Temat: Sklep internetowy jako aplikacja działająca w chmurze

Witajcie,

Ciekawa jestem Waszego zdania na temat chmury, a konkretniej korzystania z aplikacji przeglądarkowej (model SaaS) w takim układzie, że provider oferuje aplikację i całe środowisko IT, a wy tylko płacicie abonament.

Ostatnio klient pokazał mi kilka stron providerów i niestety nie napawały one optymizmem jeżeli chodzi o spełnianie podstawowych obowiązków, które nakładane są na właścicieli e-sklepów (zwłaszcza w kontekście ochrony danych osobowych).

Ciekawa jestem Waszych doświadczeń czy też waszych wątpliwości w tym temacie.

Pozdrawiam,
Beata

Temat: Sklep internetowy jako aplikacja działająca w chmurze

Beata Marek:
Ostatnio klient pokazał mi kilka stron providerów i niestety nie napawały one optymizmem jeżeli chodzi o spełnianie podstawowych obowiązków, które nakładane są na właścicieli e-sklepów (zwłaszcza w kontekście ochrony danych osobowych).

Przybliż pojęcie "spełnienie podstawowych obowiązków"
co autor ma na mysli ?

Temat: Sklep internetowy jako aplikacja działająca w chmurze

Witaj Tomku,

Przy okazji odpowiedzi podam dwa przykłady.

1 sprawa: Problem dotyczył umowy powierzania przetwarzania danych osobowych i współpracy w tym zakresie. Mianowicie umowa ta wykluczała jakąkolwiek kontrolę po stronie Administratora Danych (niedopuszczalne)

Inny przykład (trochę starszy bo sprzed dwóch miesięcy i dość marginalny) dotyczył dostawcy, który sam dzierżawił infrastrukturę IT i udostępniał aplikację w chmurze (usługę wirtualnego chata). Co ciekawe próbował wmówić klientowi, że nie ma on obowiązku podpisywać z nim umowy powierzania bo uwaga ! on ma zarejestrowany zbiór danych osobowych u GIODO. Tym samym dostawca pokazał jakie ma podejście do danych swojego klienta (to on będzie Administratorem Danych, a nie jego klient i zrobi z tymi danymi co chce). Warto dodać, że w przypadku jw. koniecznym byłoby zawarcie przez dostawcę z podmiotem, u którego dzierżawi infrastrukturę IT umowy podpowierzania oraz oczywiście należałoby to uwzględnić odpowiednio w umowie powierzania (o czym przedsiębiorcy nie wiedzą i źle zawierają umowy).

Poprzez pryzmat tych dwóch przykładów widać wyraźnie, że na przedsiębiorcy jako na Administratorze Danych przy przejściu do chmury ciążą określone obowiązki. Jako te związane z ochroną danych osobowych to m.in.:
- obowiązek zawarcia umowy powierzania (oraz odpowiednio dokonania zmiany w zgłoszeniu rejestracyjnym albo jeżeli przedsiębiorca dopiero będzie przetwarzał dane osobowe w określonym zbiorze to dokonanie rejestracji);
- obowiązek zawarcia umowy powierzania, które przewiduje jego kontrolę;
- obowiązek odpowiedniego podejścia w przypadku podmiotów mających siedzibę poza Europejskim Obszarem Gospodarczym (które nie posiadają stosownych certyfikatów)

Więcej o problemach z chmurkami pisałam tutaj http://www.cyberlaw.pl/category/biznes-w-chmurze/

A moje pytanie skierowałam do Was bo ciekawa jestem Waszych doświadczeń z dostawcami oraz tego czy w ogóle interesujecie się korzystaniem z aplikacji działających w chmurze, na których można postawić e-sklep albo obsługiwać określone funkcje.Beata Marek edytował(a) ten post dnia 11.12.12 o godzinie 21:05

Temat: Sklep internetowy jako aplikacja działająca w chmurze

Beata Marek:
Witaj Tomku,

Przy okazji odpowiedzi podam dwa przykłady.

1 sprawa: Problem dotyczył umowy powierzania przetwarzania danych osobowych i współpracy w tym zakresie. Mianowicie umowa ta wykluczała jakąkolwiek kontrolę po stronie Administratora Danych (niedopuszczalne)

Inny przykład (trochę starszy bo sprzed dwóch miesięcy i dość marginalny) dotyczył dostawcy, który sam dzierżawił infrastrukturę IT i udostępniał aplikację w chmurze (usługę wirtualnego chata). Co ciekawe próbował wmówić klientowi, że nie ma on obowiązku podpisywać z nim umowy powierzania bo uwaga ! on ma zarejestrowany zbiór danych osobowych u GIODO. Tym samym dostawca pokazał jakie ma podejście do danych swojego klienta (to on będzie Administratorem Danych, a nie jego klient i zrobi z tymi danymi co chce). Warto dodać, że w przypadku jw. koniecznym byłoby zawarcie przez dostawcę z podmiotem, u którego dzierżawi infrastrukturę IT umowy podpowierzania oraz oczywiście należałoby to uwzględnić odpowiednio w umowie powierzania (o czym przedsiębiorcy nie wiedzą i źle zawierają umowy).

Próbuje się w to wczytać i nie rozumiem, kto jest kto, czy klientem jest ktoś z ulicy czy firma ktora dzierżawi system, tak samo nie rozumiem jak chat może zbierać dane osobowe ?

Temat: Sklep internetowy jako aplikacja działająca w chmurze

Witaj Dariuszu :),

Pisałam o swoim kliencie stąd użyłam takiego określenia. Oczywiście występował on w roli usługobiorcy czyli był zainteresowany kupnem i wdrożeniem usługi chata w swoim sklepie internetowym - to bardzo dobre narzędzie nie tylko marketingowe, ale i supportowe z tym, że trzeba je odpowiednio wdrożyć.

A w jaki sposób usługa chata może zbierać dane osobowe ? Już na pierwszym etapie gdzie należy podać imię, nazwisko, adres e-mail by móc porozmawiać z konsultantem. Kiedy chat jest offline także należy podać te informacje (podstawowe).

Pozdrawiam,
Beata

Temat: Sklep internetowy jako aplikacja działająca w chmurze

Beata Marek:
Witajcie,

Ciekawa jestem Waszego zdania na temat chmury, a konkretniej korzystania z aplikacji przeglądarkowej (model SaaS) w takim układzie, że provider oferuje aplikację i całe środowisko IT, a wy tylko płacicie abonament.

Ostatnio klient pokazał mi kilka stron providerów i niestety nie napawały one optymizmem jeżeli chodzi o spełnianie podstawowych obowiązków, które nakładane są na właścicieli e-sklepów (zwłaszcza w kontekście ochrony danych osobowych).

Ciekawa jestem Waszych doświadczeń czy też waszych wątpliwości w tym temacie.

Pozdrawiam,
Beata

Jeżeli chodzi pełną ochronę danych osobowych to musiałabyś mieć sklep na własnych serwerach (nie mylić z wynajętymi). Czy o taką ochronę Ci chodzi?

Temat: Sklep internetowy jako aplikacja działająca w chmurze

Witaj Sylwku,

Chodzi mi głównie o ochronę prawną. Większość przedsiębiorców rozpoczyna działalność właśnie od "dzierżawy" powierzchni serwerowej i nie ma w tym nic złego o ile jakość providera zostanie sprawdzona oraz będzie pamiętało się o podpisaniu umowy powierzania oraz późniejszym nadzorze providera.

Mi chodzi przede wszystkim o takie sytuacje gdzie przedsiębiorców kuszą gotowe aplikacje e-sklepów, które są w tzw. chmurze publicznej (model SaaS). Innymi słowy osoba A wykupuje dostęp do panelu admina, z którym łączy się za pomocą własnej przeglądarki internetowej. Osoba A nie ma dostępu do serwera, na którym dane są gromadzone. W tym przypadku kontrola providera jest bardzo ograniczona i powinien zostać przeprowadzony audyt przed zawarciem umowy o świadczenie usługi - usługodawca powinien m.in. wykazać się referencjami, stażem na rynku itp. Dodatkowo oprócz umowy powierzania powinna zostać też zawarta umowa SLA (dotycząca jakości usługi). To wg. mnie absolutne minimum podobnie jak możliwość renegocjacji warunków umowy, które usługodawca powinien przewidywać.

Pozdrawiam,
Beata

Temat: Sklep internetowy jako aplikacja działająca w chmurze

Beata Marek:
Witaj Sylwku,

Chodzi mi głównie o ochronę prawną. Większość przedsiębiorców rozpoczyna działalność właśnie od "dzierżawy" powierzchni serwerowej i nie ma w tym nic złego o ile jakość providera zostanie sprawdzona oraz będzie pamiętało się o podpisaniu umowy powierzania oraz późniejszym nadzorze providera.

Mi chodzi przede wszystkim o takie sytuacje gdzie przedsiębiorców kuszą gotowe aplikacje e-sklepów, które są w tzw. chmurze publicznej (model SaaS). Innymi słowy osoba A wykupuje dostęp do panelu admina, z którym łączy się za pomocą własnej przeglądarki internetowej. Osoba A nie ma dostępu do serwera, na którym dane są gromadzone. W tym przypadku kontrola providera jest bardzo ograniczona i powinien zostać przeprowadzony audyt przed zawarciem umowy o świadczenie usługi - usługodawca powinien m.in. wykazać się referencjami, stażem na rynku itp. Dodatkowo oprócz umowy powierzania powinna zostać też zawarta umowa SLA (dotycząca jakości usługi). To wg. mnie absolutne minimum podobnie jak możliwość renegocjacji warunków umowy, które usługodawca powinien przewidywać.

Oj, Beata a gdzie tu miejsce na wolny rynek ?! Farmazony pleciesz i tyle, no ale przecież w "CV" widać że urzędnik wiec w sumie to nie ma się co dziwić.

Temat: Sklep internetowy jako aplikacja działająca w chmurze

Beata Marek:
Witaj Sylwku,

Chodzi mi głównie o ochronę prawną. Większość przedsiębiorców rozpoczyna działalność właśnie od "dzierżawy" powierzchni serwerowej i nie ma w tym nic złego o ile jakość providera zostanie sprawdzona oraz będzie pamiętało się o podpisaniu umowy powierzania oraz późniejszym nadzorze providera.

Mi chodzi przede wszystkim o takie sytuacje gdzie przedsiębiorców kuszą gotowe aplikacje e-sklepów, które są w tzw. chmurze publicznej (model SaaS). Innymi słowy osoba A wykupuje dostęp do panelu admina, z którym łączy się za pomocą własnej przeglądarki internetowej. Osoba A nie ma dostępu do serwera, na którym dane są gromadzone.

Mam dostep do ftp - a co ma do tego dostep do serwera ?

"tzw. chmurze publicznej (serwer współdzielony), prywatnej (serwer dedykowany) czy hybrydowej (część danych na serwerze współdzielonym, a część na serwerze dedykowanym), oszacowanie własnego ryzyka oraz dostosowanie rozwiązania do planu ciągłości działania."

a dedykowany, wspóldzielony ... to ajk wielkie jest moje ryzyko ?
a jak bede miał dla siebie dedyka w modelu SAAS, to wtedy bedzie lepiej ?

W tym przypadku kontrola providera jest bardzo ograniczona i powinien zostać przeprowadzony audyt przed zawarciem umowy o świadczenie usługi - usługodawca powinien m.in. wykazać się referencjami, stażem na rynku itp. Dodatkowo oprócz umowy powierzania powinna zostać też zawarta umowa SLA (dotycząca jakości usługi). To wg. mnie absolutne minimum podobnie jak możliwość renegocjacji warunków umowy, które usługodawca powinien przewidywać.

Pozdrawiam,
Beata

Staram sie wczytać i naprawdę nie rozumiem o co chodzi.
a jak nie jest wiadomo o co chodzi, to ...
no własnie, co chcesz sprzedać i czy bedziesz oferowac gratis ładny znaczek ?

Temat: Sklep internetowy jako aplikacja działająca w chmurze

Tomaszu i Dariuszu czy prowadzicie e-sklep ?

Temat: Sklep internetowy jako aplikacja działająca w chmurze

Beata Marek:
Tomaszu i Dariuszu czy prowadzicie e-sklep ?

Ja nie prowadzę sklepu, natomiast moi klienci tak prowadzą sklepy.

Temat: Sklep internetowy jako aplikacja działająca w chmurze

Dariuszu,

Zajrzałam na Twój profil, a stamtąd na stronę Twojej firmy. Wbrew Twojemu twierdzeniu nie jestem urzędnikiem, a do moich klientów należą także przedsiębiorcy prowadzący e-sklep (choć nie jest to grupa wiodąca to mam do nich słabość :D). Jako, że mają oni problemy z chmurami ciekawa byłam z jakimi problemami wy się spotykacie. Mój wątek został skierowany do wszystkich, którzy mają styczność z prowadzeniem e-sklepu w chmurze lub przymierzają się do tego modelu biznesowego. To tak w kwestii wyjaśnienia dla Tomka :).

Powracając do oferty Twojej firmy. Spojrzałam tylko na 2sklep i nie jest to aplikacja chmurowa - a ja w tym wątku do takich się odwołuje (zwłaszcza do modelu SaaS czyli aplikacji przeglądarkowych/webowych).

Twoja firma udziela licencji na korzystanie z programu, który jest instalowany na serwerze klienta. Inny przykład oprogramowania, ale typu open source to choćby popularny i dobry Gekosale. W tej sytuacji przedsiębiorcę, który instaluje program na serwerze, interesuje zawarcie umowy powierzania danych osobowych z usługodawcą infrastruktury - serwera - oraz sporządzanie polityki bezpieczeństwa, instrukcji zarządzania systemem, prawidłowe zabezpieczenie swojego sprzętu i zakup certyfikatu SSL/TLS i zgłoszenie zbiorów.

Z Tobą łączy go zaś umowa licencyjna. Jeżeli Twoja firma oferowałaby dostęp do programu, na Twoich serwerach albo przez Ciebie dzierżawionych to dopiero byłaby to sytuacja, o którą mi chodzi w tym wątku - nie udzielałbyś wtedy licencji tylko świadczył usługę. I zapewniam Cię, że kwestii dotyczących umów nie nazwałbyś wtedy farmazonami bo po prostu byś je wdrożył :).

Na przedsiębiorcach prowadzących e-sklep spoczywa odpowiedzialność m.in. za prawidłowe przetwarzanie danych osobowych stąd ten wątek ma służyć poszerzaniu wiedzy w temacie prowadzenia e-sklepu w chmurze. Wątek jest też skierowany do dostawców (także firm, które rozważają świadczenie) usług chmurowych i problemów z jakimi się spotykają (lub których się obawiają).

Pozdrawiam,
Beata

Temat: Sklep internetowy jako aplikacja działająca w chmurze

Beata Marek:
Dariuszu,

Zajrzałam na Twój profil, a stamtąd na stronę Twojej firmy. Wbrew Twojemu twierdzeniu nie jestem urzędnikiem, a do moich klientów należą także przedsiębiorcy prowadzący e-sklep (choć nie jest to grupa wiodąca to mam do nich słabość :D). Jako, że mają oni problemy z chmurami ciekawa byłam z jakimi problemami wy się spotykacie. Mój wątek został skierowany do wszystkich, którzy mają styczność z prowadzeniem e-sklepu w chmurze lub przymierzają się do tego modelu biznesowego. To tak w kwestii wyjaśnienia dla Tomka :).

Powracając do oferty Twojej firmy. Spojrzałam tylko na 2sklep i nie jest to aplikacja chmurowa - a ja w tym wątku do takich się odwołuje (zwłaszcza do modelu SaaS czyli aplikacji przeglądarkowych/webowych).

Twoja firma udziela licencji na korzystanie z programu, który jest instalowany na serwerze klienta. Inny przykład oprogramowania, ale typu open source to choćby popularny i dobry Gekosale. W tej sytuacji przedsiębiorcę, który instaluje program na serwerze, interesuje zawarcie umowy powierzania danych osobowych z usługodawcą infrastruktury - serwera - oraz sporządzanie polityki bezpieczeństwa, instrukcji zarządzania systemem, prawidłowe zabezpieczenie swojego sprzętu i zakup certyfikatu SSL/TLS i zgłoszenie zbiorów.

Rejestrowałem zbiór i doszedłem do innych wniosków niż ty.

Z Tobą łączy go zaś umowa licencyjna. Jeżeli Twoja firma oferowałaby dostęp do programu, na Twoich serwerach albo przez Ciebie dzierżawionych to dopiero byłaby to sytuacja, o którą mi chodzi w tym wątku - nie udzielałbyś wtedy licencji tylko świadczył usługę. I zapewniam Cię, że kwestii dotyczących umów nie nazwałbyś wtedy farmazonami bo po prostu byś je wdrożył :).

Na przedsiębiorcach prowadzących e-sklep spoczywa odpowiedzialność m.in. za prawidłowe przetwarzanie danych osobowych stąd ten wątek ma służyć poszerzaniu wiedzy w temacie prowadzenia e-sklepu w chmurze. Wątek jest też skierowany do dostawców (także firm, które rozważają świadczenie) usług chmurowych i problemów z jakimi się spotykają (lub których się obawiają).

Czyli kolega Tomek miał rację jak nie wiadomo o co chodzi to chodzi o kasę :).

Temat: Sklep internetowy jako aplikacja działająca w chmurze

Dariusz Żukowski:

Beata Marek:
Dariuszu,

Zajrzałam na Twój profil, a stamtąd na stronę Twojej firmy. Wbrew Twojemu twierdzeniu nie jestem urzędnikiem, a do moich klientów należą także przedsiębiorcy prowadzący e-sklep (choć nie jest to grupa wiodąca to mam do nich słabość :D). Jako, że mają oni problemy z chmurami ciekawa byłam z jakimi problemami wy się spotykacie. Mój wątek został skierowany do wszystkich, którzy mają styczność z prowadzeniem e-sklepu w chmurze lub przymierzają się do tego modelu biznesowego. To tak w kwestii wyjaśnienia dla Tomka :).

Powracając do oferty Twojej firmy. Spojrzałam tylko na 2sklep i nie jest to aplikacja chmurowa - a ja w tym wątku do takich się odwołuje (zwłaszcza do modelu SaaS czyli aplikacji przeglądarkowych/webowych).

Twoja firma udziela licencji na korzystanie z programu, który jest instalowany na serwerze klienta. Inny przykład oprogramowania, ale typu open source to choćby popularny i dobry Gekosale. W tej sytuacji przedsiębiorcę, który instaluje program na serwerze, interesuje zawarcie umowy powierzania danych osobowych z usługodawcą infrastruktury - serwera - oraz sporządzanie polityki bezpieczeństwa, instrukcji zarządzania systemem, prawidłowe zabezpieczenie swojego sprzętu i zakup certyfikatu SSL/TLS i zgłoszenie zbiorów.

Rejestrowałem zbiór i doszedłem do innych wniosków niż ty.

Absolutnym obowiązkiem związanym z ochroną danych osobowych (wynika to z przepisów ustawy) dla każdego e-sklepu jest:

Indywidualnie opracowana i wdrożona Polityka Bezpieczeństwa
Indywidualnie opracowana i wdrożona Instrukcja Zarządzania Systemem Informatycznym
Poprawnie opracowana i zawarta uowa powierzania zawarta z dostawcą infrastruktury (będzie to albo tradycyjny hosting albo np. umowa powierzania zawarta z dostawcą aplikacji przeglądarkowej - równie dobrze usługodawca hostingu może oferować gotowe szablony e-sklepu albo różne silniki e-sklepów co jest powszechną praktyką.).

Dane osobowe przesyłane za pośrednictwem formularzy powinny być zabezpieczone kluczem kryptograficznym (np. 256bitowy SSL). Każdy e-sklep powinien posiadać SSL/TLS ponieważ jest to standard zabezpieczania transakcji. Ponadto już na poziomie Instrukcji Zarządzania Systemem Informatycznym powinna znaleźć się adnotacja o szyfrowanej transmisji danych. To jest standard . Brak SSL/TLS prowadzi do jednoznacznego twierdzenia - przedsiębiorca nieprawidłowo zabezpiecza dane osobowe.

Zatem do jakich innych wniosków doszedłeś? Mam nadzieję, że nie jesteś jedną z tych osób, które piszą we wniosku zgłaszającym zbiór, że mają wdrożoną Politykę Bezpieczeństwa i Instrukcję, a w rzeczywistości jej w ogóle nie posiadają. W przypadku kontroli GIODO takie osoby mają poważny problem.

Z Tobą łączy go zaś umowa licencyjna. Jeżeli Twoja firma oferowałaby dostęp do programu, na Twoich serwerach albo przez Ciebie dzierżawionych to dopiero byłaby to sytuacja, o którą mi chodzi w tym wątku - nie udzielałbyś wtedy licencji tylko świadczył usługę. I zapewniam Cię, że kwestii dotyczących umów nie nazwałbyś wtedy farmazonami bo po prostu byś je wdrożył :).

Na przedsiębiorcach prowadzących e-sklep spoczywa odpowiedzialność m.in. za prawidłowe przetwarzanie danych osobowych stąd ten wątek ma służyć poszerzaniu wiedzy w temacie prowadzenia e-sklepu w chmurze. Wątek jest też skierowany do dostawców (także firm, które rozważają świadczenie) usług chmurowych i problemów z jakimi się spotykają (lub których się obawiają).

Czyli kolega Tomek miał rację jak nie wiadomo o co chodzi to chodzi o kasę :).

Dla mnie liczy się edukacja użytkowników Internetu i przedsiębiorców prowadzących biznes w sieci. Udzielam się na forum po to, aby wyczulić/ zwrócić uwagę na problem/ promować jakość, a zarazem zwrócić uwagę na możliwość uczynienia z tej jakości atutu jaką jest konkurencyjność, którą doceniają kontrahenci (w przypadku e-sklepów najczęściej będą to konsumenci).

Bardzo dobrze, że wypowiedzieliście się razem z Tomkiem bo być może jaśniejsze stały się pewne kwestie, ale za bezcelowe uważam Twoje dziwne wypowiedzi kierowane w kierunku mojej osoby.

Co w tym złego, że powstał ten wątek? Przynajmniej może jakiś przedsiębiorca zwróci uwagę, że decydując się na rozwiązanie e-sklepu działającego w chmurze musi bacznie przyjrzeć się swojemu dostawcy infrastruktury i odpowiednio się zabezpieczyć tak by:
- nie przetwarzać niezgodnie z prawem danych osobowych;
- dbać o bezpieczeństwo swoich klientów co stanowi atut w e-biznesie;
- zabezpieczyć się umowami z dostawcą tak, aby nie ponieść strat;

Pozdrawiam,
Beata