GDPR - mýty, rady, konzultace

QUIP --- --- 11:01:57 13.6.2018

CHOBOT & ZVIRATKO: Rekl bych, ze vam oboum uniklo, ze se to heslo na e-mail posle pri registraci a tudiz to vubec nemusi znamenat, ze by se nekde ukladalo v plaintextu, protoze se do e-mailu posle to, co uzivatel vyplnil v registraci. Nemusi to byt to, co je v DB.
Setkal jsem se s timhle uz nekolikrat a pokud je ukladani hesel v hashovane podobe, tak tohle projde i auditem. Je to na podobne urovni, jako ze si nekdo klikne na "zapomnel jsem heslo" a prijde mu na e-mail nove heslo, se kterym se muze prihlasit. Argumentovat pak tim, ze "kdyby se mi nekdo naboural do e-mailu tak se mi tam muze prihlasit" je blbost. Kdyby ti nekdo z kapsy ukradl klice, tak se ti muze dostat domu...
Zaslani hesla na zacatku pri registraci je na stejne urovni, jako link pro potvrzeni, ze vyplneny e-mail je tvuj - pokud tam uzivatel vyplni spatny e-mail a prijde to nekomu jinemu, kdo na to klikne a tim se prihlasi do e-shopu, neni to chyba nikoho jineho, nez uzivatele.
To uz bych za vetsi bezpecnostni hrozbu povazoval to, ze vetsina (velkych) webu ma predzaskrtnute "trvale prihlaseni z tohoto pocitace". Coz mi opravdu pripada jako naprosta debilita, ale kdo chce kam...

CHOBOT --- --- 10:15:05 13.6.2018

1 odpověď

ZVIRATKO: Já samozřejmě vím, že to není úplně košer, ale tak zásadní problém to neni a postihovanej za to snad nemůžu být už vůbec. Ale u 15 let starýho eshopu se transformace do moderní doby nedělaj úplně lehce a zabere to čas, a priority jsou samo jinde.

Díky za relevantní odpověď.

ZVIRATKO --- --- 10:08:56 13.6.2018

2 odpovědi +1

CHOBOT: myslim ze po pravni strance nebudes zodpovedny kdyz mu nekdo s tim heslem vleze na X dalsich webu, ale kdybys mel ten eshop spravne udelanej tak to ten zakaznik neresi
auditem by to ale rozhodne neproslo

takze naprosty souhlas s VODNIK

CHOBOT --- --- 9:30:48 13.6.2018

2 odpovědi -2

VODNIK: skvěle, děkuji za tvůj názor. A teď bych ještě poprosil odpověď na můj dotaz :)

VODNIK --- --- 9:23:46 13.6.2018

2 odpovědi +8

CHOBOT: eshop, který mi pošle zpátky heslo u mě automaticky skončil, protože to znamená, že ho uchovává v čitelné podobě. A to je zvěrstvo, zcela bez ohledu na GDPR

CHOBOT --- --- 9:16:51 13.6.2018

4 odpovědi -3

Právě mě zaskočil zákazník připomínkou a moc nevím, jak na to zareagovat: po registraci na mém eshopu přijde zákazníkovi na zadaný email souhrn zadaných informací, včetně loginu a hesla. On mi tvrdí, že to porušuje zásady gdpr, pze kdyz se mu nekdo naboura do emailu dostane se i k jeho údajům na mém webu.
Přijde mi to jako blbost, ale netuším, jaký článek nařízení mám na tohle aplikovat. Má pravdu a mám tenhle systém zrušit, nebo plácá?
Díky za navedení.

EXIS --- --- 9:54:03 10.6.2018

KASUMI: takže jak jsem psal (myslím) :))) Prostě nahrazuje to informační povinnost, tedy prsotě každej kdo nedělá něco náhodně (jakože jednou za život vyvezu děti mejch kámošů na hory), tak to prostě musí plnit

KASUMI --- --- 9:10:03 10.6.2018

1 odpověď

ad KASUMI:
KASUMI:

tak jsem mela ted nejaky seminar mj na gdpr a resili jsme tady ty zaznamy a povinnost jejich zpracovani dle 30/5
podle UOOU se pry zpracovani tyka v podstate vsech
pry to tak vyklada i wp 29

tze ta da dam daa..

ADAMIRA --- --- 7:55:59 10.6.2018

NEVADA_: ano tak tady to pro změnu... není problém GDPR.

NEVADA_ --- --- 7:55:12 10.6.2018

1 odpověď +1

Pokud ten zákaz nebo ta směrnice (nebo obojí) nejsou důsledkem něčí paniky nad GDPR.

ADAMIRA --- --- 7:45:21 10.6.2018

OTAKAR: Ale to není problém GDPR.

HARALD --- --- 7:41:13 10.6.2018

OTAKAR: Tak to klidně být může. Ale příčinou pak není gdpr.

OTAKAR --- --- 1:58:57 10.6.2018

2 odpovědi

SPIKE411: Hm, nepřijde vám, že by to mohlo být prostě tak, že vnitropodniková směrnice zakazuje stahování firemních mailů do "personal electronics" a z nějakého dalšího důvodu nemá dovoleno brát služební elektroniku na dovolenou?
Čili že by v podstatě mohl mít pravdu a nebýt blb? :)