Społecznościowe Forum Podstawowy Problem Świadczeniodawcy

Rozliczenia świadczeń => Problemy dotyczące wszyskich rodzajów świadczeń => Wątek zaczęty przez: kg w Stycznia 15, 2013, 14:02:38 pm

Tytuł: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: kg w Stycznia 15, 2013, 14:02:38 pm
Witam
Nie wiem gdzie umieścić ten wątek ale to chyba dotyczy wszystkich. W związku z ustawą o ochronie danych osobowych z tego co wiem trzeba mieć jakiś dokument który mówi o tym w jaki sposób są chronione dane osobowe papierowe i elektroniczne - potrzebne przy kontroli GIODO. Gdzie można znaleźć o tym więcej informacji? Jak w ogóle się zabrać za to żeby w placówce wszystko było zgodnie z ustawą i jak przygotować ten dokument?
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: Norbert w Stycznia 15, 2013, 14:11:42 pm
http://bdo.kamsoft.pl/ks-bdo/web/bdo
http://bdo.kamsoft.pl/PartnerLocator/KonsultanciPolska.jsp

Tu możesz poczytać, stworzyłem "sobie" taki dokument. Warto go mieć.
Z tego co wyczytałem w necie, Giodo podpisało umowę z inspekcją pracy i będzie miała delegatury w calym kraju.
Oj będzie sie działo.....
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: kg w Stycznia 15, 2013, 14:17:21 pm
czyli nie obejdzie się bez konsultanta kamsoftu?
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: Norbert w Stycznia 15, 2013, 15:07:39 pm
Obejdzie się..., ale,
jak policzysz czas który spędzisz nad pisaniem tej "powieści", jego wartość merytoryczną, nieuwzględnienie naprawdę ważnych aspektów prawnych, to dojdziesz do wniosku że nie opłaca sie samemu tego tworzyć.
Lektura prawna jest naprawdę "fascynująca" (o ile nie jesteś prawnikiem).
Ja to zleciłem, odpowiedziałem na "kilka" pytań i mam z głowy.

Ps. pamiętaj o aktualizacjach tego dokumentu (nawet w chwili zwolnienia/przyjęcia pracownika.
Ona musi byc aktualna.
U mnie (niezbyt duża praktyka - ~135 stron + załączniki)
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: kalilech w Stycznia 15, 2013, 15:17:43 pm
możesz podać orientacyjny koszt takiej usługi ?
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: kg w Stycznia 15, 2013, 16:02:32 pm
Norbert, jak robiłeś tą dokumentacje, to może wiesz czy związku z ochroną danych osobowych, można  zrobić sieć w przychodni nie po kablu tyko przez wi-fi?
Bo słyszałem że jeżeli jest wi-fi to ciężko będzie udowodnić GIODO że jest to bezpieczne.
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: XMAN w Stycznia 15, 2013, 19:16:15 pm
siec na somedzie po wi-fi :) do tego ochrona przed wlamaniem :) nie polecam
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: kg w Stycznia 16, 2013, 08:55:58 am
a na PPS?
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: Norbert w Stycznia 16, 2013, 09:59:28 am
Cytat: kg w Stycznia 15, 2013, 16:02:32 pm
..... nie po kablu tyko przez wi-fi?
Wi-Fi to nie polecam, zdolniejszy młodzian przeskanuje ci sieć - i po ptakach.
Cytat: kalilech w Stycznia 15, 2013, 15:17:43 pm
możesz podać orientacyjny koszt takiej usługi ?

Koszt to ok 1000 zł za licencję BDO + koszty audytora (zależy czy będzie sie "błąkał" po rzychodni sam, czy będzie miał do kontaktu osobę z firmy) płatne wg. ustalonej indywidualnie stawki czy to zadaniowej, czy godzinowej
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: PiotrSz w Stycznia 18, 2013, 11:38:37 am
Cytat: Norbert w Stycznia 16, 2013, 09:59:28 am
Cytat: kg w Stycznia 15, 2013, 16:02:32 pm
..... nie po kablu tyko przez wi-fi?
Wi-Fi to nie polecam, zdolniejszy młodzian przeskanuje ci sieć - i po ptakach.

to może mi powiesz jak ten zdolniejszy młodzian złamie WPA2
dołącz do tego jeszcze blokadę na znane MACi
a hasła do WPA2 połącz z serwerem Radius

jasne że we wszystkim mogą być luki ... ale do NASA i FBI też się potrafią włamać
tyle, że tam są cenniejsze dane więc i środki mają inne

pozdrawiam
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: PiotrG w Stycznia 18, 2013, 21:03:15 pm
Coś podobnego się u mine w mieście wydarzyło. Młodzian, nie młodzian narobił sobie przelewów na 120tys i tyle go widzieli. Więc cuda się zdarzają i u nas :) - taki off top :)
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: Przemyslaw w Stycznia 18, 2013, 21:06:46 pm
No dobrze. Ale co ma wspólnego "narobienie przelewów" do zabezpieczeń sieci wifi? Wałek na allegro?
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: Paweł w Stycznia 18, 2013, 21:15:27 pm
Może zhackował wifi w banku :)
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: Przemyslaw w Stycznia 18, 2013, 21:18:02 pm
No i co dalej? zalogowali się na czyjeś konto bo logowanie bez SSL ktoś miał? Bajki. Urban legends.
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: PiotrG w Stycznia 18, 2013, 23:36:57 pm
Podjąłem temat, to dociągnę do końca - żadne urban legends, tylko fakt - osobiście byłem na rozmowach odnośnie instalacji bezpiecznego LANa. Mechanizm był prosty - szef siedział wieczorami i tworzył plik do przelewów i zapisywał go księgowej na komputerze. Księgowa zaczytywała ten plik do banku i przelewy się wykonywały. Sieć po wi-fi i to zabezpieczona. Młodzian-nie młodzian wlazł po wifi i przez dwa tygodnie podmieniał w pliku numer konta. Zostawiał kwotę i odbiorcę, więc u księgowej wyświetlało się zrozumiale - bo kto pamięta numer konta kontrahenta. A że banki przestały sprawdzać zgodność danych odbiorcy... to tak szło. JAk się zaczeli kontrahenci odzywać o zapłaty to się wydało. Podejrzewali kogoś z firmy, że niby znał hasła... g. znaleźli. stwierdzili włam do sieci, umorzyli sprawę i tyle. Ale oczywiście nie będę się licytował czy prawda czy nie. A związek z wifi ma.
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: Paweł w Stycznia 19, 2013, 10:05:44 am
Ciekawa sprawa, wychodzi na to ze musial wiedziec ze taki plik jest tworzony i gdzie jest zapisywany bo chyba nie jest to normalna praktyka?

Wysłane z mojej mikrofalowki
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: PiotrG w Stycznia 19, 2013, 11:12:48 am
Znam kilka firm w moim regionie, które tak mniej więcej robią. W zasadzie można podpiąć pod ten przypadek większość systemów, które generują plik do banku, zaczytywany potem do systemu bankowego. Sam robiłem program eksportujący z popularneo programu płacowego plik z wypłatami dla dużego przedsiębiorstwa, zaczytywany potem przez aplikację bankową.
Ale już mocno offtopujemy temat :)
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: PiotrSz w Stycznia 19, 2013, 11:31:47 am
Powyższy przypadek nie dowodzi nigdzie braku bezpieczeństwa prawidłowo zabezpieczonej technologii wifi..
Gość musiał mieć hasło do sieci bezprzewodowej albo było włączone słabsze zabezpieczenie niż WPA2 (WEP do złamania poprzez podsłuchiwanie pakietów, WPA ma buga który pozwala złamać zabezpieczenia i zdobyć hasło)
Do tego skoro dobrał się do plików szefa to dostęp do nich albo w ogóle nie był zabezpieczony albo bardzo kiepsko co może też prowadzić do wniosków o prawidłowe zabezpieczenie wifi..

No chyba, że ktoś wykorzystał dziury w sprzęcie (AP, routery) bo sporo się tego ostatnio pojawiało nawet u renomowanych producentów.

pozdrawiam
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: PiotrG w Stycznia 19, 2013, 14:02:52 pm
Nic nie chcę udowodnić. Chciałem tylko pokazać, że i w małym grajdołku zdarzają się duże sprawy i włamy. A że przy okazji wyznaję zasadę - co kabel to kabel :) ? Z mojej strony koniec offtopa :)
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: Paweł w Stycznia 19, 2013, 18:00:00 pm
A jak ktoś kabel przetnie i zaczną przez dziurę wypływać dane. Będą wylewać się na korytarz, chodnik, ulice...
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: Lastryko w Marca 02, 2013, 20:06:11 pm
Z WiFi wiążą się dużo poważniejsze problemy niż sposób zabezpieczenia.

1. Działanie systemowej usługi do konfiguracji połaczenia wifi ma irytującą właściwość
okresowego szukania nowych AP co może skutkować przerwaniem istniejącego połączenia.
Nie jest to szczególnie pożądane przy pracy z bazą danych.

2. Trudno jest dzisiaj znaleźć obszar wolny od zakłóceń. W mojej okolicy było ok. 25 AP.

3. W systemie Win XP nie można (bez dodatkowego oprogramowania) usunąć z listy dostępnych SSID-ów,
sieci inne niż własne. Użytkownik będzie mógł przyłączyć się do darmowego internetu.

Co do samego zabezpieczenia, to WPA2 z certyfikatami X.509 jest wystarczająco skutecznym zabezpieczeniem.
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: Przemyslaw w Marca 02, 2013, 20:36:00 pm
Systemowa usługa owszem lecz oprogramowanie dedykowane przez producenta karty WiFi w większości przypadków posiada opcję wyłączenia skanowania innych AP.
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: Lastryko w Marca 02, 2013, 22:32:10 pm
Cytat: Przemyslaw w Marca 02, 2013, 20:36:00 pm
Systemowa usługa owszem lecz oprogramowanie dedykowane przez producenta karty WiFi w większości przypadków posiada opcję wyłączenia skanowania innych AP.

Nie miałem okazji poznać.
Przez kilka miesięcy miałem KSPPS-a na WiFi (życzenie właściciela).
Mile tego nie wspominam. Skończyło się na wierceniu, kuciu i położeniu klasycznego okablowania.
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: PiotrSz w Marca 03, 2013, 21:29:05 pm
No ja też się wystrzegałem baz danych (a głównie PPSa) po wifi i właśnie ze względu nie na bezpieczeństwo a niepewność połączenia.
Niestety przez eWusia musiałem 2 punkty w firmie zrobić po wifi i w jednym gdzie był normalny wifi client (usb) do AP nie odważyłem się dać PPSa (ściągają potwierdzenia z portalu eWuś a ja je później importuje), natomiast w drugim połączyłem 2 APki w szyfrowany most niedostępny dla innych połączeń bezprzewodowych i to eliminowało problemy z systemem operacyjnym o których pisałeś.
Połączenie działało nawet w miarę pomimo sporych przeszkód w budynku i straty były tylko na poziomie 1-3% ale na dłuższą metę wolałbym tak PPSa nie mieć postawionego! Może na APkach z pełnym N byłoby lepiej ale na starych Ovislinkach z G było jak było.
Na szczęście właśnie dowierciłem się tam z tymczasowymi kablami i ten problem zniknął..

Inna sprawa, że w tym punkcie gdzie był most nowy komp z win7pro nie chciał i dalej nie chce gadać z eWusiem przez PPSa.. to samo na kablu i na wifi wcześniej. Inny komp w tym miejscu śmiga. Aktualizacja javy (ani usunięcie) nie pomogła ;-)

pozdrawiam
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: Lastryko w Marca 04, 2013, 20:15:14 pm
Cytat: PiotrSz w Marca 03, 2013, 21:29:05 pm
[...] Inna sprawa, że w tym punkcie gdzie był most nowy komp z win7pro nie chciał i dalej nie chce gadać z eWusiem przez PPSa.. to samo na kablu i na wifi wcześniej. Inny komp w tym miejscu śmiga. [...]

To wypada sprawdzić co się dzieje na poziomie protokołu IP.
Bez wiresharka się nie obędzie. (proxy dla https?)
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: PiotrSz w Marca 04, 2013, 20:38:23 pm
Cytat: Lastryko w Marca 04, 2013, 20:15:14 pm
To wypada sprawdzić co się dzieje na poziomie protokołu IP.
Bez wiresharka się nie obędzie.

tam jest jakiś problem z certyfikatami
nie pamiętam teraz dokładnie co było w logu PPSa z połączeń ewuś  (w katalogu CWU)
ale chyba coś o liście odwołań
próbowałem sposobu który ktoś wrzucił na forum ale nie zadziałało
(rozwiązaniem miał być wgranie którychś tam certyfikatów z UNIZETO chyba)

za to dzisiaj w FAQ mMedici znalazłem rozwiązanie na ich problemy z uwierzytelnianiem eWusia
a że to przecież ta sama usługa więc powinno i u nas zadziałać!
może jutro uda się potestować

z faqa mMedici
https://mmedica.asseco.pl/FAQ.aspx
"
!!!UWAGA!!!
Mogą wystąpić przypadki, w których mimo posiadania poprawnie skonfigurowanego konta dla systemu eWUŚ, użytkownik otrzymuje komunikat:
(...)
"Niepoprawne dane logowania do systemu eWUŚ"
(...)
Komunikat ten jest wynikiem nie posiadania aktualnych certyfikatów głównych dla systemu operacyjnego w którym wykorzystywany jest system eWUŚ. Aktualizacja certyfikatów jest dostępna na stronie Microsoft Support pod adresem:http://support.microsoft.com/kb/931125/pl
Należy pobrać plik o nazwie: rootsupd.exe i dokonać jego zainstalowania na stanowisku na którym występuje komunikat wymieniony powyżej. Po przeprowadzeniu aktualizacji należy dokonać restartu aplikacji mMedica.
"

Cytuj
(proxy dla https?)

jeżeli dla zwykłego usera wszystkie porty wyjściowe na routerze są zablokowane (w tym 443) i cały ruch dozwolony idzie przez wewnętrzne proxy to chyba sobie squid jakoś z tym radzi..

pozdrawiam
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: Lastryko w Marca 04, 2013, 20:49:53 pm
Cytat: PiotrSz w Marca 04, 2013, 20:38:23 pm
[...] Komunikat ten jest wynikiem nie posiadania aktualnych certyfikatów głównych dla systemu operacyjnego [...]

To akurat widać przy logowaniu przez IE.
Jak w systemie nie będzie odpowiedniego root CA, to certyfikat do połączenia SSL nie będzie prawidłowy.

Cytat: PiotrSz w Marca 04, 2013, 20:38:23 pm
[...] to chyba sobie squid jakoś z tym radzi..

Poradzi sobie doskonale o ile do niego coś trafi.
W PPS-ie nie konfigurujesz parametrów proxy (nie dla ewusia).
Wykorzystywane są parametry wpisane w IE.
Mi się zdarzyło wpisać proxy tylko dla http (z pominięciem pozostałych protokołów).
Efekt był taki, że w EWUSiu nie mogłem nic sprawdzić a w logach squida były pustki.
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: PiotrSz w Marca 04, 2013, 21:00:53 pm
Cytat: Lastryko w Marca 04, 2013, 20:49:53 pm
To akurat widać przy logowaniu przez IE.
Jak w systemie nie będzie odpowiedniego root CA, to certyfikat do połączenia SSL nie będzie prawidłowy.

właśnie dziwne jest to, że przez IE i Firefoxa portal eWUŚ chodzi bez marudzenia o certy

Cytuj
Poradzi sobie doskonale o ile do niego coś trafi.
W PPS-ie nie konfigurujesz parametrów proxy (nie dla ewusia).
Wykorzystywane są parametry wpisane w IE.
Mi się zdarzyło wpisać proxy tylko dla http (z pominięciem pozostałych protokołów).
Efekt był taki, że w EWUSiu nie mogłem nic sprawdzić a w logach squida były pustki.

To wiem
Ustawiam proxy dla wszystkich protokołów w Panelu Sterowania->Opcje Internetowe

pozdrawiam

EDIT: znalazłem w którymś mailu spisany ten błąd z loga

2013-01-09 14:34:28: błąd logowania: Połączenie z serwerem odwołań było niemożliwe lub nie można było uzyskać ostatecznej
odpowiedzi. - URL:https://ewus.nfz.gov.pl/ws-broker-server-ewus/services/Auth - SOAPAction:login

ewidentnie problem z certami :-/
Tytuł: Odp: polityka bezpieczeństwa danych osobowych
Wiadomość wysłana przez: Lastryko w Marca 04, 2013, 22:13:33 pm
Cytat: PiotrSz w Marca 04, 2013, 21:00:53 pm
[...] ewidentnie problem z certami :-/

Jeśli aktualizacja certyfikatów pomaga, to faktycznie ewidentnie.
Chciaż po samej treści komunikatu ciężko jest to wywnioskować.
Style:2: Portal (default), Printpage (default).
Pod-szablony:4: init, print_above, main, print_below.
Pliki językowe:6: SPortal.english (domyslny), SPortal.polish-utf8 (domyslny), SPortal.english (domyslny), index+Modifications.english (domyslny), index+Modifications.polish-utf8 (domyslny), SPortal.polish-utf8 (domyslny).
Arkusze stylów:1: portal (default).
Uwzględnione pliki:13 - 634KB. (pokaż)
Użytych zapytań: 13.

[Pokaż zapytania]