Adatfeldolgozói tájékoztató

A GDPR: Európai Parlament és a Tanács (EU) 2016/679 rendelete alapján Ügyfeleink számára tájékoztatást nyújtunk az Rausch Richárd EV. tárhelyszolgáltatása kapcsán megvalósuló adatfeldolgozói tevékenységéről.

A tárhelyszolgáltatás igénybevételével az Rausch Richárd EV. szervereire az Előfizető részéről olyan adatok kerülhetnek, melyek egy része személyes adatnak minősül. Az Adatkezelő feladata a személyes adatok oly módon történő kezelése, mely megfelel a GDPR rendelkezéseinek. Adatfeldolgozóként csak az adatmentés és tárolás technikai műveletét biztosítjuk. Az adatok adattartalmát, formáját további feldolgozását és így a további beépített biztonsági fokokat is az Előfizető, mint Adatkezelő határozza meg.

Az alábbiakban a GDPR rendelkezéseinek megfelelő adatkezeléshez kívánunk segítséget nyújtani:

DEFINÍCIÓK:
Titkosított elérés: Olyan adatforgalom a szervereink és az Előfizető vagy további felhasználók között, mely megakadályozza harmadik fél részére az eredeti tartalom megismerését. Minden modern internet alapú adatforgalmi típus rendelkezik a titkosítatlan mellett, titkosított eléréssel is. Ezek: Https (web), IMAPS/POP3S (email fogadás), SMTPS/ESMTPS (email küldés), FTPS/SFTP/SCP (fájl átvitel és másolás).

Tanúsítvány: A titkosított elérésű protokollok aktiválásához szükséges SSL kulcs és kísérő adatok szabványos módon csomagolt formája. A tanúsítványokat az Előfizetők is előállíthatják, de azok minimális adattartalmú változatát a rendszereink automatikusan is elő tudják állítani az Előfizető domain nevei alapján.

Hiteles tanúsítvány: Olyan tanúsítvány, mely kísérő adatait egy külső szervezet ellenőrizte és hitelesnek találta. Hiteles tanúsítvány nélkül a levelező és böngészőprogramok figyelmeztetik a felhasználót, hogy az adat forrása nem hiteles. Ez nem jelenti azt, hogy az adat biztos hamisított, vagy lehallgatható.

Titkosított adattárolás: Mind az adatbázisok esetében, mind a nyílt fájloknál lehetőség van az adatok titkosítására. A titkosítás tipikusan egy titkosító függvény (program) és kulcs (jelszó) használatával valósítható meg.

Biztonsági rések: A tárhelyre telepített nyílt forráskódú alkalmazások rendelkezhetnek olyan hibákkal, melyek alkalmasak jogosulatlan hozzáférés megszerzésére. A biztonsági réseket az elkövetőnek nem a célrendszeren kell kikísérleteznie, hanem elég azt elvégezni a nyílt szoftver bármely példányán. Az egyedi alkalmazások esetében a hibákat helyben kell kikísérletezni.

A TÁRHELY ÜZEMELTETÉSÉVEL KAPCSOLATOS GDPR MEGFONTOLÁSOK:
A tárhelyek, email címek és az ügyfélkapu jelszóval vannak védve. Javasolt egyedi (máshol nem használt) véletlen karaktersorozat használata és a telepítéskor kapott jelszó azonnali megváltoztatása. A jelszót harmadik fél számára nem tanácsos kiadni. A rendszerünk a tárhelyek és adatbázisok esetében lehetőséget biztosít másodlagos elérések létrehozására és így a felelősségi körök elkülönítésére. A hozzáférések létrehozásának időpontjáról, a hozzáférésre jogosultak személyéről és felelősségi köréről az Előfizető nyilvántartást vezethet.

A szolgáltatásainkkal kapcsolatban műszaki és adminisztrációs segítséget csak a regisztrált kapcsolattartó jogosult kérni. Információt csak a regisztrált kapcsolattartói email címre tudunk küldeni. Ezen felül a szolgáltatással kapcsolatban az ügyfélkapun történő hiteles belépés után vagy papír alapon hitelesítve vagy személyesen is el lehet járni.

Az ISPconfig tárhelyeken és szervereken lehetőség van hitelesített tanúsítványok létrehozására és automatikus telepítésére. Ezzel bekapcsolható a titkosított kommunikáció. Javasolt minden webalkalmazás esetében a titkosított kommunikáció használata. Javasolt továbbá az adatok és alkalmazások titkosított csatornán történő feltöltése és telepítése. Szintén javasolt továbbá a levelezés esetében is titkosítás használata, legyen az ügyfél vagy szerver oldali, levélküldés avagy fogadás.

Javasolt minden személyes adatot adatbázisban, titkosított módon tárolni. Az adatbázis jelszóval védett és alapértelmezett módon tiltott a távoli elérése. Távoli elérés csak titkosított (SSH) csatornán oldható meg, vagy az Előfizetőnek kell azt egyedileg engedélyezni. Az aktuálisan aktív engedélyekről a szerver is vezet nyilvántartást, de az javasolt az Előfizető számára is.

A szervereinket az EU területén üzemeltetjük, Ezért a hozzánk feltöltött személyes adatok nem hagyják el az EU területét.

A szervereink folyamatos biztonsági mentés alatt állnak, melynek eredményeképpen a 3-7 napi mentést állítunk elő. Ezeket kizárólag a szerverek teljes visszaállítására használjuk. A GDPR értelmében az adatkezelő felelőssége a visszaállíthatóság biztosítása, ezért javasoljuk, hogy időről időre készítsenek a mentéseket másolják a saját rendszereikre.

A beérkező leveleken spam és vírusszűrést végzünk. Végzünk továbbá statisztikai elemzéseket is, mely kimutathat jogosulatlan hozzáférést. Ez esetben értesítjük a hivatalos kapcsolattartót és az érintett jelszót megváltoztatjuk. Az eredeti jelszó visszaállítása tilos. A szűrés nem 100%-os hatásfokú, ezért érdemes további kliens oldali szűrő és antivírus használata is, illetve józan elemzés az ismeretlen típusú vagy forrású tartalmak megnyitása előtt.

A tárhelyre feltöltött alkalmazásokat az Előfizetők saját maguk választják meg. A biztonsági résekből eredő jogosulatlan hozzáférések többsége az alkalmazások naprakészen tartásával megelőzhető. Ne használjon elavult vagy lejárt támogatású szoftvert, mert azt robotok és tesztelőprogramok meg fogják találni. Fontos tudni, hogy ilyen esetben nem a szerver kompromittálódik, hanem csak az adott tárhely, illetve az azzal azonos jogosultság alatt tárolt többi tárhely. Ilyen esetben tehát szerver üzemeltetési oldalról a probléma nem hárítható el. Fontos tudni, hogy a tárhely feltörésével az email és adatbázis adatok is könnyen hozzáférhetővé válnak.

Szolgáltató személyes adatot nem kezel kizárólag az Előfizető írásbeli utasításai alapján.
A Szolgáltató minden esetben titoktartási kötelezettséget vállal.
Megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázatok mértékének megfelelő szintű adatbiztonságot garantálja.
A Szolgáltató segíti az Előfizető a kötelezettségeinek a teljesítésében
A Szolgáltató a tárhely szolgáltatás nyújtásának befejezését követően, az Előfizető döntése alapján minden személyes adatot töröl vagy visszajuttat az Előfizetőnek és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő.
A Szolgáltató lehetővé teszi és elősegíti az Előfizetőnek által, vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
A Szolgáltató az adatvédelmi hatóság részére bemutatható módon nyilvántartást vezet az Előfizető nevében végzett adatkezelési tevékenységéről.

Adatvédelmi incidens: a GDPR előírja kötelezettségként az adatkezelők részére az adatvédelmi incidensek bejelentését. Az adatfeldolgozónak nincs ilyen kötelezettsége és csak a saját rendszereit érintő incidenst jelzi adatkezelő felé. Az adatkezelő feladata az általa a tárhelyre telepített programot érintő incidensek észlelése, de ettől függetlenül minden általunk érzékelt betörést és betörési kísérletet jelzünk. Az előfizető felelőssége eldönteni, hogy az incidens érinthetett-e személyes adatot és szükséges-e az adatvédelmi incidens bejelentése, erről nyilvántartás vezetése vagy szükség esetén a további érintettek tájékoztatása.

Hatályos: 2018. 05. 20.

Richárd Rausch

PHP programozó, Joomla és Opencart fejlesztő vagyok. A Joomla 2005 óta a kedvenc CMS-em.

rausch.hu
Tovább a kategóriában: « Adatvédelem