13 Bezpieczeństwo stron WWW 3 minuty czytania

Polityka bezpieczeństwa (dane osobowe)

Reklama Na BlogachNie wiem czy zdajecie sobie sprawę, ale każdy serwis, który przechowuje dane wrażliwe (takie jak między innymi login i hasło) powinien odpowiednio zadbać o ich bezpieczeństwo. Nie chodzi tutaj tylko o zakodowanie hasła (np. md5) a o odpowiednie zabezpieczenie fizyczne maszyn przechowujących te dane.

W aktualnym – majowym (5/2009) – numerze czasopisma hackin9 jest artykuł poświęcony „Polityce ochrony danych osobowych”. Główny nacisk jest kładziony przede wszystkim na prawny aspekt bezpiecznego przechowywania danych. Począwszy od:

  • wykazu pomieszczeń (z serwerami), w których są przetwarzana dane osobowe,

poprzez:

  • wykaz zbiorów danych osobowych (loginy, hasła, dane teleadresowe) i programów wykorzystywanych do przetwarzania danych,
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązań między nimi (czyli np. projekt relacyjnej bazy danych),
  • sposób przepływu danych między poszczególnymi systemami.

Kończąc na środkach technicznych i organizacyjnych, które są niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Powyższe reguły regulują odpowiednie zapisy prawne. W praktyce wygląda to tak, że mniejsze serwisy nie zgłaszają swoich baz danych do Generalnego Inspektora Ochrony Danych Osobowych – bo po? Problem pojawia się potem, gdy serwis zaczyna się rozkręcać. Tak było w przypadku naszej klasy, gdzie w pewnym momencie była potrzeba kontrola, aby upewnić się dane milionów użytkowników są bezpieczne.

Po szczegóły prawne i techniczne zapraszam do lektury hackin9. Bardzo ciekawe informacje się tam znajdują i każdy chcący poszerzyć swoją wiedzę na temat bezpieczeństwa stron powinien się z nią zapoznać.



Raz w miesiącu e-mail z najlepszymi artykułami

Zdjęcie autora wpisu - Piotr Cichosz

Piotr Cichosz — autor wpisu

Frontend developer. Tworzę zaawansowane systemy webowe w JS. Swoją wiedzę nt. SEO wykorzystuję do rozwijania własnych projektów (z lepszym lub gorszym efektem). Dużo eksperymentuję i staram się określić jak bardzo można nagiąć cierpliwość algorytmów Google (:.

Komentarze 13

author Michał 12.05.2009 09:26:21

"programów wykorztstywanych" błędnie napisane powinno być "programów wykorzystywanych"
"zakodowanie hasła (np. md5)" lepszym przykładem jest sha1.

author shpyo www 12.05.2009 09:35:10

Dzięki za uwagę ;). Co do kodowania, to kwestia sporna. SHA1 - o ile dobrze pamiętam - zostało złamane przez dwie Chinki.

author Jurgi www 12.05.2009 09:44:36

Czy artykuł omawia sprawę tylko z punktu widzenia właścicieli serwerów, twórców serwisów? Czy zwykły user też tam znajdzie coś dla siebie?

author shpyo www 12.05.2009 09:46:38

z punktu widzenia prawa ;) więc dla zwykłego też się coś znajdzie

author Nomad www 12.05.2009 10:15:02

Zgodnie z ustawą o ochronei daych osobowych, login i hasło to nie są dane wrażliwe. Nie są to też zupełnie dane osobowe.

Serwisy nie mają zawsze obowiązku zgłaszania baz danych do GIODO. To czy muszą, zależy od celu i zakresu przetwarzanych danych. Poza wszystkim, zgoszenie zbioru to mały pikuś w porównaniu z całą papierologią, którą trzeba utworzyć. A to (zarówno zgłosenie jak i zrobienie papierologi) można zrobić w każdym momencie.

Aby stwierdzić, czy wszystko jest w porządku w NK, nie potrzebna była kontrola. Kontrola była przeprowadzona na podstawie informacji o niezgodności przetwarzania danych z ustawą.

Jeżeli już popełnisz tekst sponsorowany, to zadaj sobie chociaż trochę trudu, żeby poznać temat, a przynajmniej przeczytaj ze zrozumieniem rzeczony artykuł. To co piszesz jest to stek bzdur. Wrzucasz po prostu (prawie losowo) trudne i mądrze wyglądajaće dla laików frazy.

author shpyo www 12.05.2009 10:36:20

Nomad, przecież nie będę streszczał całego artykułu z gazeta. To się mija z celem. Wiem o robotach papierkowych związanych z tym tematem - jest to zawarte w artykule.

Login i hasło jest daną wrażliwą o ile jest to identyfikator na podstawie którego można robić jakieś transakcje (np. przelew w banku przez Internet, aukcje na allegro) gdzie wykorzystywane są dane osobowe (nip, adres, telefon itp). Na lubelskim barcampie, NetDay, gdy był oficer policji ds. walki z przestępczością w Internecie mówił o tym.

Co do NK to nie chodziło o niezgodność przetwarzania danych, tylko o jakiegoś "haxora", która napisał sobie pajączka do pobierania danych osobowych z NK (po zalogowaniu) i to wywołało aferę, że NK nie zabezpiecza odpowiednio danych. Zapoznaj się proszę z całą sprawą, było o tym głośno w różnych mediach.

Co do trudnych słów, to o to chodzi ;). Musi być PRO! Po za tym, dzięki temu jest teraz dyskusja/wymiana poglądów.

author Nomad www 12.05.2009 11:21:31

Co do danych wrazliwych, skoro piszesz o ustawie o ochronie danych osobowych, to zajrzyj do ustawy. Tam masz definicję danych wrażliwych. W żadnym wypadku login i hasło to nie są dane wrażliwe. Pan policjant pierniczył jak pokręcony albo mówił o danych które nalezy zabezpieczać ze względu na ich wartość. W żadnym razie nie mówił o danych osobowych. Tak - imie, nazwisko, adres, telefon, są to dane osobowe, bo na ich podstawie można dokonać identyfikacji osobowy - ale są to dane osobowe zwykłe. Dane wrażliwe, są to według ustawy informacje o stanie zdrowia, religii... Osoby, które powinny przekazywać rzetelną informację same nie do konca wiedzą co piszą.
Podobnie było na którymś 3campie, gdzie jakiś nieopierzony pracownik firmy adwokacjkiej uskuteczniał, że samo imie i nazwisko to dane osobowe.

Co do NK - w tym momencie też pokazujesz, że nie wiesz co piszesz. To, że pajączek mógł zadziałać, było skutkiem nieprzestrzegania ustawy i rozporzadzenia ministra spraw wewnętrznych i administracji czyli brakiem odpowiedzniego zabezpieczenia zbiorów danych. Było skutkiem a nie przyczyną. Właściciele NK nie dołozyli wszelkiej staranności w celu ochrony danych osobowych ludzi na portalu.

Jeżeli chcesz podyskutowac o ochronie damych osobowych, to zapraszam na GL na forum ABI. Wcześniej jednak zajrzyj na strone GIODO (giodo.gov.pl), poczytaj opinie i przejdź szkolenie on-line... To da Ci jakiekolwiek podstawy wiedzy.

Do moich obowiązków pracowniczych nalezy dbanie o wypełnianie nałozonych przez uodo obowiązków. Jestem po prostu ABI (adminstratorem bezpieczeństwa informacji), więc zaufaj mi - wiem co piszę - bo pisze z praktyki a nie z jednego artykułu i zasłyszanej pogadanki z p. policjantem.

Jest mi przykro, ale takie wpisy jak Tój robią ludziom wode z mózgu i potem powołują się na jakieś zasłyszane informacje. A potem jest wesoło, jak delikwent wręcz nakazuje usunięcie swoich danych po wystawieniu faktury, bo słyszał, że może żądać ich usunięcia. A nie slyszał, ze firma powinna przetwarzać te dane przez 5 lat, bo tak nakazuje inna ustawa. :)

author ps 12.05.2009 22:01:33

@Nomad, z czystej ciekawości gdzie pracujesz?

Nie masz chłopie bladego pojecia o czymś takim jak duch i litera prawa, a zgodnie z tym login i hasło może acz nie musi być daną osobową. Praktyk się znalazł ...

Dla zainteresowanych - nie kombinujcie, róbcie tak jak chce tego GIODO i jak macie wątpliwości to przyjmijcie iż są to dane osobowe, ot choćby z czysto etycznego punktu widzenia. Bezpieczeństwo danych osobowych to wbrew pozorom nie jest duży koszt.

author Nomad www 14.05.2009 06:36:59

Drogi ps, bardzo łatwo wypowiadać się anonimowo. Zanim zaczniesz zarzucać komuś niekompetencję, to się zastanów. Przeżyłem już kilka kontroli z biura GIODO.
Jak klikniesz na mój nick, to będziesz miał adres mojej prywatnej strony. A tam dowiesz się, gdzie jestem ABI. Poz tym miejscem, jest kilka mniejszych firemek (także informatycznych), gdzie zajmuję się papierologią związaną z odo.
Login i hasło nie są daną osobową. Natomiast nikt nie mówi, że nie trzeba ich chronić. Natomiast nie podpadają pod ustawę o ochronie danych osobowych. I na pewno nie są danymi wrażliwymi. Właśnie jest to zgodne z literą prawa i "duchem".
Właśnie - róbcie tak jak chce GIODO i ustawa o ochronie danych osobowych i rozporządzenia do niej. Tylko najpierw przeczytajcie samą ustawę i rozporządzenia, a nie opierajcie się na takich notkach, jak sponsorowany tekst.

author shpyo www 14.05.2009 08:52:51

Nomad, od zawsze byłem święcie przekonany, że login i hasło jest szczególnie traktowany ze względu na dane jakie "zakrywa". Dzięki za "małą" korektę ;)

author Nomad www 14.05.2009 14:03:58

Login i hasło, są to dane, które nalezy zabezpieczać z względu na ich wartość i na to do jakis systemów pozwalają się dostać. Jeżeli login i hasło pozwalają na dostęp do systemu przetwarzającego dane osobowe, to wymagają szczególnego zabezpieczenia. Wymogi dot. długości i częstotliwości zmiany haseł opisane są w rozporzadzenie mswia dot. zabezpieczeń systemów przetwarzających dane osobowe.
Ogólnie jest to temat rzeka, na którym bardzo łatwo mozna się wyłożyć.
EOT z mojej strony.

author learn japanese online 02.03.2011 11:49:08

i tak kazdy ma to gdzieś

author poradniki 17.05.2011 11:34:32

Do danych wrażliwych nie zaliczamy danych dot. loginów i haseł. Ustawodawcaa jasno określił co to są dane wrażliwe. Dane wrażliwe to np: pochodzenie rasowe, etniczne, poglądy polityczne, stan zdrowia, skazania sądowe itd

Dodaj komentarz