/1101551-metamg220sd.jpg)
ZaMKADom
инфо
инструменты
Fakir
digger
Штуша-Кутуша
Carpe diеm
Balancer
Bredonosec
Реклама Google — средство выживания форумов :)
-
/1101551-metamg220sd.jpg)
GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка
переживёт ли этот закон Авиабаза?Теги:
Balancer>>> Раза в 2-3.
C.d.>> 14-20 тысяч в месяц?
Balancer> Скорее, ближе где-то к первому числу. Тысяч 15 в месяц, наверное.
15000 : 200 = 75 "социально ответственных". По статистике форумов наберется? И цифра не критичная...
C.d.>> 14-20 тысяч в месяц?
Balancer> Скорее, ближе где-то к первому числу. Тысяч 15 в месяц, наверное.
15000 : 200 = 75 "социально ответственных". По статистике форумов наберется? И цифра не критичная...
Balancer> Если тут сильно краски не сгущают, то есть шанс, что Авиабазу, таки, придётся закрывать.
Balancer> GDPR как оружие массового поражения / Блог компании Plesk / Хабр
А в чём проблема НЕ хранить мэйлы и IP???
Balancer> GDPR как оружие массового поражения / Блог компании Plesk / Хабр
А в чём проблема НЕ хранить мэйлы и IP???
Fakir> То есть если выделить Морской ... ???
Fakir> Я правильно понимаю мысль?
Морской — это подавляющее большинство аттачей. Но по числу сообщений (от чего зависит требование к БД и объёму памяти) он вряд ли больше половины занимает.
Но тут ещё тонкость в том, что Морской и с рекламы больше половины дохода приносит
Fakir> Я правильно понимаю мысль?
Морской — это подавляющее большинство аттачей. Но по числу сообщений (от чего зависит требование к БД и объёму памяти) он вряд ли больше половины занимает.
Но тут ещё тонкость в том, что Морской и с рекламы больше половины дохода приносит
Fakir> А в чём проблема НЕ хранить мэйлы и IP???
Не хранить email — это потерять возможность восстановить пароль и подтвердить аккаунт.
Не хранить email и IP — это рай для спамеров и неадекватов.
Наконец, не хранить email и IP — это бан форума в России при первом же интересе ФСБ
Не хранить email — это потерять возможность восстановить пароль и подтвердить аккаунт.
Не хранить email и IP — это рай для спамеров и неадекватов.
Наконец, не хранить email и IP — это бан форума в России при первом же интересе ФСБ
Balancer> Но тут ещё тонкость в том, что Морской и с рекламы больше половины дохода приносит
GDPR на носу – прекращаем панику и начинаем спасаться
Судя по нарастающей в сети панике, очень многие либо только узнали о GDPR, либо оттянули удовольствие до предела. Уже 25 мая угроза штрафа в 20 млн Евро или... // m.habr.com
Balancer> Не хранить email — это потерять возможность восстановить пароль и подтвердить аккаунт.
Например, через дополнительный контрольный вопрос. Как в куче мест.
Да и не самая актуальная задача.
Balancer> Не хранить email и IP — это рай для спамеров и неадекватов.
Ничего принципиально не изменится ИМХО.
С учётом того, что ты по IP всё равно не банишь.
Balancer> Наконец, не хранить email и IP — это бан форума в России при первом же интересе ФСБ
Храни отдельную базу на их серверах
А ты типа ни при чём.
Например, через дополнительный контрольный вопрос. Как в куче мест.
Да и не самая актуальная задача.
Balancer> Не хранить email и IP — это рай для спамеров и неадекватов.
Ничего принципиально не изменится ИМХО.
С учётом того, что ты по IP всё равно не банишь.
Balancer> Наконец, не хранить email и IP — это бан форума в России при первом же интересе ФСБ
Храни отдельную базу на их серверах
А ты типа ни при чём.
Fakir> Впрочем, не исключено, что со временем и нынешнее будет за радость 
Не то что не исключено , а практически гарантировано .
Не то что не исключено , а практически гарантировано .
Fakir> Например, через дополнительный контрольный вопрос. Как в куче мест.
Не путай спамеров с ботами.
Fakir> Да и не самая актуальная задача.
Очень актуальная. Спамеры с кривой почтой (не смотря на наличие у нас контрольного вопроса) отсеиваются в огромных количествах. За последний месяц у нас 9 новых активированных пользователей и … 152 не активированных. Вот эти 152 спамера и отсеялись.
Fakir> Ничего принципиально не изменится ИМХО.
Это твоё ХО
Fakir> С учётом того, что ты по IP всё равно не банишь.
Я ничего не говорил про баны.
Balancer>> Наконец, не хранить email и IP — это бан форума в России при первом же интересе ФСБ
Fakir> Храни отдельную базу на их серверах А ты типа ни при чём.
Вот иногда не понимаю, нафига этот тороллинг? То, что ты тупой — не верю. Значит — троллинг.
Не путай спамеров с ботами.
Fakir> Да и не самая актуальная задача.
Очень актуальная. Спамеры с кривой почтой (не смотря на наличие у нас контрольного вопроса) отсеиваются в огромных количествах. За последний месяц у нас 9 новых активированных пользователей и … 152 не активированных. Вот эти 152 спамера и отсеялись.
Fakir> Ничего принципиально не изменится ИМХО.
Это твоё ХО
Fakir> С учётом того, что ты по IP всё равно не банишь.
Я ничего не говорил про баны.
Balancer>> Наконец, не хранить email и IP — это бан форума в России при первом же интересе ФСБ
Fakir> Храни отдельную базу на их серверах
А ты типа ни при чём.Вот иногда не понимаю, нафига этот тороллинг? То, что ты тупой — не верю. Значит — троллинг.
Fakir>> Например, через дополнительный контрольный вопрос. Как в куче мест.
Balancer> Не путай спамеров с ботами.
Я про восстановление пароля без мыла. Как на банковских карточках - ключевое слово.
Balancer> Очень актуальная. Спамеры с кривой почтой (не смотря на наличие у нас контрольного вопроса) отсеиваются в огромных количествах. За последний месяц у нас 9 новых активированных пользователей и … 152 не активированных. Вот эти 152 спамера и отсеялись.
Ну не отсеялись бы, ну забанился бы юзер после первого спама.
Это ж мелочи.
Расширить число пользователей, обладающих правом бана спамеров - и всё.
Или даже дать такое право абсолютно всем пользователям, и при совпадении двух (или трёх, или более, или в зависимости от весов) сигнало - банить. И всё будет мгновенно происходить. Безо всяких IP, мылов и иных формальных нарушений.
Fakir>> Храни отдельную базу на их серверах А ты типа ни при чём.
Balancer> Вот иногда не понимаю, нафига этот тороллинг? То, что ты тупой — не верю. Значит — троллинг.
Ничуть. Это намёк на то, что надо искать какой-то способ, который формально не нарушает европейские требования, и притом полностью удовлетворяет отечественные инстанции.
Скорее всего, какой-то вариант возможен.
Balancer> Не путай спамеров с ботами.
Я про восстановление пароля без мыла. Как на банковских карточках - ключевое слово.
Balancer> Очень актуальная. Спамеры с кривой почтой (не смотря на наличие у нас контрольного вопроса) отсеиваются в огромных количествах. За последний месяц у нас 9 новых активированных пользователей и … 152 не активированных. Вот эти 152 спамера и отсеялись.
Ну не отсеялись бы, ну забанился бы юзер после первого спама.
Это ж мелочи.
Расширить число пользователей, обладающих правом бана спамеров - и всё.
Или даже дать такое право абсолютно всем пользователям, и при совпадении двух (или трёх, или более, или в зависимости от весов) сигнало - банить. И всё будет мгновенно происходить. Безо всяких IP, мылов и иных формальных нарушений.
Fakir>> Храни отдельную базу на их серверах
А ты типа ни при чём.Balancer> Вот иногда не понимаю, нафига этот тороллинг? То, что ты тупой — не верю. Значит — троллинг.
Ничуть. Это намёк на то, что надо искать какой-то способ, который формально не нарушает европейские требования, и притом полностью удовлетворяет отечественные инстанции.
Скорее всего, какой-то вариант возможен.
Fakir> Расширить число пользователей, обладающих правом бана спамеров - и всё.
А сколько вообще юзеров пишут? 20 или ближе к 10? Можно просто подтверждать создание аккаунта вручную, но, в свою очередь, возможен DoS очереди на создание аккаунта.
А сколько вообще юзеров пишут? 20 или ближе к 10? Можно просто подтверждать создание аккаунта вручную, но, в свою очередь, возможен DoS очереди на создание аккаунта.
digger> А сколько вообще юзеров пишут? 20 или ближе к 10?
За последний месяц — 660. От 10 сообщений и больше — 341.
digger> Можно просто подтверждать создание аккаунта вручную
- Это сразу отпугнёт большую долю и без того небольшого числа новичков.
- Ты в 90% случаев не отличишь по нику в заявке добропорядочного юзера от спамера: Спам на форуме
За последний месяц — 660. От 10 сообщений и больше — 341.
digger> Можно просто подтверждать создание аккаунта вручную
- Это сразу отпугнёт большую долю и без того небольшого числа новичков.
- Ты в 90% случаев не отличишь по нику в заявке добропорядочного юзера от спамера: Спам на форуме
16-й> ...Нужна качественная непробегаемая напоминалка на входе и несколько охватывающих вариантов перевести платеж. Чай не все жмоты, даже не большинство, заплатят за свое удовольствие.
Точно, точно Уважаемые форумчане с опытом работы в бизнесе, научите пожалуйста Балансера деньги собирать.
Типа, что бы не забывалось, дружественный интерфейс для людей предпенсионного возраста, забугорные участники форума не мучилиь бы вопросами, а что такое яндексденьги ..может такой биткоин, но и его нет. Как-то обуржуиваться пора
Возможность пожертвования от просто посетителей так же должна быть.
Принцип - заметно, интересно и просто. Публичность так же желательна с чётким правилом, если кто скажет типа " я платил, ты нет" или "ты платил и у тебя привелегии", то этo однозначное RO на неделю другую.
Точно, точно
Уважаемые форумчане с опытом работы в бизнесе, научите пожалуйста Балансера деньги собирать. Типа, что бы не забывалось, дружественный интерфейс для людей предпенсионного возраста, забугорные участники форума не мучилиь бы вопросами, а что такое яндексденьги ..может такой биткоин, но и его нет. Как-то обуржуиваться пора
Возможность пожертвования от просто посетителей так же должна быть.
Принцип - заметно, интересно и просто. Публичность так же желательна с чётким правилом, если кто скажет типа " я платил, ты нет" или "ты платил и у тебя привелегии", то этo однозначное RO на неделю другую.
"Есть граница за которой начинается разум !!" (с) моя жена в момент горячего семейного спора.
Штуша-Кутуша> Принцип - заметно, интересно и просто. Публичность так же желательна с чётким правилом, если кто скажет типа " я платил, ты нет" или "ты платил и у тебя привелегии", то этo однозначное RO на неделю другую.
Я уже искал такое в краудфандинге вчера. Чтобы:
- Было на русском
- Имело возможность постоянных или периодических, а не разовых акций
- Имело разные варианты оплаты — карты, Я.Деньги, PayPal…
- Имело открытую статистику о поступлениях и балансе
Под такое дело было бы проще развернуть серию экспериментов с организацией защищённого форума. Да и себе за затраты времени можно б было что-то официально забирать за конкретные работы, чтобы мне веселее работалось
Но пока не нашёл Кикстартеры/Бумстартеры все апериодические. Для разовых акций, ограниченных по времени. Тоже, конечно, вариант «Сбор средств на работу Авиабазы в 2019 году», но неудобно. Patreon — без русского интерфейса, большинство форумчан не разберулся. На Я.Деньгах есть возможность создать страничку для пополнений:
Но там нет никакой статистики, просто ещё один вариант перевода в Я.Кошелёк :-/
Так что пока х.з.
Я уже искал такое в краудфандинге вчера. Чтобы:
- Было на русском
- Имело возможность постоянных или периодических, а не разовых акций
- Имело разные варианты оплаты — карты, Я.Деньги, PayPal…
- Имело открытую статистику о поступлениях и балансе
Под такое дело было бы проще развернуть серию экспериментов с организацией защищённого форума. Да и себе за затраты времени можно б было что-то официально забирать за конкретные работы, чтобы мне веселее работалось
Но пока не нашёл
Кикстартеры/Бумстартеры все апериодические. Для разовых акций, ограниченных по времени. Тоже, конечно, вариант «Сбор средств на работу Авиабазы в 2019 году», но неудобно. Patreon — без русского интерфейса, большинство форумчан не разберулся. На Я.Деньгах есть возможность создать страничку для пополнений:Но там нет никакой статистики, просто ещё один вариант перевода в Я.Кошелёк :-/
Так что пока х.з.
Balancer> Я уже искал такое в краудфандинге вчера. Чтобы:
Balancer> - Было на русском
Думаешь это критично? Здесь все настолько просто, что даже чайнику понятно.
Balancer> - Было на русском
Думаешь это критично? Здесь все настолько просто, что даже чайнику понятно.
Best way for artists and creators to get sustainable income and connect with fans | Patreon
Patreon is a membership platform that makes it easy for artists and creators to get paid. Join over 50,000 creators earning salaries from over 1,000,000 monthly patrons. // www.patreon.com
Balancer>> - Было на русском
C.d.> Думаешь это критично?
Для большинства форумчан — критично.
C.d.> Думаешь это критично?
Для большинства форумчан — критично.
Balancer>>> - Было на русском
C.d.>> Думаешь это критично?
Balancer> Для большинства форумчан — критично.
Можно написать гайд для таких случаев.
C.d.>> Думаешь это критично?
Balancer> Для большинства форумчан — критично.
Можно написать гайд для таких случаев.
C.d.> Можно написать гайд для таких случаев.
Всё это сразу отсекает львиную долю потенциальных участников.
Всё это сразу отсекает львиную долю потенциальных участников.
C.d.>> Можно написать гайд для таких случаев.
Balancer> Всё это сразу отсекает львиную долю потенциальных участников.
Нет решения.Большинство населения не занимается онлайновыми платежами и справедливо опасается, что это опасно.Известный метод открывать отдельный счет и переводить туда сколько надо - морока.
Balancer> Всё это сразу отсекает львиную долю потенциальных участников.
Нет решения.Большинство населения не занимается онлайновыми платежами и справедливо опасается, что это опасно.Известный метод открывать отдельный счет и переводить туда сколько надо - морока.
Попалась мне тут интересная информация.
Один канадец, директор отдела безопасности, решил написать "письмо - ночной кошмар" - перечисление самого худшего сценария запроса к организации со стороны пользователя согласно GDPR.
Оригинал тут https://www.linkedin.com/pulse/.../
Поскольку это на линкед-ин, дублирую под спойлером
Один канадец, директор отдела безопасности, решил написать "письмо - ночной кошмар" - перечисление самого худшего сценария запроса к организации со стороны пользователя согласно GDPR.
Оригинал тут https://www.linkedin.com/pulse/.../
Поскольку это на линкед-ин, дублирую под спойлером
I had drafted a letter a few years ago detailing the worst kind of personal information access request that a Canadian company could receive under PIPEDA. I thought it might be useful to update that as a subject access request under GDPR, and present it as a worst-case situation (with thanks to Paul Breitbarth for reviewing this and offering some insights from a regulator's point of view). You might simply use this to make a case to your organization about what it could potentially receive.
A more interesting use would be to use this letter for a table-top exercise, similar to those used for data breaches, to see how your organization would respond. It might be very entertaining to have this kind of letter actually sent by a friendly party to your own organization to see exactly how it would be responded to - would the privacy office get alerted? How would the organization respond to someone knowledgeable about both the law and the technologies being used to support data management? Edit as appropriate to create the nightmare of your choosing. A future installment will address the nightmare of rectification, erasure and portability .
The nightmare letter:
Dear Sir/Madam:
I am writing to you in your capacity as data protection officer for your company. I am a customer of yours, and in light of recent events, I am making this request for access to personal data pursuant to Article 15 of the General Data Protection Regulation. I am concerned that your company’s information practices may be putting my personal information at undue risk of exposure or in fact has breached its obligation to safeguard my personal information pursuant to <latest nasty cybersecurity event or thing in the news>.
I am including a copy of documentation necessary to verify my identity. If you require further information, please contact me at my address above.
I would like you to be aware at the outset, that I anticipate reply to my request within one month as required under Article 12, failing which I will be forwarding my inquiry with a letter of complaint to the <appropriate data protection authority>.
Please advise as to the following:
1. Please confirm to me whether or not my personal data is being processed. If it is, please provide me with the categories of personal data you have about me in your files and databases.
a. In particular, please tell me what you know about me in your information systems, whether or not contained in databases, and including e-mail, documents on your networks, or voice or other media that you may store.
b. Additionally, please advise me in which countries my personal data is stored, or accessible from. In case you make use of cloud services to store or process my data, please include the countries in which the servers are located where my data are or were (in the past 12 months) stored.
c. Please provide me with a copy of, or access to, my personal data that you have or are processing.
2. Please provide me with a detailed accounting of the specific uses that you have made, are making, or will be making of my personal data.
3. Please provide a list of all third parties with whom you have (or may have) shared my personal data.
a. If you cannot identify with certainty the specific third parties to whom you have disclosed my personal data, please provide a list of third parties to whom you may have disclosed my personal data.
b. Please also identify which jurisdictions that you have identified in 1(b) above that these third parties with whom you have or may have shared my personal data, from which these third parties have stored or can access my personal data. Please also provide insight in the legal grounds for transferring my personal data to these jurisdictions. Where you have done so, or are doing so, on the basis of appropriate safeguards, please provide a copy.
c. Additionally, I would like to know what safeguards have been put in place in relation to these third parties that you have identified in relation to the transfer of my personal data.
4. Please advise how long you store my personal data, and if retention is based upon the category of personal data, please identify how long each category is retained.
5. If you are additionally collecting personal data about me from any source other than me, please provide me with all information about their source, as referred to in Article 14 of the GDPR.
6. If you are making automated decisions about me, including profiling, whether or not on the basis of Article 22 of the GDPR, please provide me with information concerning the basis for the logic in making such automated decisions, and the significance and consequences of such processing.
7. I would like to know whether or not my personal data has been disclosed inadvertently by your company in the past, or as a result of a security or privacy breach.
a. If so, please advise as to the following details of each and any such breach:
i. a general description of what occurred;
ii. the date and time of the breach (or the best possible estimate);
iii. the date and time the breach was discovered;
iv. the source of the breach (either your own organization, or a third party to whom you have transferred my personal data);
v. details of my personal data that was disclosed;
vi. your company’s assessment of the risk of harm to myself, as a result of the breach;
vii. a description of the measures taken or that will be taken to prevent further unauthorized access to my personal data;
viii. contact information so that I can obtain more information and assistance in relation to such a breach, and
ix. information and advice on what I can do to protect myself against any harms, including identity theft and fraud.
b. If you are not able to state with any certainty whether such an exposure has taken place, through the use of appropriate technologies, please advise what mitigating steps you have taken, such as
i. Encryption of my personal data;
ii. Data minimization strategies; or,
iii. Anonymization or pseudonymization;
iv. Any other means
8. I would like to know your information policies and standards that you follow in relation to the safeguarding of my personal data, such as whether you adhere to ISO27001 for information security, and more particularly, your practices in relation to the following:
a. Please inform me whether you have backed up my personal data to tape, disk or other media, and where it is stored and how it is secured, including what steps you have taken to protect my personal data from loss or theft, and whether this includes encryption.
b. Please also advise whether you have in place any technology which allows you with reasonable certainty to know whether or not my personal data has been disclosed, including but not limited to the following:
i. Intrusion detection systems;
ii. Firewall technologies;
iii. Access and identity management technologies;
iv. Database audit and/or security tools; or,
v. Behavioural analysis tools, log analysis tools, or audit tools;
9. In regards to employees and contractors, please advise as to the following:
a. What technologies or business procedures do you have to ensure that individuals within your organization will be monitored to ensure that they do not deliberately or inadvertently disclose personal data outside your company, through e-mail, web-mail or instant messaging, or otherwise.
b. Have you had had any circumstances in which employees or contractors have been dismissed, and/or been charged under criminal laws for accessing my personal data inappropriately, or if you are unable to determine this, of any customers, in the past twelve months.
c. Please advise as to what training and awareness measures you have taken in order to ensure that employees and contractors are accessing and processing my personal data in conformity with the General Data Protection Regulation.
Yours Sincerely,
I. Rate
А теперь - мой перевод:
Я написал это письмо несколько лет назад чтобы детализировать вопрос на персональную информацию в худшей форме который канадская компания может получить согласно PIPEDA.
Я подумал что возможно имеет смысл обновить это в свете доступа по GDPR и представить худшую ситуацию.
Вы можете это просто использовать в вашей органиции для оценки того, какой запрос вы можете потенциально получить.
Более интресно то, что вы можете использовать это письмо как настольное упражнение, подобное тем,
которые используются для поиска уязвимостей, чтобы увидеть как ваша организация могла бы ответить.
Было бы весьма забавно, если бы такое письмо было бы послано вашими дружественными партнерами
чтобы увидеть как в действительности на него могли бы ответить - будут ли извещен отдел по секретам.
Как могла бы отреагировать организация на кого-нибудь, кто опытен как в законах так и технологиях, используемых в управлении данными? Подредактируйте как вам удобно чтобы создать кошмар, который вы выберете.
Дорогой Господин/Дорогая Госпожа:
Я пишу вам сообразно вашей роли служащего по защите данных в вашей организации. Я ваш пользователей и, в свете последних событий, я делаю этот запрос на доступ к персональным данным согласно статье 15 GDPR. Я обеспокоен что информационная политика вашей компании может привести к ненадлежащему доступу к моей персональной информации или уже нарушила гарантии безопасности моей персональной информации, подобно <возьмите на ваш выбор какое либо событие или новость про кибербезопастность>
Я дополняю это письмо всеми необходимыми документами для идентификации моей личности.Если вам требуется дополнительная информация - свяжитесь со мной по адресу, предоставленному выше.
Я хотел бы также, чтобы вы были в курсе, что я ожидаю ваш ответ в течении одного месяца согласно
статье 12. В противном случае я перешлю мое расследование вместе с жалобой вам <выберите сообразный гос.орган по защите данных>
Прошу вас проконсультировать меня по следующим пунктам:
1. Пожалуйста подтвердите - обрабатывались или нет мои персональные данные ? Если да, то пожалуйста предоставьте мне категории моих персональных данных, которые хранятся в ваших базах данных и файлах.
а. В частности, пожалуйста скажите, что вы знаете обо мне, сообразно тому, что есть ваших информационных системах: хранящихся ( если таковой факт имеется ) в базах данных и включая электронную почту, документы в вашей сети или голосовых записях, которые вы возможно храните.
b. Дополнительно, пожалуйста сообщите мне в каких странах хранятся мои персональные данные и из каких к ним есть доступ. В случае, если вы используете облачные технологии, пожалуйста включите также страны в которых размещены сервера где мои данные сейчас или находились в последние 12 месяцев.
c. Пожалуйста предоставьте мне копию или доступ к персональным данным, которые вы обрабатываете.
2. Пожалуйста, предоставьте мне детальный отчет о характерном использовании которое вы делали, делаете или собираетесь делать с моими персональными данными.
3. Пожалуйста предоставьте мне список всех третьих организаций которым вы предоставляли или могли предоставить мои персональные данные.
a. Если вы не можете точно отождествить определенные третьи организации, которым вы открыли мои персональные данные, пожалуйста предоставьте список тех, которым вы могли бы их открыть.
b. Пожалуйста также укажите юрисдикции для этих третьих организаций, которым вы предоставляли или могли предоставить персональные данные, сообразно перечисленных вами в пункте 1(b), в которых они могли хранить их или с которых получать доступ к ним. Пожалуйста также предоставьте законодательные нормы, согласно которым вы могли передавать эти данные. Если вы это делали на основе соответствующих документов и охранных свидетельств, пожалуйста, предоставьте их копии.
c. Дополнительно, я бы желал знать, какие документы и охранные свидетельства положены в основе ваших отношений с третьими компаниями, которым вы означили выше как компании которым вы могли передать или передавали мои персональные данные.
4. Пожалуйста укажите насколько долго вы храните мои персональные данные и если срок хранения зависит от категории данных, то пожалуйста определите как долго хранится та или иная категория.
5. Если дополнительно к данным, которые предоставлены мною лично, вы храните мои персональные данные, полученные из других источников, то, в соответствии со статьй 14 GDPR, обеспечьте мне пожалуйста всю информацию по таким сторонним источникам данных.
6. Если вы производите автоматическое принятие решний относительно меня, включая анализ, согласно статье 22 GDPR или нет, пожалуйста предоставьте мне информацию касательно основ логики такого автоматического принятия решений, а также важность и последствия такой обработки.
7. Я хотел бы также знать были ли или нет открыты мои персональные данные вашей компанией неумышленно в прошлом, или были ли случаи утечек информации в вашей компании как результат уязвимостей в системе безопасности хранения личной информации.
a. Если таковые случаи были, пожалуйста предоставьте следующие детали каждой или одной из таких утечек:
i. Общее описание того, что произошло
ii. Дата и время утечки или максимально точная их оценка
iii. Дата и время когда утечка была обнаружена
iv. Источник утечки ( ваша организация или третьесторонняя организация, которой были переданы данные )
v. Детали моих персональных данных которые были открыты.
vi. Оценка вашей компании рисков нанесения мне вреда в результате такой утечки
vii. Описание мер принятых или тех, что собираются принять, для предотвращения несанкционированного доступа к моим персональным данным в будущем.
viii. Контактная информация если мне потребуется дополнительная информация или помощь в отношении подобной утечки, и
ix. Информация и рекомендации относительно того, как мне защитить себя от негативных последствий включая кражу учетной записи или мошенничество при использовании полученной информации.
8. Я также хотел бы знать какие политики и стандарты информационной безопасности вы используете в вашей организации касательно обеспечения безопасности моих персональных данные как, например, придерживаетесь ли вы стандарта ISO27001 в области информационной безопасности и в частности ваших правил касательно следующего:
a. Пожалуйста, предоставьте мне сведения, делаете ли вы резервные копию моих персональных данных на магнитную ленту, диск или другие носители, и как вы их храните и как обеспечивается безопасность их хранения, включая шаги, которые вы делаете для предотвращения потенциальной потери или кражи моей персональной информации, и используется ли при этом шифрование.
b. Пожалуйста таже укажите, есть ли у вас в наличии та или иная технология, которая позволяет вам
с разумной степенью достоверности определить, были ли открыты или нет мои персональные данные, включая следующие пункты но не ограничиваясь ими:
i. Системы обнаружения взлома
ii. Технологии брандмауэров
iii. Технологии упраления доступом и учетными записями
v. Системы анализа поведения, системы анализа журналов или система аудита.
9. Касательно сотрудников и подрядчиков пожалуйста укажите следующее:
a. Какие технолгии или бизнес-процедуры у вас используются, чтобы обеспечить мониторинг персонала
в вашей организации чтобы служить гарантией того, что они, умышленно или неумышленно, не могли передать персональные данные из вашей компании наружу посредством электронной почты, веб-почты, мессенджерами или иным способом.
b. Были или нет вашей организации случаи, когда сотрудники или подрядчики были уволены или привлечены
к уголовной ответственности за ненадлежащий доступ к моим персональным данным или, если такого не было
применительно к моим данным, были ли подобные случаи касательно других ваших пользователей в последние 12 месяцев.
c. Пожалуйста также укажите, какие тренинги или меры обеспечения вы проводили для того, чтобы обеспечить гарантию, что работники и подрядчики при доступе к моим данным следуют правилам GDPR.
С уважением, <Имя, Фамилия>
Константин Карбалиотис,
Директор, Руководитель управления сервисами управления приватностью
PricewaterhouseCoopers LLP, Canada
Я написал это письмо несколько лет назад чтобы детализировать вопрос на персональную информацию в худшей форме который канадская компания может получить согласно PIPEDA.
Я подумал что возможно имеет смысл обновить это в свете доступа по GDPR и представить худшую ситуацию.
Вы можете это просто использовать в вашей органиции для оценки того, какой запрос вы можете потенциально получить.
Более интресно то, что вы можете использовать это письмо как настольное упражнение, подобное тем,
которые используются для поиска уязвимостей, чтобы увидеть как ваша организация могла бы ответить.
Было бы весьма забавно, если бы такое письмо было бы послано вашими дружественными партнерами
чтобы увидеть как в действительности на него могли бы ответить - будут ли извещен отдел по секретам.
Как могла бы отреагировать организация на кого-нибудь, кто опытен как в законах так и технологиях, используемых в управлении данными? Подредактируйте как вам удобно чтобы создать кошмар, который вы выберете.
Дорогой Господин/Дорогая Госпожа:
Я пишу вам сообразно вашей роли служащего по защите данных в вашей организации. Я ваш пользователей и, в свете последних событий, я делаю этот запрос на доступ к персональным данным согласно статье 15 GDPR. Я обеспокоен что информационная политика вашей компании может привести к ненадлежащему доступу к моей персональной информации или уже нарушила гарантии безопасности моей персональной информации, подобно <возьмите на ваш выбор какое либо событие или новость про кибербезопастность>
Я дополняю это письмо всеми необходимыми документами для идентификации моей личности.Если вам требуется дополнительная информация - свяжитесь со мной по адресу, предоставленному выше.
Я хотел бы также, чтобы вы были в курсе, что я ожидаю ваш ответ в течении одного месяца согласно
статье 12. В противном случае я перешлю мое расследование вместе с жалобой вам <выберите сообразный гос.орган по защите данных>
Прошу вас проконсультировать меня по следующим пунктам:
1. Пожалуйста подтвердите - обрабатывались или нет мои персональные данные ? Если да, то пожалуйста предоставьте мне категории моих персональных данных, которые хранятся в ваших базах данных и файлах.
а. В частности, пожалуйста скажите, что вы знаете обо мне, сообразно тому, что есть ваших информационных системах: хранящихся ( если таковой факт имеется ) в базах данных и включая электронную почту, документы в вашей сети или голосовых записях, которые вы возможно храните.
b. Дополнительно, пожалуйста сообщите мне в каких странах хранятся мои персональные данные и из каких к ним есть доступ. В случае, если вы используете облачные технологии, пожалуйста включите также страны в которых размещены сервера где мои данные сейчас или находились в последние 12 месяцев.
c. Пожалуйста предоставьте мне копию или доступ к персональным данным, которые вы обрабатываете.
2. Пожалуйста, предоставьте мне детальный отчет о характерном использовании которое вы делали, делаете или собираетесь делать с моими персональными данными.
3. Пожалуйста предоставьте мне список всех третьих организаций которым вы предоставляли или могли предоставить мои персональные данные.
a. Если вы не можете точно отождествить определенные третьи организации, которым вы открыли мои персональные данные, пожалуйста предоставьте список тех, которым вы могли бы их открыть.
b. Пожалуйста также укажите юрисдикции для этих третьих организаций, которым вы предоставляли или могли предоставить персональные данные, сообразно перечисленных вами в пункте 1(b), в которых они могли хранить их или с которых получать доступ к ним. Пожалуйста также предоставьте законодательные нормы, согласно которым вы могли передавать эти данные. Если вы это делали на основе соответствующих документов и охранных свидетельств, пожалуйста, предоставьте их копии.
c. Дополнительно, я бы желал знать, какие документы и охранные свидетельства положены в основе ваших отношений с третьими компаниями, которым вы означили выше как компании которым вы могли передать или передавали мои персональные данные.
4. Пожалуйста укажите насколько долго вы храните мои персональные данные и если срок хранения зависит от категории данных, то пожалуйста определите как долго хранится та или иная категория.
5. Если дополнительно к данным, которые предоставлены мною лично, вы храните мои персональные данные, полученные из других источников, то, в соответствии со статьй 14 GDPR, обеспечьте мне пожалуйста всю информацию по таким сторонним источникам данных.
6. Если вы производите автоматическое принятие решний относительно меня, включая анализ, согласно статье 22 GDPR или нет, пожалуйста предоставьте мне информацию касательно основ логики такого автоматического принятия решений, а также важность и последствия такой обработки.
7. Я хотел бы также знать были ли или нет открыты мои персональные данные вашей компанией неумышленно в прошлом, или были ли случаи утечек информации в вашей компании как результат уязвимостей в системе безопасности хранения личной информации.
a. Если таковые случаи были, пожалуйста предоставьте следующие детали каждой или одной из таких утечек:
i. Общее описание того, что произошло
ii. Дата и время утечки или максимально точная их оценка
iii. Дата и время когда утечка была обнаружена
iv. Источник утечки ( ваша организация или третьесторонняя организация, которой были переданы данные )
v. Детали моих персональных данных которые были открыты.
vi. Оценка вашей компании рисков нанесения мне вреда в результате такой утечки
vii. Описание мер принятых или тех, что собираются принять, для предотвращения несанкционированного доступа к моим персональным данным в будущем.
viii. Контактная информация если мне потребуется дополнительная информация или помощь в отношении подобной утечки, и
ix. Информация и рекомендации относительно того, как мне защитить себя от негативных последствий включая кражу учетной записи или мошенничество при использовании полученной информации.
8. Я также хотел бы знать какие политики и стандарты информационной безопасности вы используете в вашей организации касательно обеспечения безопасности моих персональных данные как, например, придерживаетесь ли вы стандарта ISO27001 в области информационной безопасности и в частности ваших правил касательно следующего:
a. Пожалуйста, предоставьте мне сведения, делаете ли вы резервные копию моих персональных данных на магнитную ленту, диск или другие носители, и как вы их храните и как обеспечивается безопасность их хранения, включая шаги, которые вы делаете для предотвращения потенциальной потери или кражи моей персональной информации, и используется ли при этом шифрование.
b. Пожалуйста таже укажите, есть ли у вас в наличии та или иная технология, которая позволяет вам
с разумной степенью достоверности определить, были ли открыты или нет мои персональные данные, включая следующие пункты но не ограничиваясь ими:
i. Системы обнаружения взлома
ii. Технологии брандмауэров
iii. Технологии упраления доступом и учетными записями
v. Системы анализа поведения, системы анализа журналов или система аудита.
9. Касательно сотрудников и подрядчиков пожалуйста укажите следующее:
a. Какие технолгии или бизнес-процедуры у вас используются, чтобы обеспечить мониторинг персонала
в вашей организации чтобы служить гарантией того, что они, умышленно или неумышленно, не могли передать персональные данные из вашей компании наружу посредством электронной почты, веб-почты, мессенджерами или иным способом.
b. Были или нет вашей организации случаи, когда сотрудники или подрядчики были уволены или привлечены
к уголовной ответственности за ненадлежащий доступ к моим персональным данным или, если такого не было
применительно к моим данным, были ли подобные случаи касательно других ваших пользователей в последние 12 месяцев.
c. Пожалуйста также укажите, какие тренинги или меры обеспечения вы проводили для того, чтобы обеспечить гарантию, что работники и подрядчики при доступе к моим данным следуют правилам GDPR.
С уважением, <Имя, Фамилия>
Константин Карбалиотис,
Директор, Руководитель управления сервисами управления приватностью
PricewaterhouseCoopers LLP, Canada
Это сообщение редактировалось 06.05.2018 в 17:56
digger> Самое радикальное и справедливое - скоординированый бойкот со стороны всей неевропы с целью прочистки мозгов.
А это тренд общемировой. И в сша к тому же идут, и в рф, и в ес. Да и в китае подтянутся.
То есть, или рисовать формы формального согласия на обработку, как гугл прилепил себе, или что-то еще... Но тупо игнорить и бойкотить не выйдет.
А это тренд общемировой. И в сша к тому же идут, и в рф, и в ес. Да и в китае подтянутся.
То есть, или рисовать формы формального согласия на обработку, как гугл прилепил себе, или что-то еще... Но тупо игнорить и бойкотить не выйдет.
Voeneuch, учи физику, манажор ))
Fakir> Расширить число пользователей, обладающих правом бана спамеров - и всё.
Вот на паралае к примеру уже второй год под вечер засирание спамом начинается. Какое-то время был популярен польский - с рекламой их сервисов. Теперь пошла волна "проститутки из..".
И таки там немало людей с правом бана, но по ночам они обычно спят.
Вот тебе надо ежеутренннее вычищение вот такой фигни? А если учесть, что точно так же можно накатать и что-либо, противозаконное, чтоб абазу вообще прикрыли? А если спам-атаку еще?
Зачем призывать геморрой на свою же жопу?
Fakir> Или даже дать такое право абсолютно всем пользователям, и при совпадении двух (или трёх, или более, или в зависимости от весов) сигнало - банить. И всё будет мгновенно происходить.
Примени это к спам атаке сразу с сотни ботов. Всё оочень мгновенно, ага-ага. Я на вк задолбался спамеров чистить, пока там не прикрутили механизм одним кликом "удалить всё от юзера за последнюю неделю и забанить его самого". По нескольку сотен спамопостов в сутки было в разных закоулках, и это при том, что читателей поменьше, чем у ромы.
Fakir> надо искать какой-то способ, который формально не нарушает европейские требования, и притом полностью удовлетворяет отечественные инстанции.
Fakir> Скорее всего, какой-то вариант возможен.
а вот с этим согласен. Это лучше, чем депрессить и паниковать.
Вот на паралае к примеру уже второй год под вечер засирание спамом начинается. Какое-то время был популярен польский - с рекламой их сервисов. Теперь пошла волна "проститутки из..".
И таки там немало людей с правом бана, но по ночам они обычно спят.
Вот тебе надо ежеутренннее вычищение вот такой фигни? А если учесть, что точно так же можно накатать и что-либо, противозаконное, чтоб абазу вообще прикрыли? А если спам-атаку еще?
Зачем призывать геморрой на свою же жопу?
Fakir> Или даже дать такое право абсолютно всем пользователям, и при совпадении двух (или трёх, или более, или в зависимости от весов) сигнало - банить. И всё будет мгновенно происходить.
Примени это к спам атаке сразу с сотни ботов. Всё оочень мгновенно, ага-ага. Я на вк задолбался спамеров чистить, пока там не прикрутили механизм одним кликом "удалить всё от юзера за последнюю неделю и забанить его самого". По нескольку сотен спамопостов в сутки было в разных закоулках, и это при том, что читателей поменьше, чем у ромы.
Fakir> надо искать какой-то способ, который формально не нарушает европейские требования, и притом полностью удовлетворяет отечественные инстанции.
Fakir> Скорее всего, какой-то вариант возможен.
а вот с этим согласен. Это лучше, чем депрессить и паниковать.
Voeneuch, учи физику, манажор ))
РосКомСвобода
Guest
гость
Сообщение было перенесено из темы Дайджест от мая 2018г.
Chicago Tribune, LA Times и ряд других американских СМИ сообщили, что их сайты недоступны в большинстве европейских стран после вступления в силу новых правил ЕС по защите персданных — #GDPR
// Американские новостные сайты заблокированы в Европе из-за нового закона о персданных
- Balancer [27.05.2018 15:11]: Перенос сообщений из Дайджест от мая 2018г
Реклама Google — средство выживания форумов :)
Bredonosec> И таки там немало людей с правом бана, но по ночам они обычно спят.
Я, кстати, в теории решил эту проблему (механизм Flatnesy, в ZeroNet описывал). Теперь осталось реализовать это на практике (при чём это побочный эффект, главная цель — децентрализация в человекочитаемом формате). И нужно будет решить потенциальные новые проблемы (например, проблема появления новых юзеров)
Я, кстати, в теории решил эту проблему (механизм Flatnesy, в ZeroNet описывал). Теперь осталось реализовать это на практике (при чём это побочный эффект, главная цель — децентрализация в человекочитаемом формате). И нужно будет решить потенциальные новые проблемы (например, проблема появления новых юзеров
)
Copyright © Balancer 1997..2018
Создано 06.12.2017
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
Создано 06.12.2017
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
