Személyes adatok védelme

Projektek általános

Legyen kedves oda tenni ezt a posztot akinek van jogosultsága, ahova valóban be kellene tennem, amennyiben rossz  blokkba teszem.

Nagyon komolyan kérdezem az itteni igazi szakembereket, hogy előny, vagy hátrány lenne egy közösségi oldalon az, hogy garantáltan nem kapja meg senki sem a felhasználók adatait, még reklámozásra sem? 

Eddig amiről beszélhetünk: titkosított saját szerver, tehát ha "véletlenül" valaki a szerverteremben megpróbálná kimásolni a szerveren lévő anyagokat, akkor azokat csakis titkosítottan kaphatná meg. Teljesen függetlenül kaphatnak a felhasználók ajánlatokat, mindegy miket nézegettek régebben. Tudom, hatékonysági mutató igencsak alacsonyan lengedez ebben az esetben, de ez nem probléma. 

Tehát a lényeg, hogy valóban tiszteletben tartja a közösségi oldal fenntartója a felhasználók adatait és semmilyen célból nem kap senki és semmit ezekből. Mielőtt jönnek a tőlem sokkal okosabbak, hogydehát a biztonság... igen, ezt komoly szakemberek fogják hamarosan garantálni, bár jelenleg sem történt eddig attrocitás, kivéve a szerver túlterheléses támadása régebben (igen, az volt, a tárhelyszolgáltató jelezte).

Köszönöm azoknak, akik komolyan veszik ezt a kérdést és segítő szándékú megjegyzéseket írnak ide.

  • 1024 megtekintés

( gelei v | 2023. 10. 12., cs – 12:52 )

Ha az a kerdes, hogy a felhasznaloknek ertek-e, hogy nem profilozod oket, akkor passz. A vilag jelen helyzetetbol kiindulva azt mondanam, a tobbseget nem erdekli kulonosebben.

Ahhoz viszont baromi tokosnek kell lenni, hogy garanciat adj arra, hogy egy esetleges tamado sem tudja majd megszerezni. Az at-rest titkositas jo dolog, de az adatszivargasok legkisebb resze nez csak ki ugy, hogy valaki bemegy a szerverhez, es elviszi az adathordozot. Millioszor nagyobb esellyel fognak valami sokkal trivialisabb vektorral bejonni, es mondjuk kimasolni a futo adatbazis alol az adatokat.

Igen, az érdekelne most leginkább, hogy van-e értelme tiszteletben tartani a felhasználókat, vagy vegyük át a META féle profilozásokat. 

Igen, igazad van, nagyon komoly dolog a szivárgásmentességet garantálni, mégis ez a célunk, emiatt csatlakoztak olyan szakemberek, akiknek ez az erősségük. Ha csak az én tudásomon múlna, soha nem lenne garantálva az tuti :-)

"https://hunvagyok.hu "

( zrubi v | 2023. 10. 12., cs – 14:27 )

hogy előny, vagy hátrány lenne egy közösségi oldalon az, hogy garantáltan nem kapja meg senki sem a felhasználók adatait, még reklámozásra sem? 

Én - mint tudatos felhasználó - AD blokkert használok, így teljesen mindegy, hogy a meg nem jelenített reklámok mennyire vannak 'testre szabva' :)

És ezt a 'hozzáállást' tanítom és javaslom is mindenkinek....

Mondjuk, én biztosan nem vagyok célközönsége semmilyen közösségi oldalnak :D

 

Átlag (l)user viszont várhatóan kurvára nem érdekli, hogy te mit csinálsz az adataival.... és gondolom az sem hogy milyen reklámot tolsz az arcába. - hiszen már megszokták.

 

Akit ez érint is ÉS érdekli is, az meg majd az adatvédelmi hatóságnál fog felnyomni, ha nem az előírásoknak megfelelően kezeled az adatait ;)

 

szóval a helyedben én a hivatalos előírásokkal foglalkoznék leginkább, aztán ha azoknak már megfelelsz, akkor saját hatáskörödön belül szigoríthatod azt ahogy neked - és a várt reklám bevételeket hozó ügyfeleidnek - legjobban megfelel.

 

szerintem.

zrubi.hu

Köszönöm szépen a válaszodat. Egyre inkább erősödik bennem az a tény, amitől féltem, hogy a felhasználók nagy részét egyszerűen nem érdekli, ha valaki tisztességesen szeretne bánni az adataival. :( 

Természetesen első a jogszabályi előírások betartása, amennyiben minden kétséget kizáróan kimutatható lesz, hogy a durván többségi felhasználóknak mindegy, akkor a jogszabályok betartásával profilozunk. 

Az hülyeség lenne, hogy megadni a jogot a felhasználónak arra, hogy egy pipa egy ablakba és nincs semmiféle profilozás róla?

"https://hunvagyok.hu "

Nem hulyeseg, de az igaz, hogy mivel a felhasznalok 50-60%-a siman rakattint egy phishing linkre es leraboltatja a bankszamlajat, a maradek 40-50%-nak a haromnegyede el se tudja kepzelni, mi mindenre hasznalhato az adata (nem volt meg social engineering aldozat), szumma azt mondanam, jo, ha a userek 10%-at erdekli a gyakorlatban, hogy az adatai jol vannak kezelve.

Namost ez a tenylegesen brutalis szam, es nem, ez egy katasztrofa. Csak mivel mindossze 10%, aki latja, hogy mekkora katasztrofa, nem sokan torik magukat, hogy ezt javitsak.

Amugy egyszeru statisztikat csinalnod: vesd ossze a whatsapp/viber/messenger felhasznalok aranyat a signal/matrix/mastodon felhasznalokeval, es bammm, ott a statisztikad. Kb. 10%... :(

Ezekről a dolgokról lehetne az átlag embereknek felvilágosítás jelleggel anyagot készíteni. Sajnos én kevés vagyok, hogy erről egy igazán jó anyagot össze tudjak állítani, akár megtörtént eseteket bemutatva átlag ember számára érthető módon.

Kíváncsi lennék, hány ember döbbenne le vagy gondolná át a jelenlegi Internetezési szokásait.

Az hülyeség lenne, hogy megadni a jogot a felhasználónak arra, hogy egy pipa egy ablakba és nincs semmiféle profilozás róla?

Hat lehet, hogy igen. De erosen kontextusfuggo.

Mi az uzleti modelled?

Milyen az altalanos adatvedelmi szabalyozas?

Milyen kotelesseged van a hatosagok fele, ha azok informaciot kernek a felhasznaloidrol?

Hamarosan átesik egy ráncfelvarráson az adatvédelmi szabályozásunk, ahol tájékoztatást kapnak a felhasználók minden lehetőséggel kapcsolatban. Az üzleti modell szintén még képlékeny, alapvetően nem támaszkodtunk volna a felhasználóink szokásaira, ugyanakkor, ha ez is belefér és nem tiltja meg a user, akkor nem zárható ki, hogy felhasználásra kerül, de szigorúan csakis a hatályos jogszabályoknak megfelelően.

Amint bekövetkezik egy hatósági információ kérés, az egy jó kis téma, így elképzelhető, hogy a pipa bekapcsolásával tudnia kell majd a felhasználónak, hogy csakis a hatóságok felé kerülhet ki róla adat akkor is, ha nem ad engedélyt az adatai feldolgozására.

"https://hunvagyok.hu "

Érdemes a DAST irányt is megnézned, mert ez ad valós képet a publikált szolgáltatásodról egészében. Vannak olyan komponenseid a rendszerben biztosan, amit nem te írtál és /vagy nincs forráskódod,... de a kiszolgálási folyamatban részt vesznek. (pl: webszerver, video conf componens,..)

Jóval kevesebb a false pozitív, mint SAST esetén és nem nyelvfüggő - de érteni kell a megfelelő felparaméterezéséhez és a megtalált probléma pontos okának a megjelöléséhez a rendszerben.

SAST vs. DAST : https://circleci.com/blog/sast-vs-dast-when-to-use-them/

És egy lista, hogy kb. mik vannak a piacon DAST témában:

https://www.appsecsanta.com/dast-tools

Ezeket elég hatékonyan lehet a CI/CD módszertanodba integrálni és így lesz egy automatikus teszted minden változtatáskor.

( Wooody | 2023. 10. 13., p – 22:42 )

Egy mondatban a GDPR működik:) ami a személyes adatok védelme 

Adatkezelés csak adott céllal és a megfelelő jogalappal lehet végezni. Ha nem az előre rögzített célnak megfelelően kezelik akkor az jogsértés, ha kiderül eszméletlen büntetést kapnak (pl "hatósággal történő egyeztetés", ellenőrzés, incidens, érinteti jogérvényesítés során). Ha belső, külső okból kikerülnek az adatok, az incidens, ezt a tudomására jutás után 72 órán belül jelenteni kell a hatóságnak, ha ez elmarad eszméletlen bírságot kap ezért is a cég. Értesíteni kell a felhasználókat a cég elhárítási intézkedésiről illetve a felhasználó oldalról a kért intézkedésekkel. És biztos a bírság is!

Érinteti jogok:

  • hozzáférés,
  • helyesbítés,
  • törlés,
    • online környezetben az elfeledtetéshez való jog
  • adatkezelés korlátozása
  • hordozhatóság,
  • tiltakozás a személyes adatai kezelése ellen.

A bírság összege több tényezőtől függ. 1x a valószínűsíthető következmények súlyossága, érintett felhasználók számával és ha jól emlékszem a cég bevételének 4 százalékában számítható a bírság összege. 

Osztottak már 10/20 és 400 milliós bírságot forintban és euróban is.

Itt van 1-2 ismerős cég és ez az összes bírság mind ablakon kidobott pénz:

Adatvédelmi tisztviselőt kell alkalmazni: (Szerintem a második pont az pont fennáll az összes email, és közösségi szolgáltatónál is)

  • az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
  • az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé – itt érdekesség, hogy a nagymértékű kifejezés nem került konkrétan definiálásra;
  • az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

Ha egy adatkezelővel szemben bizalmatlan az ember vagy csak kíváncsi, kérheti azt hogy tájékoztassák arról, hogy milyen  személyes adatát kezelik és mi célból. Vannak olyan adatok amit az érintett ad meg, de a lényeg a számított adatok. Amit már az adatkezelő állított elő rólunk.

Az adatkezelőnek tömör, átlátható, érthető, könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva, írásban vagy elektronikusan, díjmentesen kell az információt az érintetthez eljuttatni. Ha túlzó a kérés, (hetente kér ilyet ) akkor ésszerű díjat lehet felszámolni:)

Ennek ellenére egy undok helyen kértem a regisztrációm törlését és nem tették meg. Én meg nem mentem tovább mert egy Linuxal kapcsolatos szolgáltató volt.

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek 

( Wooody | 2023. 10. 13., p – 22:52 )

Illetve hallottam olyan esetről, internetes rendeléssel kapcsolatban. Valakinek a fiók adatait megszerezték " kisebb nagyobb trükkel" és a nevére rendeltek termékeket. Az érintett jelezte a szolgáltató felé GDPR incidens történt, aki jelezte a hatóságnak IP címek, szolgáltatók és ha jól tudom 1 év rabosítás követte.

De pl a "nekem minden szabad" elvvel ellentétben, egy kis kíváncsiskodás más személyes levelezésében 2 év elzárással jutalmazható! 

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek 

( tamas.hornos | 2023. 10. 13., p – 23:03 )

Szerver remote SSH ZFS unlockkal indul?

( YleGreg | 2023. 10. 15., v – 14:39 )

Lehet, hogy kicsit offtopic, de én abban látom a problémát, hogy az emberek azonosíthatóságának tiltása pont ellentétes a tisztességes viselkedés igényével.

Értsd: Ha van anonim szólásszabadság, az tök jó, mert akkor van demokratikus szólásszabadság, él a civil fék-ellensúly rendszer, mert be lehet szólni a királynak, hogy hát meztelen. (Az más kérdés, hogy ezt pont leszarják.)

Viszont ugyanebben az esetben, mivel anonim, ezért simán mehet a seggfájósak gyűlöletbeszéde, az idióták laposföld meg antivac dumája, valamint a király által fizetett trollok serege, akik mind azt állítják, hogy a király ruhája a legszebb a vidéken, ergo az anonim szólásszabadság pont semmilyen demokratikus értékkel nem bír, sőt, mivel mindig több lehet a natív hülye és a fizetett troll, mint a tisztességes ÉS hangos ember, ezért inkább hátrány, ha nem tudod, hogy kinek a hangját hallod.

A másik véglet pedig az lenne, amikor mindenki csak úgy beszélhetne (írhatna, stb.) hogy mellette megjelenik, hogy ki ő, és hol lakik. Ez lecsökkentené a hazugságok és a huszadik reggel lévő idióták okozta zajt, viszont így azt, aki kijelenti, hogy a király meztelen, azt már vinnék is a gulágra, ahogy a ruszkik most is csinálják.

Nem nagyon tudom eldönteni, hogy a kettő közül melyik a szarabb. De persze az élet nem a végletekben gondolkozik, hanem jelenleg ugye az van, hogy a hatalom emberi évtelenül és akár fizetett hirdetésben mondják a kamut, vagy csak keltik a zajt, hogy az a kevés, aki még értelmes dolgot mondana, azt meg se hallják az emberek, valamint, ezzel párhuzamosa pl. az oroszoknál ugye regisztrálni kellett magad ha blogger vagy, ergo a hatalomnak ellent mondani már nem lehetett anonim. Ebből ki is alakult az a helyzet, hogy gátlástalanul meg lehetett tenni mindent, mert a saját lakosságnak azt lehetett hazudni amit nem szégyelltek, ugye nálunk is volt pár elég abszurd óriásplakát.

Megfordítva lenne a jó a dolog, ha az aktuális hatalom csak névvel-címmel nyilatkozhatna, míg a kritikusok anonimok maradhatnának, de ez egyrészt esélytelen, másrészt erősen kontraproduktív lenne egy ország irányításakor hiszen a demokrácia az összekötött lábbal való futás (mert a hülyék is szavazhatnak) ellenben a diktatúra hatékonyságával.

Szóval, szerintem tedd fel magadnak a kérdést, hogy mi végre, és kitől akarod megvédeni a felhasználóid adatait? És akkor is, ha kijön hozzád a hatóság, és megkérdezik, hogy szeretnél-e egy elhúzódó adóellenőrzést?

Szóval, szerintem tedd fel magadnak a kérdést, hogy mi végre, és kitől akarod megvédeni a felhasználóid adatait? És akkor is, ha kijön hozzád a hatóság, és megkérdezik, hogy szeretnél-e egy elhúzódó adóellenőrzést?

Adóhatósági ellenőrzés nélkül is az első dolog lesz a tesztállapot befejezése előtt az, hogy minden hatályos jogszabályt figyelembe véve, szakemberek fogják ezt a részt rendbetenni, hiszen nekem ehhez nincs sem elég tudásom, sem végzettségem.

"https://hunvagyok.hu "

Oke, de mi a cel, es miert pont az a celod, ami?

Nem tudom pontosan, hogy mire kell neked a szemelyes adatok vedelme, de ha te sem tudod, hogy ki kicsoda, akkor hamar abban a helyzetben talaljatod magad, hogy gyuloletkelto hozzaszolasokat hostols.

Ne feledd, hogy ezt milyen nehez szurni, plane, hogy siman elofordulhat, hogy ami ma megengedett dolog, az 5-10 ev mulva durva sertes lehet. Ha mindenki szabadon garazdalkodhat az oldaladon, mert nevtelenul azt tehet, amit csak akar, akkor azzal at is vetted a felelosseget toluk mindenert, amit postolnak.

Abban igazad  van, hogy a törvényi előírásokat be nem tartókat, azonosíthatóvá kell tenni. Amit szerettem volna elkerülni, az a profilozás. Ugyanakkor, ha a saját magunk által írt program fogja az adatokat kezelni és nem adja ki harmadik félnek, ami alapján esetleg a felhasználók személyreszabott ajánlatokat kaphatnak, erre jó a profilozás, amit a user meg is tilthat, amennyiben a jogszabályok erre köteleznek. Tehát személyes adatokat gyűjteni kell, amit csakis a meghatározott feltételek mellett kötelesek vagyunk átadni a hatóságoknak, ugyanakkor a profilozástól is védheti önmagáz a user, ha erre vágyik. Remélem egy malomban örlünk :)

"https://hunvagyok.hu "