GoldenLine
Zaloguj się

konto usunięte

Temat: Autor oprogramowanie on-line & restrykcje GIODO

Witam serdecznie,

Chciałbym poruszyć jedną kwestię – SSL & Giodo.
Przykład: Firma świadczy usługi z zakresu szeroko rozumianego programowania (PHP, bazy danych MySQL). Firma stworzyła własne oprogramowania, np. system do zarządzania sklepami internetowymi oraz system mailingowy. Oprogramowania nie są sprzedawane na zasadzie licencji („pudełek”) a na zasadzie dzierżawy aplikacji (dostęp wyłącznie z poziomu www).

Pytania:
1. Czy instalacja SSL jest przez GIODO wymagana i obowiązkowa? A jeżeli tak to:
1a. Po czyjej stronie leży obowiązek instalacji (czyt. opłacenia) SSL jeżeli chodzi o panel administratora sklepu (miejsce, w którym przechowywane są zamówienia, a więc również dane wszystkich klientów sklepu)?
2b. Po czyjej stronie leży obowiązek instalacji (czyt. Opłacenia) SSL jeżeli chodzi o Sklep internetowy? Czyli miejsce w którym właściciel sklepu sprzedaje swoje produkty. O ile oczywiście taki obowiązek istnieje.

Z góry dziękuję za pomoc.
Link do wypowiedziLink
Radek Rzążewski

Radek Rzążewski Właściciel, ARCHE

Temat: Autor oprogramowanie on-line & restrykcje GIODO

Nie wiem czy GIODO wymaga SSLów, jednak ja bym na w Twoim przypadku go zainstalował z jednej prostej przyczyny: podnosi bezpieczeństwo (a to jest jak najbardziej wskazane w zabezpieczaniu systemów).

Co do opłat to jeśli tylko Ty byś korzystał z certyfikatu to sam go opłacasz.

Jeśli firma kupuje od Ciebie soft, który nie posiada certu to powinna go zakupić (a Ty powinieneś oferować to jeszcze przed sprzedażą) albo opłacasz za niego i podnosisz opłatę abonamentową?

Generalnie jeśli ja kupię od Ciebie soft, który nie ma ssla to już mój problem bo świadomie (spośród wielu innych produktów) wybrałem Twój z rynku i wiedziałem,że nie ma tam SSLa.
Twoim obowiązkiem jest informowanie,że jeśli klient sobie dokupi SSL (a Ty np za darmo mu go wdrożysz w jego zakupiony soft) to klient będzie lepiej wyglądał w oczach ew. kontroli z GIODO :>
Link do wypowiedziLink

konto usunięte

Temat: Autor oprogramowanie on-line & restrykcje GIODO

Jasne, znam doskonale atuty SSL i ze wszystkim co zostało przez Ciebie przedstawione zgadzam się.

Tyle że... SSL dla każdego klienta to są koszta, koszta które trzeba poczynić. Poczynić corocznie. To wpływa na cenę abonamentu. A podwyższenie ceny gryzie się z naszą już przygotowaną dość agresywną kampanią promocyjną - cenową. SSL 10zł niestety nie kosztuje. :)
Wyprzedzam ew. propozycję: SSL willcardowy ( ze względu na wiele czynników logistyczno - technicznych niestety też odpada).
Link do wypowiedziLink

konto usunięte

Temat: Autor oprogramowanie on-line & restrykcje GIODO

Łukasz Strzelec:
Oprogramowania nie są sprzedawane na zasadzie licencji („pudełek”) a na zasadzie dzierżawy aplikacji (dostęp wyłącznie z poziomu www).

Wygląda to na świadczenie usługi drogą elektroniczną.

Art. 7 Ustawy o świadczeniu usług drogą elektroniczną
Usługodawca zapewnia działanie systemu teleinformatycznego, którym się posługuje, umożliwiając nieodpłatnie usługobiorcy:
1) w razie, gdy wymaga tego właściwość usługi:
a) korzystanie przez usługobiorcę z usługi świadczonej drogą elektroniczną, w sposób uniemożliwiający dostęp osób nieuprawnionych do treści przekazu składającego się na tę usługę, w szczególności przy wykorzystaniu technik kryptograficznych odpowiednich dla właściwości świadczonej usługi,Wojciech Kogut edytował(a) ten post dnia 23.04.10 o godzinie 10:15
Link do wypowiedziLink

konto usunięte

Temat: Autor oprogramowanie on-line & restrykcje GIODO

Wojciech Kogut:
Łukasz Strzelec:
Oprogramowania nie są sprzedawane na zasadzie licencji („pudełek”) a na zasadzie dzierżawy aplikacji (dostęp wyłącznie z poziomu www).

Wygląda to na świadczenie usługi drogą elektroniczną.

Art. 7 Ustawy o świadczeniu usług drogą elektroniczną
Usługodawca zapewnia działanie systemu teleinformatycznego, którym się posługuje, umożliwiając nieodpłatnie usługobiorcy:
1) w razie, gdy wymaga tego właściwość usługi:
a) korzystanie przez usługobiorcę z usługi świadczonej drogą elektroniczną, w sposób uniemożliwiający dostęp osób nieuprawnionych do treści przekazu składającego się na tę usługę, w szczególności przy wykorzystaniu technik kryptograficznych odpowiednich dla właściwości świadczonej usługi,

Jasne, ale nie ma tu ani słowa o SSL. Albo o tym co "wchodzi w skład" uniemożliwiający dostęp osobom niepowołanym.
Jednym ze sposobów jest przecież dostęp do panelu administracyjnego przez indywidualny login oraz długie i zróżnicowane hasło.

Dziękuję Panowie za podjęty dialog i czekam na dalszy rozwój wątku... :)
Sam oddelegowując się w dalszej, nieustannej próbie dodzwonienia się do GIODO.Łukasz Strzelec edytował(a) ten post dnia 23.04.10 o godzinie 10:48
Link do wypowiedziLink

konto usunięte

Temat: Autor oprogramowanie on-line & restrykcje GIODO

Nie ma słowa o SSL, bo ustaw się nie pisze (przynajmniej nie powinno) pod konkretne rozwiązania technologiczne. Jest dokładnie tak, jak napisał Wojtek - to jest świadczenie usług drogą elektroniczną, więc stosuje się przytoczony przez Wojtka przepis. I sam musisz ocenić, na ile sensytywne masz dane i na ile są one zagrożone. Ustawa o ochronie danych osobowych Ci nie pomoże - w rozporządzeniu masz tylko nakaz szyfrowania danych używanych do uwierzytelnienia na wysokim poziomie zabezpieczeń. Ani słowa o szyfrowaniu danych - a takie rozwiązania się stosuje na codzie i wyprowadza się je z ogólnego przepisu art. 36 uodo. Zastanów się więc, co masz w tym swoim systemie (jakie kategorie danych), na ile są one wrażliwe i podejmij decyzję. Nikt Ci nie nakaże stosowania SSL, ani też nie zakaże tego robić.
Link do wypowiedziLink

konto usunięte

Temat: Autor oprogramowanie on-line & restrykcje GIODO

Dziękuje za odpowiedz.
Nikt mi nie napisze?

No ok ale nie ma w żadnej ustawie wymogów??
Czy aby na pewno?
Kto zatem decyduje co jest zabezpieczne a co nie? (jak pisałem w systemie będą przetrzymywane np. dane osobowe, adresowe klientów).

Przecież ja mogę zdecydować, że dla mnie jazda bez pasów jest bezpieczna ale co z tego skoro przepisy nakazują je zapinać?

....
Link do wypowiedziLink

konto usunięte

Temat: Autor oprogramowanie on-line & restrykcje GIODO

Może warto zrobić taką analizę - jakie są lub mogą być potencjalne zagrożenia dla danych osobowych przetwarzanych za pomocą aplikacji i na podstawie tego ustalić adekwatne zabezpieczenia. Coś takiego wynika właśnie z art. 36 uodo, o którym wspominał Paweł.

Treść art. 36:
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem
Link do wypowiedziLink

konto usunięte

Temat: Autor oprogramowanie on-line & restrykcje GIODO

Łukasz Strzelec:

No ok ale nie ma w żadnej ustawie wymogów??
Czy aby na pewno?
Kto zatem decyduje co jest zabezpieczne a co nie? (jak pisałem w systemie będą przetrzymywane np. dane osobowe, adresowe klientów).

Przecież ja mogę zdecydować, że dla mnie jazda bez pasów jest bezpieczna ale co z tego skoro przepisy nakazują je zapinać?

Był już jeden taki, co tak zdecydował, ale niestety przegrał w sądzie, łącznie z TK ;-)
A poważnie, to Ty i tylko Ty decydujesz. Przeczytaj ustawę o ochronie danych osobowych, rozporządzenie w spr. zabezpieczenia danych i ustawę o świadczeniu usług drogą elektroniczną. To, co masz tam na sztywno spisane, stosujesz - np. długość haseł. To, co masz w formie bardziej ogólnych klauzul - zastanawiasz się, dobierasz (Ty sam) odpowiednie środki zabezpieczenia i stosujesz.
Link do wypowiedziLink
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: Autor oprogramowanie on-line & restrykcje GIODO

Witam,
Dorzuciłbym tu jeszcze jeden wątek, dzierżawcy oprogramowania sklepu będą ADO, w związku z czym klient (dzierżawca) powinien podpisując umowę z usługodawcą zawrzeć umowę na przetwarzanie danych art. 31. UODO.
Co obliguję usługodawcę do spełnienie wymogów stawy w zakresie art. 36-39 i 39a.
Więc dla własnego bezpieczeństwa usługodawca powinien zapewnić odpowiednie środki ochrony.
Jak wspomnieli przedmówcy w ustawie i rozporządzeniu nie ma słowa o SSL’u. Natomiast z punktu widzenia usługodawcy, zastosowałbym ten środek. Oddzielną sprawą są koszty certyfikatów. I tu w wersji ekonomicznej przekierowałbym do wspólnej domeny (klienci nie płacą za certyfikat a). W wersji premium - dedykowane strony z własnym certyfikatem podpisanym przez jednego ze szczęśliwców którzy są na górze piramidy. W tym momencie zaczynamy wchodzić w marketing i pozycjonowanie klientów ze względu na wymogi prawne.

Pozdr.
Adam
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

GIODO i oprogramowanie do d...




Wyślij zaproszenie do
Anuluj