Автор Тема: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)  (Прочетена 5733 пъти)

vassy

  • Участници
  • ***
  • Публикации: 4
    • Профил
От известо време дискутираме темата за General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679) по няколко форума и специализирани сайтове. Ако сте чели по въпроса, това касае всички ви. От всякакви софтуери в търговия, фактуриране, работни заплати, маркетинг до онлайн магазини и сайтове за онлайн фактуриране. Проблема е много сериозен. Касае обработката на лични данни, тяхното криптиране и не само. Не срещнах споменавания на GDPR и 2016/679 във форума, за това и отварям темата.

Регламент 2016/679 предвижда нови правила относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни. Отменя Директива 95/46/EО и се прилага от 25 май 2018 г. Разширява се териториалният обхват и се увеличават санкциите – до 4% от оборота. В определени случаи компетентността по сигнали за нарушения се измества от КЗЛД към надзорните органи в други страни членки на ЕС. Касае всички компании, които за целите на дейността си събират, обработват или съхраняват лични данни – на служители, клиенти или трети лица.

При нас проблема идва от нуждата от криптиране на чувствителни полета в PostgreSQL база и държене на ключовете на друго място. Освен това базата е на отделна машина и комуникацията с основното приложение също трябва да е криптирана. При повечето от вас проблема е подобен, може би с MySQ или друга база. Пускам темата за дискусия докато е време. Регулацията влиза в сила на 25.05.2018 г.

Забележете, че не е нужно да се регистрирате като администратор на лични данни в КЗЛД за да важи и за вас регулацията, просто важи за всички, а глобите са твърде солени.

Още линлове:
https://en.wikipedia.org/wiki/General_Data_...tion_Regulation
https://www.cpdp.bg/?p=element&aid=991
https://www.cpdp.bg/?p=element&aid=1043
« Последна редакция: Sep 21, 2017, 19:49 от vassy »
Активен

jet

  • Напреднали
  • *****
  • Публикации: 1837
  • Distribution: debian sid
  • Window Manager: kde
    • Профил
Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)
« Отговор #1 -: Sep 22, 2017, 02:58 »
Криеш си програмата зад VPN и обясняваш, че е в локалната мрежа само, а за клауд дори не си чувал.
Ако си е-Комерс тогава е друга бира.
Активен

Linux: From WTF to OMG

vassy

  • Участници
  • ***
  • Публикации: 4
    • Профил
Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)
« Отговор #2 -: Sep 22, 2017, 09:25 »
За съжаление не е толкова просто. Дори софтуера да се ползва само локално, дори да не е и в локална мрежа, изискването за криптиране на чувствителната информация си остава. Може и чрез псевдонимизация, което препоръчва регламента, но е свързано с промяна на структурата на базата в повечето случаи и в самия софтуер.

Псевдонимизация – техника за защита на неприкосновеността, при която личните данни се обработват по начин, които не позволява идентификацията на физическото лице без употребата на допълнителна информация, която следва да се съхранява отделно от тези данни, под защитата на технически и организационни мерки.
Активен

spec1a

  • Напреднали
  • *****
  • Публикации: 1088
    • Профил
Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)
« Отговор #3 -: Sep 22, 2017, 09:46 »
   Ако базата данни е Oracle,там е сравнително лесно да се криптират само
отделни полета в дадена таблица, и да се  криптира комуникацията
между клиентите и сървъра (трябва да се създаде "wallet" и да се укаже
"(PROTOCOL=TCPS)" където трябва).
   Не разбрах обаче какво точно означава изискването "държене на
ключовете на друго място", нали се предполага,че частния ключ се
съхранява криптиран ?
Активен

Ipolit

  • Напреднали
  • *****
  • Публикации: 417
    • Профил
    • WWW
Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)
« Отговор #4 -: Sep 22, 2017, 10:33 »
Това пък къде го прочете, че е задължително. В регламента пише, че трябва да се вземат мерки за защита.
И другото е дадено като пример -

Цитат
наличието на подходящи гаранции, които могат да включват криптиране или псевдонимизация

Цитат
  когато е целесъобразно:
a)  псевдонимизация и криптиране на личните данни;

Като цяло, този регламент не променя общо взето нищо от досега, освен изискването за длъжностно лице по защита на данните, което  ще е някакъв паразит от външна фирма на абонамент.
Активен

Face Your FreeBSD at http://ipolit.hit.bg

spec1a

  • Напреднали
  • *****
  • Публикации: 1088
    • Профил
Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)
« Отговор #5 -: Sep 22, 2017, 11:42 »
   За съжаление коментарите и мненията кое,как и защо трябва да се
прави във връзка с тази откровено евроГейска перверзия са крайно
противоречиви, едни казват едно,други казват друго ...
   Досега не съм видял някакви конкретни указания от държавни органи -
министерства,агенции и т.н. А трябва да има !
Активен

Ipolit

  • Напреднали
  • *****
  • Публикации: 417
    • Профил
    • WWW
Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)
« Отговор #6 -: Sep 22, 2017, 11:53 »
Аз вече видях няколко адвокатски кантори, които предлагат да изпълняват длъжността лице по защита на данните. Според мен ще е нещо като с касовите апарати - всеки месец си плащаш абонамента.
А иначе ако базата се ползва офлайн, сървърът, на който е инсталирана, има парола и сървърната стая се заключва - отговаряш на изискванията.
Активен

Face Your FreeBSD at http://ipolit.hit.bg

spec1a

  • Напреднали
  • *****
  • Публикации: 1088
    • Профил
Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)
« Отговор #7 -: Sep 22, 2017, 12:16 »
   Едва ли е толкова просто.Работил съм на места,на които имаше чести
проверки от "4-те велики одиторски фирми"  (да не ги изреждам поименно  >:D )
,та нарочат ли те,на практика няма измъкване ...
   Най-добре е всеки да се поразрови из темата така, че да може
"да си върже гащите" както трябва.
Активен

remotexx

  • Напреднали
  • *****
  • Публикации: 810
    • Профил
Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)
« Отговор #8 -: Sep 22, 2017, 19:56 »
да дам и аз своята лепта.. ето и моите 5 ст.

Според мен барем един пример да бяха дали щеше да им свърши много повече работа отколкото целите тия писаници дето са изписали (но нали трябва да нахраним и бюрократите)

Според мен идеята е следната - пазиш данните на хората на друго място (и физически) където са си и криптирани (ама ключа го пазиш на още по-друго място - и физически) а към фронт енда (уебсайт за плащания ... и каквото се сетите още) хвърчи само един идентификатор на лицето и НИКАКВИ ДАННИ - сега дали ще е хеш някакъв или ИД от другата БД, аз лично бих предпочел хеш за по-бърза валидация.

...та нещо такова ми се види се опитали да обяснят бюрократите дето им е трудно да го разберат, камо ли да го обяснят кактко трябва.

Въпроси за домашно:

1) Кой ще пази пазачите? т.е. как ще проверяват отговаряте ли на изискванията т.е. ако ще трябва да им предоставите достъп ще трябва след като си идат да сменяте паролите за достъп, ами ако нещо отиде при конкуренцията по време на одита... т.е. кой ще пази пазачите?

2) Само физически ли ги интересува къде са данните? т.е. дали са разделени, само дали са криптирани или и двете? - тогава ако са ми в облака как ще проверят (тук също важи и 1. - без права за достъп в 'частния/публичния' ви облак не могат да влязат да проверят дали са криптирани)

--
т.е. всичко ще е на доверие май...

П.П. Пука им на гадните типове напр. че като хакнат уеб сайта (най-ниско висящия плод) че там има само ИД-та или хешове, доколкото тези ИД-та продължават да им плащат сметките и могат да цоцат парички напр.  >:( т.е. това че данните са съхранени отделно и са недостъпни не е гаранция че золумите са невъзможни - просто ограничават щетите т.е. като ви влезнат в акаунта на един сайт не могат да ви видят напр. ЕГН, адрес и пр. и не могат и другаде да се представят за вас - и само това т.е. само за това е всичката тая дандания...

П.П.П. А! И донякъде за да се отърват големите от отговорност (Гуглъ, Фейса и т.н.) защото сега каквото стане и кой където хакнат и все вика - от (Гугъл, Фейс... и т.н.) ми откраднаха паролата/данните, а че той тая парола/данни/ я ползва навсякъде хич и не мислят.. така че за да спят спокойно големите - отварят работа сега на малките ..защото при правилното прилагане и да ви откраднат ИД/хеш от напр. arena.bg/bradva.bg и т.н. нали се сещате че тоя същия хеш/ИД няма да работи на Гългъл.. и сие - и вече оправданието (от Гугъл ми откраднаха ...) няма да върви - т.е. вместо да глобяват Гугъл (почти) всяка г. от ЕС - сега ще глобяват много (стотици... може би хиляди) малки фирмички за да получат горе-долу същата сума.. щото (евро)бюрократа и той човек и той... (..ама за 5 ст. толкова)
« Последна редакция: Sep 22, 2017, 20:08 от remotexx »
Активен

jet

  • Напреднали
  • *****
  • Публикации: 1837
  • Distribution: debian sid
  • Window Manager: kde
    • Профил
Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)
« Отговор #9 -: Sep 22, 2017, 20:25 »
Да, ама ти говориш за пазене на логин данните с тези хешове. Какво правим след всяка покупка - ти излиза верификацията за адреса и кредитната карта. Как ще ги държиш настрани и няма да ги покажеш на уеб сайта - трябва да ги покажеш.

Другия вариант е минаваш само на Биткоини и казваш сори аз клиентски данни не пазя, само пощенски адрес дето се показва и в Гугъл.

От оригиналните линкове първият не работи. Та от това дето четох в другите се говори само за Компетентните лица които обработват потребителска информация (демек държваните структури).
Активен

Linux: From WTF to OMG

remotexx

  • Напреднали
  • *****
  • Публикации: 810
    • Профил
Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)
« Отговор #10 -: Sep 23, 2017, 01:36 »
Ами аз предполагам че закона е точно за това за пазенето..ъ-ъ-ъ така де съхраняването и евентуално верификация на потребителските данни...
А иначе при предаване предполагам едно обикновено криптиране ще свърши работа, защото е очевидно, че като си въведеш данните в някия уеб форма те така или иначе трябва по някакъв начин да стигнат от фронт енда /уебсайта/ до бек енда /БД и пр./
Ама то днес минимума е https и ако знаеш само колко разработчици минават само и единствено само с това - добро оправдание - и минава..за пред лаиците.. Като го чуя и винаги се сещам за ITCrowd където мацката извади едно устройство и ги убеди че видите ли те това е интернета - целия

https://www.youtube.com/watch?v=Vywf48Dhyns


П.П. Биткоина не е удачен заместител, защото за да получиш нещо първо трябва да платиш, а при биткойн плащането е окончателно и безвъзвратно, а после ходи обяснявай че стокатаа не дошла, а ако ще е с биткоини но през борса, банка и пр. то пак опираме до съхраняването на данните, кой ще пази пазачите и т.н.

Иначе няма нищо сигурно - ети едно интересно четиво/видео
https://goo.gl/XNNMTH

За да хванеш данните при предаването трабва да седиш дни за да хванеш цялата БД а колкото повече седиш на жицата по-голям риск да те хванат...бе друго си е направо да им източиш БД.. Естествено после предлагаш да им я върнеш срещу по-добро заплащане ..Иначе отива при другите ..и тамвече употреба „по предназначение”
« Последна редакция: Sep 23, 2017, 02:08 от remotexx »
Активен

rvladimirov

  • Участници
  • ***
  • Публикации: 5
    • Профил
Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)
« Отговор #11 -: Sep 23, 2017, 19:28 »
За решаването на даден проблем трябва първо да се изясни от какво се поражда. Проблемът с чувствителните лични данни е в няколко аспекта:
1. Какво са чувствителни лични данни -  това е информация запазена под каквато и да е форма, чрез която може да се идентифицира дадения субект лице. Какво би означавало това: Проблемът е създаден от държавната администрация със същата тази цел, т.е. надеждно идентифициране, а сега в съвременния глобален свят, където границите са на практика само за държавните администрации, а не за личностите. В тази връзка ЕГН е основен източник за идентификация + трите имена и вече имаме чуствителни лични данни, ако добавим и адрес с пощенски код Град.  ,
Извод: Чувствителни данни са данните от личната ти карта, техните копия под каквато и да е форма, настоящият ти адрес. Обвързаност с други хора, здравословно състояние, политическа принадлежност и др.
Как да защитим личните данни. Трябва да се разкъса връзката между различните детайли от информацията.
Решения: криптиране на ЕГН, имена или пощенски код и град, останалите полета не са достатъчни за идентифициране.
Проблеми: Индексното търсене в криптирани полета е трудно или невъзможно. Опасност от ненадежно криптиране - при странична атака на криптиращите физически устройсва може да доведе до загуба на информация т.е. криптиране с невъзможност за възстановяване. Това е сериозен проблем при асинхронно съхранение на информация. Друг проблем е съхраняването на информацията, заедно с инструмента за обработка, т.е. изпълнителната част на програмата и база с данни на едно физическо място. Евентуално при тази конфугурация може да се открадне физическата машина и това на практика обезсмисля криптирането и хеширането. Ключодържателите са добро решение, но трябва да са съхранени на "добро" място, евентуално в карта. Друг основен проблем е загубата на ключовете за криптиране, ако това се случи това ще е загуба на пълната информация.
Какво трябва да се защити: Първо данните, може би криптация на целият диск с базата данни или криптиране на отделни колони с функции ползващи pgp криптация с ключове и ид-ве за криптиране/декриптиране.
Пътят до данните: повечето случаи достъпа на инструмента до базите става по някой от интернет протоколи или през сокет. Обикновено се прави с потребител, ползван от инструмента за вход в базата. Примерите са много в българския софтуер. Имаш възможност да манипулираш която си искаш база данни без инструмента, който го прави. Рядко се срещат свързвания с бази данни през криптирани протоколи.
Инструмента: Обиновенно това е приложение разчитащо на затворена библиотека с неясни действия вътре в нея, при тази ситуация много ясно в регламента е казано, че се наказва организацията ползвател на този инструмент/библиотека, това е доста сериозно предизвикателство за разработчиците, те трябва да гарантират по някъв начин, че използват напълно прозрачен инструмент. openPGP, openSSL е добро решение.
Последният и немаловажен проблем е: Възможноста по искане на субектите да се заличи информацията. Това в момента е най-сериозният проблем, защото при сегашния модел на изисквания на публичната администрация са изградени множество копия на лини данни под формата на хартиени носители, електронни копия, и множество електронни архиви  и прочие. С други думи като се започне от личната карта с милионите си копия някъде си до данни върху фактури и всякакви други бланки. Какво касае програмистите за горното, да му мислят умните глави. Принципно е необходимо да се раздели архивирането на лични данни и други данни, за да има възможност да се проследи и изстрие информацията.
За мен решение на част от проблемите е:
1. Уеб базиран инструмент с https надежно подписана страница.
2. Връзка с бази дании през ssl/tcl протокол.
3. Инструменти за дроп на сесии въз основа на отказан достъп.
4. Криптиране на полета с ид информация ЕНГ и прочие, и по скоро обединяване в единна таблица за да се използва маскиране с ИД
5. Архивиране на данни с чувствителна информация в некомпресиран вид и с криптация.
6. Използване на keystore инструменти за частния и публичния ключ.
7. Времево зависимо прекодиране с нов ключ и проверка.
« Последна редакция: Sep 23, 2017, 21:11 от rvladimirov »
Активен

remotexx

  • Напреднали
  • *****
  • Публикации: 810
    • Профил
Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)
« Отговор #12 -: Sep 24, 2017, 00:21 »
...чувствителните лични данни ...:
Извод: Чувствителни данни са данните от ...

Извод: Данните нямат чувства, че да са чувствителни, .. сега че някой бюрократ на държавна хранилка така го превел - то това е било само с цел "усвояване" на едни пари...
по-правилно е да се каже "конфиденциални данни" макар че това пък е чуждица и най-правилно би било поверителни данни.
« Последна редакция: Sep 24, 2017, 00:23 от remotexx »
Активен

jet

  • Напреднали
  • *****
  • Публикации: 1837
  • Distribution: debian sid
  • Window Manager: kde
    • Профил
Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)
« Отговор #13 -: Sep 24, 2017, 04:13 »
И понеже няма единен стандарт за криптиране, всеки ще се спасява по единично - един бъг в програмите/библиотеките и данните може и да не бъдат годни за декриптиране. Тогава не знам и дизастър рекавъри как ще се направи.
Активен

Linux: From WTF to OMG

rvladimirov

  • Участници
  • ***
  • Публикации: 5
    • Профил
Re: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)
« Отговор #14 -: Sep 24, 2017, 10:07 »
Има разлика в понятията чуствителни и конфединциални данни. Чуствителни данни са тези, който чрез оповестяването им могат да ти навредят на емоционалното ти състояние. Конфединциални данни са тези който могат да те локализират физически.
Превода е точен, правете разлика.
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
SPOOF PROTECTION in SuSEfirewall2
Хардуерни и софтуерни проблеми
kris_p 8 1740 Последна публикация Sep 04, 2004, 21:02
от ohubohu
QOS General
Преводи на документация
the_real_maniac 0 1073 Последна публикация Nov 18, 2004, 17:37
от the_real_maniac
Търси се General Java Developer.
Търсене
Kalina 0 1295 Последна публикация Jan 20, 2005, 16:51
от Kalina
Linux protection
Идеи и мнения
gotha 4 1258 Последна публикация Nov 14, 2006, 11:12
от gotha
ПРЕМЕСТЕНО: Coliberator 2016 - конференция в Букурещ
Идеи и мнения
neter 0 1316 Последна публикация Jun 10, 2016, 14:22
от neter