[vpsFree.cz: community-list] vpsFree.cz a GDPR
zd nex
zdnexnet at gmail.com
Wed Jan 31 08:12:06 CET 2018
Ahojte,
také si tu směrnici vykládám tak, že každý člen musí za data na VPS
zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že je o
tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně o to,
jestli stačí to co je ve stanovách - či jestli nějak bude také potřeba tedy
domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree nějak odděleně,
nebo bude pouze stačit, aby to bylo ve stanovách - že jsou zde admini a
následně jednotlivý členové co pracují s VPS(kteří jsou zodpovědní za
data)? Tzn tím pádem, by nemělo být nutné nic měnit, kromě té specifikace -
kdo a jaký má přístup k VPS a jakou zodpovědnost (plnou).
--
S pozdravem,
Zdeněk Dlauhý
Email:support at pripravto.cz
Mobil: +420 702 549 370
Web: www.pripravto.cz
Dne 31. ledna 2018 6:21 Petr Juhaňák <petr at juhanak.cz> napsal(a):
> Je to tak jak rika Jirka.
>
> VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere eviduje
> o clenech a sepise si na papir kde a v jakem rozsahu jsou a hlavne
> zadokumentuje jaka opatreni uz ma (procesy a technicka nastaveni) aby to
> vypadalo jako rizena prace s riziky. Pak pravni dokumenty typu informovane
> souhlasy.
>
> To same si udelaji clenove ale v jinem ramci, uz na urovni jejich
> provozovane technologie php eshopy a podobne a zase seznam opatreni, proces
> kdyz nekdo odvola souhlas se zpracovanim, seznam opatreni.
>
> To jsou veci ktere si kazdy muze pripravit uz ted.
>
> Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je mylna.
> To si musi zajistit kazdy clen sam, tj. nemluvim o technickem svete.
>
>
>
> S pozdravem
> Petr Juhaňák
>
> petr at juhanak.cz | +420 739 639 132 <+420%20739%20639%20132>
>
>
> -------- Původní zpráva --------
> Od: Jindřich Sadílek <jindrich.sadilek at gmail.com>
> Datum: 31.01.18 1:41 (GMT+01:00)
> Komu: community-list at lists.vpsfree.cz
> Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
>
> Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela jiná pak
> jendotliví správci vlastních žiletek.
>
> Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a pošlete
> semtam email, natož považovatelný za reklamní? Jste v tom až po uši...
>
>
> Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:
>
> Problém je, že tohle všechno řeší technické věci, které udělat chceš,
> ale neřeší to chybějící papíry, které potřebuješ pro úřad.
>
> Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že
> jsem náhodou včas prodal akcie" nějakou skutečnou ochranu osobních údajů
> v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti vymysleli
> směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak,
> jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to
> nesmysl!" nic nezachrání.
>
> Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný právní
> akt. Pokud je právním aktem - dostatečným pro úřad - členství v vpsfree,
> tak je asi všechno v poho. (http://www.privacy-regulation.eu/cs/28.htm)
> Pokud ne, tak je problém.
>
> Jinak teda
>
> > Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
> zodpovednost, best practices v ohledu bezpecnosti davno sleduje.
>
> Co když to neví, nebo na to dlabe? :-)
>
>
> Pavel Snajdr wrote:
>
> Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez zvednuti my
> pohodlny zadele, obzvlast pokud jedes nejakou PHPkovinu a data, ktery by
> bylo potreba chranit, jsou primo v DB, kam ty PHP spagety vidi.
>
> A co ted s tim, vypneme to vsehno? ;)
>
> Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad tim clovek
> zamysli, zasifrovat vsechno taky neni reseni.
>
> Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu nosit klicenku
> s trhavinou na flashkach, mame vymluvu, proc plosne nasadit sifrovani, proc
> se nam nepujde dostat do racku neautorizovane, aniz by to neodmazlo klice a
> neshodilo vsehno chraneny (tj. abys nam fakt nechtel otevrit ten rack).
>
> Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak muzem nase
> systemy postupne posouvat vic smerem plausible deniability, tj. soukromi je
> level jedna, level nuda, ale co nam to umozni je ochranit i adminy pred
> tim, aby vedeli, co clen bezi.
>
> Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni bez toho, aby
> to vypadalo, jako kdyz se chystame hostovat tunu detskyho porna a lokalni
> pobocku CIA. Jenom to nebude vsehno hned - a nektery levely zabezpeceni na
> sharovanym hardwaru ani nepujde udelat.
>
> Chci:
>
> - sifrovani v ZoL
> - aby clen mel moznost klic per dataset neulozit, ale zadat si ho sam pres
> bezpecny kanal (ssh/https api call)
> - monitoring otevreni racku co bez nahlaseni predem donuti masiny smazat
> klice z RAM
>
> Ale tohle je furt malo, pokud admini nemaji vedet, co clen bezi. Ani
> fullvirt ani se sifrovanou RAM na AMD nam nepomuze, takze resim, jak
> zahostovat single board desky pro cleny, kteri chteji mit moznost
> nejcitlivejsi data mit fakt soukrome.
>
> Ve finale:
>
> - budes mit moznost data na VPS sifrovat svymi hesly, ktera se u nas
> nebudou ukladat (prusvih je, ze my nemame jak dokazat, ze jsme to nikde
> neulozili)
>
> - pri neautorizovanym pristupu do racku se klice smaznou, to samy pri
> rebootu/resetu a je pak na tobe zvazit, jestli je OK data uz odemknout
>
> - budes mit moznost nejcitlivejsi data vysoupnout vedle po siti na svuj
> dedikovanej systemek kalibru ARM Cortex A53, do budoucna RISC-V
>
> Problem nastava, kdyz s adminkem pujde do datacentra nekdo
> sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak admin nema
> moznost ani nejak kliknout smazani klicu, nebo aspon nejakej counter na
> webu ve smyslu kanarka, ktery bude pocitat pocet podobnych incidentu.
>
> Shared computing ma svoje limity, bohuzel, jestli sledujes, kam tim mirim.
>
> GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do budoucna nam
> dava zaminku jit na to vic z husta, co se soukromi tyce.
>
> Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a teroristum,
> kdyz mame racky obehnany pomalu ziletkovym dratem? Nemuze, at si stezuje v
> Bruselu.
>
> Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne to
> papirovani. V druhy vlne se musime zbavit nedostacujiciho OpenVZ,
> vpsAdminOS ma podstatne lip ovladatelnejsi bezpecnostni politiku - a je
> odspoda nahoru cely podepsany a verifikovatelny.
>
> /snajpa
>
> On 30 Jan 2018, at 23:41, Jaroslav Skrivan <skrivy at skrivy.net> wrote:
>
> Jenom moje osobni zkusenost - odnest si cizi disky z datacentra neni zas
> takovy problem, jak se na prvni pohled muze zdat.
> From: Pavel Snajdr
> Sent: 1/30/2018 10:49 PM
> To: vpsFree.cz Community list
> Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
>
> Ahoj,
>
> GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho jsou vsichni
> vyjukani uplne, ale naprosto totalne zbytecne.
>
> Podivej se, co bezime za procesory.
>
> Jak ma nekdo neco v takovym stavu vubec industry-wide za neco rucit?
>
> Za mne je GDPR o tom a pouze o tom, ze musime podepsat papir s lidmi, co
> maji admin pristupy, aby acknuli oficialne svoji zodpovednost.
>
> V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle posledni
> zkusenosti s PCR a PSR jim k identifikaci ani to nemusi stacit...).
>
> Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.
>
> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
> zodpovednost, best practices v ohledu bezpecnosti davno sleduje.
>
> A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to vyresi, tak se rovnou
> zeptam - a borci, jak se k tomu asi programy na ty masine dostanou? Hint:
> stejne musi byt data odemcena pri behu. A ze se k nim neco dostane za behu
> je mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho datacentra nekdo
> ukradne disky a vycte si neco offline.
>
> Tedy, muj nazor je, ze vubec neni potreba panikarit a natoz se uchylovat k
> reseni stylem ‘radsi to na vpsFree nedam vubec’. To ty servery muzeme
> rovnou vypnout totiz - a cely to zabalit s tim, ze jsme se nechali
> prevalcovat byrokratama.
>
> /snajpa
> (Pavel Snajdr)
> (Predseda vpsFree.cz)
> (+420 720 107 791 <+420%20720%20107%20791>)
>
> On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN <lukas at aiken.cz> wrote:
>
> Ahoj,
>
> pokud si vzpomínám, tak něco podobného už se řešilo na valné hromadě
> (byť ještě nebylo nařízení GDPR). A situace je v podstatě taková, že to
> asi příliš řešit nelze, protože by to pro spolek znamenalo velkou
> administrativní zátěž a značný nárůst nákladů.
>
> Čili asi nejčistším řešením v tuto chvíli je, nevyužívat servery
> vpsFree.cz k ukládání osobních údajů - přinejmenším do doby, než se
> všechny záležitosti vyřeší (a než vůbec vznikne nějaký závazný výklad
> různých ustanovení směrnice).
>
> Lukáš Jelínek
>
>
>
> Ahoj ve spolek!
>
> Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR se pomalu ale jistě
> blíží. Bohužel jsem byl, ač neprávník do této problematiky trochu
> zatlačen a byly na mě již vzneseny dotazy týkající se GDPR a vpsFree.
>
> Myslím, si, že je nás více, kteří na VPS máme uloženy nějaké ty osobní
> údaje (adresy, emaily, apod.) a skoro všichni máme nějaký ten
> webserver, kde se logují IP adresy, které jsou rovněž považovány za
> osobní údaje. Díky tomu jsme z pohledu GDPR považování za správce
> osobních údajů. Podle článku 4 GDPR se zpracovaním osobních údajů
> rozumí také ukládání osobních údajů. Z toho plyne, že jakýkoliv
> poskytovatel cloudových služeb, hostingu, VPS, atd. je vůči správci v
> postavení zpracovatele osobních údajů. Článek 28 GDPR potom řeší vztah
> zpracovatele a správce, kde mj. požaduje nějaký smluvní vztah mezi
> nimi. Když to převedu na protředí vpsFree tak členové jsou v podstatě
> správci osobních údajů a vpsFree je zpracovatelem osobních údajů.
>
> Můj dotaz zní, zda a jak bylo nebo bude GDPR řešeno na úrovní vpsFree?
> V podstatě asi jde o to, aby bylo v případě kontroly z UOOÚ možno
> něčím nebo nějak prokázat, že vpsFree je v souladu s GDPR a taky
> garantuje, že data nebudou uložena mimo EU. Věřím, že v našich řadách
> jsou kompetentnější členové v této věci jako já a tak bých rád otevřel
> diskusi.
>
> Honza.
>
>
> *_______________________________________________*
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
> *_______________________________________________*
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
> *_______________________________________________*
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
>
>
> *_______________________________________________*
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
> *_______________________________________________*
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20180131/f2148b08/attachment-0001.html>
More information about the Community-list
mailing list