CUTOR: než se pustíš do psaní, tak se ještě mrkni sem: https://gdpr.uoou.cz/caste-dotazy/

Při své práci v IT se mohu k datům dostat. Jsem zpracovatelem?
Pokud zajišťujete podporu, která nezahrnuje operace zpracování a ochrany osobních údajů (např. provádíte opravy zařízení a výpočetní techniky nebo jste dodavatelem služeb servisu PC), nejste zpracovatelem. Zpracovateli nejsou osoby, které se při provádění svých služeb, pouze nahodile dostávají do styku s osobními údaji. Náplň vaší činnosti byste měli mít jasně popsanou ve smlouvě, aby bylo zřejmé, že mezi vaše povinnosti nepatří osobní údaje zpracovávat. Současně lze doporučit, abyste se vůči objednateli smluvně zavázali k mlčení o veškerých bezpečnostních opatřeních a dále k tomu, že při jakémkoliv nahodilém přístupu k údajům budete tyto údaje chránit a zejména je nezpřístupníte a nepředáte nikomu dalšímu.

moje první cookie hláška, která vypadá tak že bych s tím snad i souhlasil

bozi, jasam...

Some opt-outs may fail due to your browsers cookies settings. If you would like to set opt-out preferences using this tool you must allow third party cookies in your browser settings.

EXIS: Jak už jsem psal níže, je to starej, na míru psanej eshop, kde všechny změny jdou přes outsourcovanou firmu, takže běh na dlouhou trať. Pracuju na tom, ale jde to bolestivě pomalu a ztuha. Navíc ten eshop dělali kdysi dávno lidi, který měli nějakou ochranu osobních údajů naprosto v prdeli, a to jak ze strany zadavatele, tak zpracovatele.

Já pochopitelně vím, že to není dobře, a taky pracuju na nápravě, jen jsem potřeboval navést, co pisateli připomínky správně odepsat.

Následná diskuze každopádně za mě docela přínosná :)

CHOBOT: Z hlediska GDPR to asi není napadnutelné. Stejně jako GDPR říká (interpretuju), že i náklady na technické zásahy do IS by měly být přiměřené a odpovídající povaze. Nicméně bych být Tebou alespoň z toho mailu to heslo odebral. Tohle se dělalo dávno a dneska už to opravdu neodpovídá standardu zabezpečení. Pokud vezmu v potaz to, že banky do úprav nasypaly cca 150-300 mil Kč, tak pokud ty do úpravy dáš pár tisíc/desítek tisíc, tak je to odpovídající. Zkrátka a dobře, pokud Tě to, že máš eshop živí, tak by si měl přijmout vhodné technická a organizační opatření, aby si zamezil potenciálním problémům. Ale pochopitelně, můžeš se na to celé vysrat, ale pak se nediv. ;)

ZVIRATKO: Nezatahuj do toho ukladani hesel v plaintextu a nebo unik hesel z databaze, to je jiny problem, nez ktery se tu ted resi.
Pokud si uzivatel nastavuje stejne heslo na vice sluzeb, tak by ti zase kazdy z tvych odborniku, co by tam musel svedcit, rekl, ze je to blbost uzivatele. To opet nezkousej zamotavat do GDPR - nesouvisi to s tim.
Taky se PIN k platebni karte posila v papirove obalce a pristup k ni ma vic lidi, nez kolik se potencialne dostane k nejakemu e-mailu po ceste. Stejne jako na zaklade GDPR nikdo nezakaze provoz e-shopu, ktere nepouzivaji HTTPS, i kdyz to znamena, ze prihlasovaci (a veskere ostatni) udaje od zakaznika do shopu a ze shopu k zakaznikovi putuji v nesifrovane podobne.

Vubec se nechci prit o to, co je a neni fail, nebo best practice. Bezpecnosti webaplikaci a provozem serveru se zabyvam dlouhodobe a ty zminene nedostatky bych sam provozovatelum (ale i koncovym zakaznikum) vycital, ale porad si nemyslim, ze je to problem s ohledem na GDPR.
A argumentovat "kdokoliv s pristupem k tomu mailu" je zcestny. K te e-mailove schrance nikdo jiny pristup mit nema. Pokud ma, je to chyba uzivatele. Me se zase nelibi, ze v dnesni dobe klesa uroven zabezpeceni internetoveho bankovnictvi, ktere se snizilo na uroven obycejneho webmailu - kdokoliv zna login a heslo, tak se tam prihlasi a projde si historii plateb atd.. Takze na to muzu rict, ze "kdokoliv s pristupem k tomu bankovnictvi..." oh wait, tam prece nikdo jiny pristup nema, nebo jo?

ZVIRATKO: Kdokoliv s pristupem do mailu si muze to heslo zresetovat

CHOBOT & ZVIRATKO: Rekl bych, ze vam oboum uniklo, ze se to heslo na e-mail posle pri registraci a tudiz to vubec nemusi znamenat, ze by se nekde ukladalo v plaintextu, protoze se do e-mailu posle to, co uzivatel vyplnil v registraci. Nemusi to byt to, co je v DB.
Setkal jsem se s timhle uz nekolikrat a pokud je ukladani hesel v hashovane podobe, tak tohle projde i auditem. Je to na podobne urovni, jako ze si nekdo klikne na "zapomnel jsem heslo" a prijde mu na e-mail nove heslo, se kterym se muze prihlasit. Argumentovat pak tim, ze "kdyby se mi nekdo naboural do e-mailu tak se mi tam muze prihlasit" je blbost. Kdyby ti nekdo z kapsy ukradl klice, tak se ti muze dostat domu...
Zaslani hesla na zacatku pri registraci je na stejne urovni, jako link pro potvrzeni, ze vyplneny e-mail je tvuj - pokud tam uzivatel vyplni spatny e-mail a prijde to nekomu jinemu, kdo na to klikne a tim se prihlasi do e-shopu, neni to chyba nikoho jineho, nez uzivatele.
To uz bych za vetsi bezpecnostni hrozbu povazoval to, ze vetsina (velkych) webu ma predzaskrtnute "trvale prihlaseni z tohoto pocitace". Coz mi opravdu pripada jako naprosta debilita, ale kdo chce kam...