GoldenLine
Zaloguj się
Krzysztof K.

Krzysztof K. Analityk ds spraw
trudnych

Temat: SSL przesyłanie danych osobowych przez sieć internet

Czy przypadkiem ustawa, a w zasadzie rozporządzenia wykonawcze, wymagają aby dane z formularzy na www były wysyłane z SSL ?
Dane osobowe wysyłane emailem muszą być szyfrowane SSL ?

Przecież byle firma co ma www i na stronie internetowej ma formularz kontaktowy imie nazwisko, adres, telefon itp , i nie ma SSL.
Link do wypowiedziLink

konto usunięte

Temat: SSL przesyłanie danych osobowych przez sieć internet

https://edugiodo.giodo.gov.pl/file.php/1/INF1/INF_R05.html

"4. Jeżeli dla zbioru danych stosuje się wysoki poziom zabezpieczeń i zbieranie ich od podmiotów zewnętrznych odbywa się metodą teletransmisji poprzez sieć Internet, to czy konieczne jest zabezpieczenie procesu przesyłania danych za pomocą połączenia szyfrowanego protokołem SSL?

Zgodnie z art. 36 ustawy administrator danych ma obowiązek zabezpieczenia danych m.in. przed ich nieuprawnionym ujawnieniem. W razie przesyłania danych metodą teletransmisji przy użyciu sieci publicznej zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zastosowanie odpowiednich zabezpieczeń, które ochronią przesyłane dane.
O tym, jakie środki należy zastosować, administrator danych powinien zdecydować samodzielnie. Może to być wymieniony w pytaniu protokół szyfrowania danych SSL, jak również inne środki ochrony kryptograficznej, np. szyfrowanie przy użyciu poczty elektronicznej i klucza publicznego odbiorcy."Ten post został edytowany przez Autora dnia 20.12.13 o godzinie 09:03
Link do wypowiedziLink

konto usunięte

Temat: SSL przesyłanie danych osobowych przez sieć internet

Przydatne dla usługodawców mogą okazać się też te dwa fragmenty przepisów ustawy o świadczeniu usług drogą elektroniczną:

Art. 7 uśude:
Usługodawca zapewnia działanie systemu teleinformatycznego, którym się posługuje, umożliwiając nieodpłatnie usługobiorcy:
1) w razie, gdy wymaga tego właściwość usługi:
a) korzystanie przez usługobiorcę z usługi świadczonej drogą elektroniczną, w sposób uniemożliwiający dostęp osób nieuprawnionych do treści przekazu składającego się na tę usługę, w szczególności przy wykorzystaniu technik kryptograficznych odpowiednich dla właściwości świadczonej usługi

Art. 20 uśude:
1. Usługodawca, który przetwarza dane osobowe usługobiorcy, jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o:
2) udostępnianych przez usługodawcę środkach technicznych zapobiegających pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione, danych osobowych przesyłanych drogą elektroniczną,
2. Informacje, o których mowa w ust. 1, powinny być dla usługobiorcy stale i łatwo dostępne za pomocą systemu teleinformatycznego, którym się posługuje.

Swego czasu pisałam o obowiązku informacyjnym z art. 20 http://www.cyberlaw.pl/biznes-w-chmurze/1-obowiazek-in...

Pozdrawiam,
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: SSL przesyłanie danych osobowych przez sieć internet

O ile rozporządzenie mówi o stosowaniu środków kryptograficznych jedynie w stosunku do danych wykorzystywanych do uwierzytelniania, to jednak sprawozdania GIODO wskazują na inne podejście kontrolerów.
W sprawozdaniu za 2012 rok czytamy:
"W 2012 r. napotykano również na nieprawidłowości polegające na niestosowaniu środków kryptograficznej ochrony danych w przypadkach ich teletransmisji z wykorzystaniem sieci publicznej w tym sieci Internet. Uchybienia te dotyczyły braku, bądź niewłaściwej implementacji protokołu kryptograficznego. W szczególności dotyczyło to sytuacji, w których dane były przekazywane poprzez sieć publiczną z wykorzystaniem poczty elektronicznej. Ww. nieprawidłowości dotyczyły 8 % objętych kontrolą systemów informatycznych."
W poprzednim sprawozdaniu czytamy:
"W 2011 r. napotykano również na nieprawidłowości polegające na niestosowaniu środków kryptograficznej ochrony danych w przypadkach ich teletransmisji z wykorzystaniem sieci publicznej, w tym sieci Internet. Uchybienia te dotyczyły braku, bądź niewłaściwej implementacji protokołu kryptograficznego. W szczególności dotyczyło to sektora „Zatrudnienie”, gdzie dane były przekazywane w większości poprzez sieć publiczną z wykorzystaniem poczty elektronicznej."

Temat jest ciekawy. Moim zdaniem, skoro w rozporządzeniu jest mowa o danych dotyczących uwierzytelnienia, to z rozporządzenia wynika, że pozostałych danych nie musimy szyfrować.
Jeżeli nawet uznamy, że administrator powinien zastosować środki zapewniające poufność przesyłanych w sieci publicznej danych, to dlaczego nie będzie takim środkiem tajemnica telekomunikacyjna? Przecież nie szyfrujemy danych przesyłanych tradycyjną pocztą - tajemnicę pocztową uznajemy za wystarczającą.

Co nie zmienia faktu, że patrząc na problem zdroworozsądkowo, zawsze będę rekomendował szyfrowanie przesyłanych danych i tego samego będę oczekiwał jako "podmiot danych" :-)
Link do wypowiedziLink

konto usunięte

Temat: SSL przesyłanie danych osobowych przez sieć internet

Może nieco naciągane, ale tak sobie kombinuję że może przyjęli takie założenie jak do korespondencji pocztą tradycyjną, na pocztówce innych danych niż potrzebne do doręczenia wypisać nie można, w zaklejonej kopercie jak najbardziej.

Tylko widzę widzę pewien problem np. w sklepach internetowych. Najpierw przeważnie przychodzi mailem potwierdzenie ty, taki i owaki zakupiłeś to i to, a później powiedzmy faktura imienna. Ma ktoś jakiś pomysł jak te wiadomości zabezpieczyć, no może oprócz sytuacji gdy udostępniamy klucz publiczny i gość go sobie instaluje, bo jakoś wątpię w szersze powodzenie takowej akcji ? Można jeszcze zrobić tak, że na maila wysyłamy wiadomość typu "Masz wiadomość na koncie w naszym sklepie" i tam pobierać... Średnia wygoda co prawda, ale w sumie jakieś rozwiązanie i zwiększenie bezpieczeństwa by było...Ten post został edytowany przez Autora dnia 30.12.13 o godzinie 02:26
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: SSL przesyłanie danych osobowych przez sieć internet

Nie ma żadnej gwarancji, że przesyłane dane nie będą routowane np. przez Chiny, dlatego moim zdaniem komunikacja powinna być szyfrowana. Ale rozporządzenie mówi, moim zdaniem, coś innego i wprowadza niepotrzebne zamieszanie.

Przesyłanie danych osobowych pocztą elektroniczną jest w ogóle problemem. Niemal nikt nie korzysta z szyfrowania wiadomości. Trochę to rozumiem. Poczta elektroniczna jest usługą łatwą do zrozumienia dla użytkownika i łatwą w konfiguracji. Natomiast skonfigurowanie szyfrowania, dla większości użytkowników, już takie trywialne nie jest.

Dostępnych jest sporo rozwiązań pozwalających na przesłanie załączników szyfrowanym kanałem. W wiadomości dostajemy linka, po kliknięciu którego ściągamy załącznik po https. Jest tu jednak spora dziura – link przesyłamy w niezabezpieczonej wiadomości.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: SSL przesyłanie danych osobowych przez sieć internet

Jak wysyłasz załączniki to może je pakować z szyfrowaniem a sms hasło? ;-) Coś jak token, ale bez nadmiernych komplikacji z implementacją? ;-)
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: SSL przesyłanie danych osobowych przez sieć internet

Szyfrowanie wiadomości (w tym załączników) jest dość skomplikowane technicznie, dlatego jest mało popularne. W korporacjach, tam gdzie regularnie wymienia się poufne dane z okreslonymi partnerami, stosuje się do tego celu np. PGP.

Natomiast jesli przesyla sie pojedyczne pliki/dokumenty czy korespondencja jest niezbyt częsta stosuje się:
- plik Word/Excel/PowerPoint zabezpieczony hasłem (czyli zaszyfrowany)
- spakowane pliki i foldery za pomocą ZIP/ 7Zip/ RAR (to także szyfrowanie)
- PDF zabezpieczony hasłem (wiele "drukarek" pozwala już nawet skanować tak pliki - od razu "zahasłowane")

I to jest rozwiązanie chyba najłatwiejsze do stosowania przez większość użytkowników.

Należy pamiętać, aby hasło dostarczyć innym kanałem niż plik (może być SMS, może być mail, ale na inny adres e-mail, podanie przez telefon). No i hasło powinno być trochę lepsze - im więcej (i róznych) znaków, tym lepiej.

Co do przesyłanego linka - czy wiadomość zawiera dane osobowe, czy w wiadomości jest link prowadzący do tych danych - na jedno wychodzi, gdy wiadomość zostanie przejęta, prawda :)?

Warto podkreślić, że jeśli wiadomosci są przesyłane w obrębie tego samego serwera poczty elektronicznej (np. z adresu jan@firma.pl na adres anna@firma.pl), to nie trzeba ich szyfrować.

No i jeśli serwer poczty jest na zewnątrz firmy, to trzeba pamiętać o użyciu SSL/TLS do wysyłania i do odbierania wiadomości (dla każdego niezależnie). Często się o tym zapomina.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: SSL przesyłanie danych osobowych przez sieć internet

Leszku, a może tak pogrupować?

Ważniejsze - hasło na plik + hasło na archiwum (np rar, zip)
Mniej ważne - hasło na archiwum?

Jest też pewien plus. Nauka ochrony plików MS daje pewne podstawy do uzyskania rozliczalności. Jak plik do uzupełnienia dla jednej osoby, ze znacznikiem modyfikacji, a hasło na cały ma inna - to już uzyskujemy magiczną rozliczalność.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj