[inne][PHP]Szyfrowanie, "baza danych" w pliku tesktowym, GIODO Opcje

[uglukha]

Cześć wszystkim,
mam pytanie, a w zasadzie 2. Od kilku dobrych lat używam do mailingu baaaardzo prostego skryptu PHP napisanego wieki temu. Baza maili jest w zwyczajnym pliku tekstowym na zasadzie:

Kod

email1@email.pl(*)(*)Jan Kowalski(*)(*)47{{{{email2@email.pl(*)(*)Janusz(*)(*)1233{{{{ itd.

Pytanie 1
Jest to zbiór danych osobowych, więc muszę go zarejestrować w GIODO. Czy może być w takiej postaci, czy nie spełnia to wymogów technicznych jakiś?

Pytanie 2
Jeśli nie spełnia, to w jaki sposób to zaszyfrować przy użyciu PHP? Tak żeby było w miarę bezpiecznie, i żeby oczywiście można było to deszyfrować do wysyłania maili.

Z góry dzięki za odpowiedzi.

[trueblue]

W GIODO nie rejestrujesz fizycznego zbioru danych, rejestrujesz fakt posiadania i przetwarzania zbioru.

[uglukha]

Czyli nic nie muszę zmieniać?

Po prostu zarejestrować i już?

[trueblue]

Format zbioru danych nie ma znaczenia. Znaczenie ma zakres przechowywanych w nim danych osobowych.

[leonpro778]

Znaczenie ma również "sposób przechowywania" tych danych. Przykładowo, jeżeli to będzie przechowywane na komputerze to musi być to komputer zabezpieczony hasłem dostępu (zmienianym co 30 dni). Jeżeli jest to komputer z dostępem do internetu to zabezpieczenie uwierzytelnianiem powinno być DWUETAPOWE.

W praktyce wygląda to tak, że do bazy danych jest hasło i do samego komputera potrzeba innego hasła.

[Pyton_000]

@leonpro778 podstawa prawna?

[leonpro778]

Ustawa o ochronie danych osobowych. Rozdział 5 art. 36 - 39

[Pyton_000]

No to przykro mi ale tam nie ma podstawy do sposobu zabezpieczenia o którym wspomniałeś.

[leonpro778]

Ale są podstawy do OBOWIĄZKU zabezpieczenia przechowywanych danych w sposób uniemożliwiający dostęp dla osób trzecich. Proponuję przeczytać:

https://edugiodo.giodo.gov.pl/pluginfile.ph...1/INF_R05.html#



P.s. Sam jestem ABI i wierzcie na słowo, musiałem przez to przejść

[Pyton_000]

Tu się zgodzę, że zbiory danych powinny być zabezpieczone przed nieautoryzowanym dostępem, ale nigdzie nie ma mowy o wymaganiach co do zabezpieczenia.

[leonpro778]

No właśnie, nie pamiętam tej ustawy, która nakłada sposób w jaki zabezpieczone mają być komputery a nie chce mi się teraz w pracy przerzucać papierów. W każdym bądź razie są na to jakieś paragrafy

[Pyton_000]

No to byłoby miło żebyś znalazł podstawę prawną bo z tego co ja się przekopałem to nigdzie nie znalazłem wytycznych odnośnie zabezpieczeń.

[leonpro778]

Aj aj aj aj...

Proszę: http://isap.sejm.gov.pl/DetailsServlet?id=WDU20041001024

[Pyton_000]

Super. Tyle że jest to kontrola dostępu do systemu teleinformatycznego służącego do przetwarzania danych osobowych np. panel administracyjny sklepu itd. No chyba że ja źle czytam ...

Ale dzięki za ustawę. Na pewno się kiedyś komuś przyda

Ten post edytował Pyton_000 19.07.2017, 14:46:13

[uglukha]

Dzięki wszystkim za odpowiedzi!

Czytałem te wszystkie dokumenty. Nie ma tam nic o konkretnych zabezpieczeniach, ale to co z tego wywnioskowałem to w moim przypadku wystarczy:
- SSL (szyfrowanie logowania do panelu gdzie można zobaczyć dane ludzi z listy mailingowej oraz formularza zapisu na newsletter)
- hasło, tak jak tam było gdzieś opisane - minimum 8 znaków, znaki specjalne, co 30 dni zmiana
- zapisywanie daty wprowadzenia danych konkretnej osoby, i ewentualnej edycji
- dodatkowo w .htaccess dałem

[PHP] pobierz, plaintext 
deny from all
[PHP] pobierz, plaintext 

dla katalogu z tą "bazą danych" w txt, żeby nikt nie mógł podejrzeć pliku, nawet znając bezpośrednią ścieżkę (co jest raczej niemożliwe i tak)

i tyle. Co sądzicie? Można coś takiego rejestrować w GIODO?

Ten post edytował uglukha 20.07.2017, 13:11:48