverech mnohem 
>>>>> citlivější data a že se tím nemám trápit...
>>>>> 
>>>>> Nakonec jsem pro klienta zvolil server u Wedosu, kde majĂ­
>>>>> v obchodních podmínkách výslovně uvedenou ochranu 
>>>>> informacĂ­ a ochranu osobnĂ­ch ĂşdajĹŻ, coĹž prĂĄvnĂ­k 
>>>>> vyhodnotil jako dostatečné zajištění...
>>>>> 
>>>>> Třeba se od té doby něco změnilo? :)
>>>>> 
>>>>> Díky, pěkný den všem!
>>>>> 
>>>>> Stanislav Kocanda
>>>>> 
>>>>> Dne 30.6.2015 13:49, petr at juhanak.cz napsal:
>>>>> 
>>>>>> Ahoj vĹĄem,
>>>>>> 
>>>>>> rĂĄd bych s VĂĄmi probral jeden z legislativnĂ­ch 
>>>>>> poŞadavků, se kterým se můŞete takÊ setkat.
>>>>>> 
>>>>>> Ti z VĂĄs, co provozujĂ­ eshopy a registrovali se na 
>>>>>> úřadě pro ochranu osobních údajů jako správci 
>>>>>> osobních údajů, jistě jste řešili analýzu rizik a
>>>>>>  ochraná opatření zákona na ochranu osobních údajů
>>>>>>  101/2000 Sb. v paragrafu 13.
>>>>>> 
>>>>>> Pokud uchováváme osobní údaje (např. údaje o 
>>>>>> objednĂĄvkĂĄch) na serverech VPSFree, posuzuje se zde
>>>>>> také riziko kontroly přístupu k datům přímo na
>>>>>> serveru superadminem.
>>>>>> 
>>>>>> Chci se zeptat, zda existuje nějaký smluvní dokument,
>>>>>>  který by řešil kontrolu přístupu, sledování 
>>>>>> přidělení super oprávnění, auditovatelnost a
>>>>>> závazek mlčenlivosti. Jediný dokument, který jsem
>>>>>> nalezl byly stanovy a informaci, že mezi členy jsou i
>>>>>> právnické osoby/firmy. Možná jsem, něco přehlédl.
>>>>>> 
>>>>>> Technicky lze samozřejmně situaci řešit šifrováním
>>>>>>  dat (pokud se někomu nepodaří najít klíče v
>>>>>> paměti) nebo data ze serveru odsuout co nejrychleji
>>>>>> pryč. Budu rád, když se podělíte o svoje zkušenosti
>>>>>> z realizace opatření.
>>>>>> 
>>>>>> Vím, že sdružení raději řeší technické
>>>>>> problĂŠmy, ale postihy za poruĹĄenĂ­ tĂŠto povinosti jsou
>>>>>> docela likvidační, zejména jste-li podnikatel
>>>>>> ručící veškerým svým majetkem. Předpokládám, že
>>>>>> řada členů již nějaké weby, které jsou relevatní
>>>>>> k zĂĄkonu 101 provozujĂ­.
>>>>>> 
>>>>>> Děkuji za názory k diskuzi.
>>>>>> 
>>>>>> HezkĂ˝ den.
>>>>>> 
>>>>>> S pozdravem Petr Juhaňåk
>>>>>> 
>>>>>> _______________________________________________ 
>>>>>> Community-list mailing list 
>>>>>> Community-list at lists.vpsfree.cz 
>>>>>> <mailto:Community-list at lists.vpsfree.cz> 
>>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>> 
>>>>> 
>>>>> _______________________________________________ 
>>>>> Community-list mailing list Community-list at lists.vpsfree.cz
>>>>>  http://lists.vpsfree.cz/listinfo/community-list
>>>>> 
>>> _______________________________________________ Community-list
>>>  mailing list Community-list at lists.vpsfree.cz 
>>> http://lists.vpsfree.cz/listinfo/community-list
>>> 
> 
> 
>> _______________________________________________ Community-list 
>> mailing list Community-list at lists.vpsfree.cz 
>> http://lists.vpsfree.cz/listinfo/community-list
> 
> _______________________________________________ Community-list
> mailing list Community-list at lists.vpsfree.cz 
> http://lists.vpsfree.cz/listinfo/community-list
> 
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2

iF4EAREIAAYFAlWlBlMACgkQgRwOVqYrsFUl2AD/doFfMlnkQURhK53h0TBPi+2j
3yIJvaa06sQrqfYJu7EBANY14Y1en0lbBfl5HPjtfB3if06AmP/IKpIhkhBVmUWU
=7J5u
-----END PGP SIGNATURE-----

More information about the Community-list mailing list