[vpsFree.cz: community-list] vpsFree.cz a GDPR

Jindřich Sadílek jindrich.sadilek at gmail.com
Wed Jan 31 01:41:28 CET 2018 

Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela jiná pak
jendotliví správci vlastních žiletek.
Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a
pošlete semtam email, natož považovatelný za reklamní? Jste v tom
až po uši...

Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:
> Problém je, že tohle všechno řeší technické věci, které udělat chceš,> ale neřeší to chybějící papíry, které potřebuješ pro úřad.
> 
> Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že> jsem náhodou včas prodal akcie" nějakou skutečnou ochranu
> osobních údajů> v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti vymysleli> směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak,> jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to
> nesmysl!" nic nezachrání.
> 
> Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný právní> akt. Pokud je právním aktem - dostatečným pro úřad - členství v
> vpsfree,> tak je asi všechno v poho.
> (http://www.privacy-regulation.eu/cs/28.htm)> Pokud ne, tak je problém.
> 
> Jinak teda
> 
> > Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
> zodpovednost, best practices v ohledu bezpecnosti davno sleduje.
> 
> Co když to neví, nebo na to dlabe? :-)
> 
> 
> Pavel Snajdr wrote:
>> Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez
>> zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou PHPkovinu
>> a data, ktery by bylo potreba chranit, jsou primo v DB, kam ty PHP
>> spagety vidi.>> 
>> A co ted s tim, vypneme to vsehno? ;)
>> 
>> Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad tim
>> clovek zamysli, zasifrovat vsechno taky neni reseni.>> 
>> Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu nosit
>> klicenku s trhavinou na flashkach, mame vymluvu, proc plosne nasadit
>> sifrovani, proc se nam nepujde dostat do racku neautorizovane, aniz
>> by to neodmazlo klice a neshodilo vsehno chraneny (tj. abys nam fakt
>> nechtel otevrit ten rack).>> 
>> Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak muzem nase
>> systemy postupne posouvat vic smerem plausible deniability, tj.
>> soukromi je level jedna, level nuda, ale co nam to umozni je ochranit
>> i adminy pred tim, aby vedeli, co clen bezi.>> 
>> Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni bez
>> toho, aby to vypadalo, jako kdyz se chystame hostovat tunu detskyho
>> porna a lokalni pobocku CIA. Jenom to nebude vsehno hned - a nektery
>> levely zabezpeceni na sharovanym hardwaru ani nepujde udelat.>> 
>> Chci:
>> 
>> - sifrovani v ZoL
>> - aby clen mel moznost klic per dataset neulozit, ale zadat si ho sam
>>   pres bezpecny kanal (ssh/https api call)>> - monitoring otevreni racku co bez nahlaseni predem donuti masiny
>>   smazat klice z RAM>> 
>> Ale tohle je furt malo, pokud admini nemaji vedet, co clen bezi. Ani
>> fullvirt ani se sifrovanou RAM na AMD nam nepomuze, takze resim, jak
>> zahostovat single board desky pro cleny, kteri chteji mit moznost
>> nejcitlivejsi data mit fakt soukrome.>> 
>> Ve finale:
>> 
>> - budes mit moznost data na VPS sifrovat svymi hesly, ktera se u nas
>>   nebudou ukladat (prusvih je, ze my nemame jak dokazat, ze jsme to
>>   nikde neulozili)>> 
>> - pri neautorizovanym pristupu do racku se klice smaznou, to samy pri
>>   rebootu/resetu a je pak na tobe zvazit, jestli je OK data uz
>>   odemknout>> 
>> - budes mit moznost nejcitlivejsi data vysoupnout vedle po siti na
>>   svuj dedikovanej systemek kalibru ARM Cortex A53, do budoucna
>>   RISC-V>> 
>> Problem nastava, kdyz s adminkem pujde do datacentra nekdo
>> sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak admin
>> nema moznost ani nejak kliknout smazani klicu, nebo aspon nejakej
>> counter na webu ve smyslu kanarka, ktery bude pocitat pocet podobnych
>> incidentu.>> 
>> Shared computing ma svoje limity, bohuzel, jestli sledujes, kam
>> tim mirim.>> 
>> GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do
>> budoucna nam dava zaminku jit na to vic z husta, co se soukromi tyce.>> 
>> Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a
>> teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem?
>> Nemuze, at si stezuje v Bruselu.>> 
>> Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne to
>> papirovani. V druhy vlne se musime zbavit nedostacujiciho OpenVZ,
>> vpsAdminOS ma podstatne lip ovladatelnejsi bezpecnostni politiku - a
>> je odspoda nahoru cely podepsany a verifikovatelny.>> 
>> /snajpa
>> 
>>> On 30 Jan 2018, at 23:41, Jaroslav Skrivan <skrivy at skrivy.net>
>>> wrote:>>> 
>>> Jenom moje osobni zkusenost - odnest si cizi disky z datacentra neni
>>> zas takovy problem, jak se na prvni pohled muze zdat.>>> From: Pavel Snajdr
>>> Sent: ‎1/‎30/‎2018 10:49 PM
>>> To: vpsFree.cz Community list
>>> Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
>>> 
>>> Ahoj,
>>> 
>>> GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho jsou
>>> vsichni vyjukani uplne, ale naprosto totalne zbytecne.>>> 
>>> Podivej se, co bezime za procesory.
>>> 
>>> Jak ma nekdo neco v takovym stavu vubec industry-wide za neco rucit?>>> 
>>> Za mne je GDPR o tom a pouze o tom, ze musime podepsat papir s
>>> lidmi, co maji admin pristupy, aby acknuli oficialne svoji
>>> zodpovednost.>>> 
>>> V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle posledni
>>> zkusenosti s PCR a PSR jim k identifikaci ani to nemusi stacit...).>>> 
>>> Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.
>>> 
>>> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
>>> zodpovednost, best practices v ohledu bezpecnosti davno sleduje.>>> 
>>> A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to vyresi, tak se
>>> rovnou zeptam - a borci, jak se k tomu asi programy na ty masine
>>> dostanou? Hint: stejne musi byt data odemcena pri behu. A ze se k
>>> nim neco dostane za behu je mnoooohem pravdepodobnejsi, nez ze nam z
>>> hlidanyho datacentra nekdo ukradne disky a vycte si neco offline.>>> 
>>> Tedy, muj nazor je, ze vubec neni potreba panikarit a natoz se
>>> uchylovat k reseni stylem ‘radsi to na vpsFree nedam vubec’. To ty
>>> servery muzeme rovnou vypnout totiz - a cely to zabalit s tim, ze
>>> jsme se nechali prevalcovat byrokratama.>>> 
>>> /snajpa
>>> (Pavel Snajdr)
>>> (Predseda vpsFree.cz)
>>> (+420 720 107 791)
>>> 
>>>> On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN <lukas at aiken.cz>
>>>> wrote:>>>> 
>>>> Ahoj,
>>>> 
>>>> pokud si vzpomínám, tak něco podobného už se řešilo na valné
>>>> hromadě>>>> (byť ještě nebylo nařízení GDPR). A situace je v podstatě taková,
>>>> že to>>>> asi příliš řešit nelze, protože by to pro spolek znamenalo velkou
>>>> administrativní zátěž a značný nárůst nákladů.
>>>> 
>>>> Čili asi nejčistším řešením v tuto chvíli je, nevyužívat servery
>>>> vpsFree.cz k ukládání osobních údajů - přinejmenším do doby, než se>>>> všechny záležitosti vyřeší (a než vůbec vznikne nějaký závazný
>>>> výklad>>>> různých ustanovení směrnice).
>>>> 
>>>> Lukáš Jelínek
>>>> 
>>>> 
>>>> 
>>>>> Ahoj ve spolek!
>>>>> 
>>>>> Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR se pomalu ale
>>>>> jistě>>>>> blíží. Bohužel jsem byl, ač neprávník do této problematiky trochu>>>>> zatlačen a byly na mě již vzneseny dotazy týkající se GDPR a
>>>>> vpsFree.>>>>> 
>>>>> Myslím, si, že je nás více, kteří na VPS máme uloženy nějaké ty
>>>>> osobní>>>>> údaje (adresy, emaily, apod.) a skoro všichni máme nějaký ten
>>>>> webserver, kde se logují IP adresy, které jsou rovněž
>>>>> považovány za>>>>> osobní údaje. Díky tomu jsme z pohledu GDPR považování za správce>>>>> osobních údajů. Podle článku 4 GDPR se zpracovaním osobních údajů>>>>> rozumí také ukládání osobních údajů. Z toho plyne, že jakýkoliv
>>>>> poskytovatel cloudových služeb, hostingu, VPS, atd. je vůči
>>>>> správci v>>>>> postavení zpracovatele osobních údajů. Článek 28 GDPR potom řeší
>>>>> vztah>>>>> zpracovatele a správce, kde mj. požaduje nějaký smluvní vztah mezi>>>>> nimi. Když to převedu na protředí vpsFree tak členové jsou v
>>>>> podstatě>>>>> správci osobních údajů a vpsFree je zpracovatelem osobních údajů.>>>>> 
>>>>> Můj dotaz zní, zda a jak bylo nebo bude GDPR řešeno na úrovní
>>>>> vpsFree?>>>>> V podstatě asi jde o to, aby bylo v případě kontroly z UOOÚ možno>>>>> něčím nebo nějak prokázat, že vpsFree je v souladu s GDPR a taky
>>>>> garantuje, že data nebudou uložena mimo EU. Věřím, že v našich
>>>>> řadách>>>>> jsou kompetentnější členové v této věci jako já a tak bých rád
>>>>> otevřel>>>>> diskusi.
>>>>> 
>>>>> Honza.
>>>>> 
>>>> 
>>>> _________________________________________________
>>>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>> 
>>> _________________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>> _________________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>> 
>> 
>> 
>> _________________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>> 
> _________________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20180131/2c1a3a52/attachment-0001.html>

More information about the Community-list mailing list