Обява

**vlado_74** · 21-02-18, 15:52

От: Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

Трябва да си прегледате всички процеси и да установите в кои има лични данни (добре е да се ограничат максимално много като брой) след това да ги преведете към стандарта - да са криптирани и т.н. да има опция човек да бъде "забравен" или някой като пусне жалба - какви лични данни ми имате и за какво ги ползвате? да има начин бързо и лесно да установите това. Потърси в нет-а има много информация за GDPR, тази година всеки месец има по няколко семинара в които се разясняват нещата в детайли. Ако не ви се занимава може да си наемете консултантска фирма по въпроса която ще ви каже какво да си промените.

**p-pleven** · 21-02-18, 17:00

От: Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

Какво ще търсят при одит, предполагаемо?

Реален "Иван Петков Василев" ако го заменя с псевдоним "Василка Петкова Иванова" брои ли се като добра практика?

**DBRS** · 21-02-18, 18:03

От: Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

Да, води се анонимизиране,ако е на шльокавица пак става,ама
какво ще търсят още не знаят

Може местния ни закон да го напишат с цел тормоз.

Щом сте под 250 служителя, кои текстове те притесняват?

**vlado_74** · 21-02-18, 18:20

От: Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

Първоначално публикуван от p-pleven Преглед на мнение

Какво ще търсят при одит, предполагаемо?

Реален "Иван Петков Василев" ако го заменя с псевдоним "Василка Петкова Иванова" брои ли се като добра практика?

В една идеална система личните данни (данни които еднозначно идентифицират конкретен човек) трябва да са в отделна система криптирани с ограничен достъп и т.н. и от другите системи да имаш само препратки към ID на запис към тази система. Според мен ще се проверява основно по сигнали и жалби, не съм чувал да правят одит за GDPR. Първоначално ако можеш да докажеш, че са преприети действия за анонимизация, криптация и т.н. мисля , че ще е достатъчно (отколкото ако нищо не е правено :-) )

**BatGeorgeone** · 21-02-18, 19:58

От: Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

Ако автора на темата подхожда така хумористично към ГДПР го очакват много неприятни изненади с много нули, това в момента е един от най-големите таралежи в ЕС и много големи фирми треперят защото нещата са сериозни не става скалъпване на нещо с тел и сезал, иска си наемане на специалист и не е нужно специалиста да е на щат, просто се наема като консултант или тия аспекти просто се аутсорсват на такива които с това си вадят хляба и са специалисти.

**p-pleven** · 21-02-18, 21:32

От: Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

Приятелю, повярвай ми, не пидценявам нулите, както и не подценявам сканираните лични карти навред в мрежата, по енейли, на картинки и т.н.

За тва сондирам отдалеко, понеже съм сигурен, че няма да получа достатъчно отговори на семинара за 120 лв с екстра "осигурено кафе".

Та представата ми е да почна леко отдалеко и набиване на рошави пароли на всяко място, което съхранява нещо.

Сега, докато съм в обяснителен режим се сетих: за криптирането какви са минималните изисквания за алгоритми и т.н по въпроса.

Друго: Ако се мине на криптирана кореспонденция по емайл през Windows, iOS как се вписват андроид устройствата в играта? (Няма да минаваме на Убунту и подобни). Не можах да допрочета на ESET възможностите и за това питам.
Други подобни решения за кореспонденция?

Между другото една "облачна" антивирустна ще отреже идеално скайп, майп, мирк, файсбок...

**blago72** · 22-02-18, 05:36

Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

Да започнем с тази примерна анкета, с цел ориентиране в ситуацията.

1. Дефиниция за лични данни, според бизнеса ви - за да знаете дали трябва да искате съгласие за събирането им.
2. Право на забравяне и възможност за генериране на справка за наличните при вас лични данни.
3. Предавате ли лични данни на други администратори и ако да - защо? Вземате ли съгласието на потребителя, как, доказване на съгласие.
4. Изнасяте ли лични данни извън ЕС? Ако да - изрично съгласие на потребителите.
5. Имате ли web сайт? Използвате ли инструменти за устойчиво маркиране и проследяване на потребителите? А ваши? Правите ли някакви онлайн рекламни кампании - обичайно те вървят с tracking кодове на използваният инструмент (Adwords, FB и т.н.). Как вземате съгласие? Може ли да забравите потребител, ако той поиска?
6. Имате ли CRM система? Искате ли съгласие, за да запишете в нея данни на потребителя? Колко време ги пазите? Не може ли по-кратко? Изтриване, профил.

**BatGeorgeone** · 22-02-18, 10:38

От: Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

Ще опитам да дам някой насоки, които може да приемеш с щипка сол

На първо време защо не заделиш един ден и да прелистиш тия наредби, за около 250 страници говорим на прост език , не за строене на дейта уеърхаузи

Първоначално публикуван от p-pleven Преглед на мнение

Приятелю, повярвай ми, не пидценявам нулите, както и не подценявам сканираните лични карти навред в мрежата, по енейли, на картинки и т.н.

За тва сондирам отдалеко, понеже съм сигурен, че няма да получа достатъчно отговори на семинара за 120 лв с екстра "осигурено кафе".

Та представата ми е да почна леко отдалеко и набиване на рошави пароли на всяко място, което съхранява нещо.

Сега, докато съм в обяснителен режим се сетих: за криптирането какви са минималните изисквания за алгоритми и т.н по въпроса.

Жоро - 256bit поне, а алгоритмите ще те ограничат ако се спреш само на един примерно, ползвай масовите 3-4 и си намери приложение по джоба

Друго: Ако се мине на криптирана кореспонденция по емайл през Windows, iOS как се вписват андроид устройствата в играта?
Жоро - мобилните устройства ги сложи грубо в две категории (служебни/платени от фирмата) и лични(собственост на служителя), ако са служебни ги привикваш и им слагаш full device encryption, AV и т.н. плюс казваш на личен състав да упомене в правилата (обновените), че всяка неоторизорана модификация на служебните устройства води до най-тежкото дисциплинарно наказание. Личните устройства или лагаш т.н. BYOD където има posture checking etc. или набиваш един MDM agent (mobile iron, Aruba, Kasperski) през МДМ после си правиш каквото си искаш, аз бих закупил МДМ и всичко се решава централизирано и цивилизовано, е струва пари ама е най-доброто решение за повече от 10-15 служителя.

(Няма да минаваме на Убунту и подобни). Не можах да допрочета на ESET възможностите и за това питам.
Други подобни решения за кореспонденция?
Жоро - Криптирането на съобщенията не е проблем, има много приложения за всякакви ОС и клиенти.

Между другото една "облачна" антивирустна ще отреже идеално скайп, майп, мирк, файсбок...
Жоро - а защо трябва да режеш нещо, сложи МДМ, потвърди пълно криптиране на устройството, сложна парола, обновен АВ и другото да не ти дреме, то зависи от човека, ако е малоумен каквото и да направиш той/тя пак може да осере ситуацията.
Ако се страхуваш за изтичане на данни, тогава ти трябва DRM решение което пак се интегрира с МДМ но става сложно и скъпо, но ако е законово изискване ще кихат шефовете и ти ще диплойваш за да няма после рев, кръв и сополи и много нули в канала

**BatGeorgeone** · 22-02-18, 13:40

От: Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

Относно въпроса ти за алгоритмите на криптиране....

Един чичко преди малко пусна тази снимка и съм склонен да си променя мнението и препоръчам поне двойно по-големи ключове примерно 512бит и повече ако може.

Ето я снимката, принципно казва, че с оптимизиран кернъл тази видеокарта може да чупи ужасно много комбинации в секунда, според алгоритъма, някой алгоритми са доста страшно уязвими, особено ША....

Натиснете снимката за да я уголемите

Име:0ad277f2-db8a-4404-9162-653912bdac30-original.jpg
Прегледи:1
Размер:204.9 КБ
ID:5781616

**Krasimir.Kostadinov** · 22-02-18, 19:43

От: Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

AES с 256bit-ов ключ към момента е напълно достатъчен. По-интересната част е - как и къде се пази ключа.

**p-pleven** · 23-02-18, 10:39

От: Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

Една добра подсказка ТУК

**p-pleven** · 24-02-18, 20:47

От: Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

Малко уп:

Понеже при нас се въртят едни и същи хора, с малко текучество...
Та мисля да препиша данните им в един mySQL с aes256 криптиране.
Ключа ще го сложа на една флашка и ще я вържа със свинска опашка за стенд алон компютрчето, което ще пази всичко.

**Ilia801** · 24-02-18, 21:00

От: Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

Хубаво ще ги криптираш, ма не отговаряш на няколко важни въпроса. На първо място е ЗАЩО ти се налага да ги пазиш данните и колко време ти се налага да ги пазиш. Това трябва да е обосновано

След това трябва данните да се анонимизират или изтрият. Щльокавицата не е анонимизация, да добавя за протокола. Отделно, трябва да осигуриш канал за достъп, т.е аз да мога да питам има ли ме в твоята база, след това да поискам изтриване (право на забравяне) и най-тъпото в цялата история е т.нар. data portability. Демек, мога да поискам да ми експортнеш всичките лични данни, за да ги пренеса другъде. Плюс че трябва да можеш в рамките на 3 работни дни след изтичане на информация да можеш писменно да уведомиш всички в базата ти, че данните им са изтекли и трябва да земат мерки. И този канал трябва да го имаш вече изграден, иначе не важи ...

Въобще, кашата е тотал! Като се намесят и правата за достъп извън ЕС и става още по-зле. Глоби според мен няма да има едно известно време след като "мандалото лопне", просто защото и самия ЕС не знае какво да прави. Отделно, че някои неща са толкова обтекаеми, че тепърва ще трябва да излизат тълкувателни решение за това как да се прилага директивата.

**p-pleven** · 25-02-18, 12:22

От: Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

Много важни уточнения.
Както преди споменах, наблягам на чисто техническия фундамент, който тотално не изключва административните функции.

На 15.03.2018 са ме "уредили" на някакъв семинар и си набелязах няколко питания от тази тема.
Ако някой друг нещо иска да питам, да пише, като после ще пусна отзив.

Обява

Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

Относно GDPR - трябва да се скалъпи нещо. Как си представяте нещата в частта IT

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Активност за темата