hosting Serwerownie/hostingi w polsce spełniające wymogi RODO 2018

[graczu]

Jak w temacie,

 

ciągłość działania w przypadku awarii łącza ( dwa łącza niezależne od siebie ), zapasowe zasilanie i minimum dwa źródła zasilania, miejsce w Polsce ( nie szukam miejsca poza naszymi granicami, mimo że rodo dopuszcza EU )?

 

A jeszcze jak by były dwie strefy pożarowe w których można w umowie dostać dwie takie same usługi :-) to w ogóle miodzio.

 

Serwery dedykowane, lub serwer VPS w miejscu które spełnia RODO ( czy z deka VPS jest na tyle bezpieczny by RODO na niego zezwalał ? ktoś wie ).

Edytowane 30 Grudnia 2017 przez graczu

[Poziomecki]

U nas w hitme.pl jest spełnienie wymagań RODO. Od strony technicznej wszystko jest jak ma być, ale pozostaje nam kwestia papierków, które są w trakcie przygotowywania. Do wprowadzenia umów RODO będzie wszystko gotowe.

[graczu]

10 godzin temu, Poziomecki napisał:

U nas w hitme.pl jest spełnienie wymagań RODO. Od strony technicznej wszystko jest jak ma być, ale pozostaje nam kwestia papierków, które są w trakcie przygotowywania. Do wprowadzenia umów RODO będzie wszystko gotowe.

 

jest możliwość posiadania dwóch maszyn w osobnych pomieszczeniach/strefach pożarowych?

bądź np szykujecie w ofercie RODO serwer kopii w innej strefie przeciwpożarowej do usługi z umową RODO.

 

Gdybyśmy wzięli maszynę wcześniej niż ustawa, jest możliwość pod nią podpisania umowy dla spełnienia RODO?

[gb1]

W dniu 30/12/2017 o 23:10, Poziomecki napisał:

U nas w hitme.pl jest spełnienie wymagań RODO

 

Z ciekawości zapytam, jak spełniacie wymagania RODO jeśli jeszcze nie są uchwalone przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania tej dyrektywy ?

 

Także z ciekawości zapytam, czy stosujecie zapisy kodeksów potępowania lub się do tego przygotowujecie ? jeśli tak to których organizacji ?

 

W dniu 30/12/2017 o 23:10, Poziomecki napisał:

ale pozostaje nam kwestia papierków, które są w trakcie przygotowywania

 

Czyli wymagań RODO nie ma jeszcze spełnionych :-) należy pamiętać że RODO to w większości właśnie "papierki", a nie stosowane środki techniczne

 

Podobnie jak kiedyś z telewizorami HD i HD Ready, prawie to samo, a jednak różnica wielka :-) 

W dniu 31/12/2017 o 09:51, graczu napisał:

jest możliwość posiadania dwóch maszyn w osobnych pomieszczeniach/strefach pożarowych?

 

Sugerowałbym tutaj wybór dwóch różnych dostawców ,znacznie wyższy stopień bezpieczeństwa i ciągłości działania przy dobrze dobranym oraz testowanym DRP.

Edytowane 1 Stycznia 2018 przez gb1

[Poziomecki]

Jeśli chodzi o rodo to szczegółów nie znam a mogę przekazać tylko informację, które widziałem w naszej firmie.

 

Umowy są w przygotowaniu. Zmiany wchodzą od 05.2018r. i do tego czasu zdążymy wszystko przygotować.

Wstępnie weryfikowaliśmy warunki techniczne i u nas są one spełnione. RODO to głównie warunki i procedury będą dot. bezpieczeństwa danych.

 

Umowy będzie można podpisać prawdopodobnie w dowolnym okresie trwania umowy. Tak samo było przy giodo.

 

Szczegóły pewnie mógłby podać już Marek bo ja się osobiście tym nie zajmuję.

[graczu]

8 godzin temu, gb1 napisał:

 

Z ciekawości zapytam, jak spełniacie wymagania RODO jeśli jeszcze nie są uchwalone przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania tej dyrektywy ?

 

Także z ciekawości zapytam, czy stosujecie zapisy kodeksów potępowania lub się do tego przygotowujecie ? jeśli tak to których organizacji ?

 

 

Czyli wymagań RODO nie ma jeszcze spełnionych :-) należy pamiętać że RODO to w większości właśnie "papierki", a nie stosowane środki techniczne

 

Podobnie jak kiedyś z telewizorami HD i HD Ready, prawie to samo, a jednak różnica wielka :-) 

 

Sugerowałbym tutaj wybór dwóch różnych dostawców ,znacznie wyższy stopień bezpieczeństwa i ciągłości działania przy dobrze dobranym oraz testowanym DRP.

 

Nie no ustawa już jest z tego co rozumiem i do maja 2018 przedsiębiorcy mają się do niej zastosować.

 

Dla mnie jest to coś nowego nigdy wcześniej się tym  nie zajmowałem, aktualnie przeczytałem ustawę, powyszukiwałem informacji prawniczych, skontaktowałem się z kancelarią pod którą będą śmieszki inspektorzy i dowiedziałem się że będzie to wyglądało na zapłaceniu i otrzymaniu podpisu że taki jest pod firmę.

 

Jednak z miejscem w którym będą trzymane dane musisz podpisać umowę o przetwarzaniu danych osobowych w której też będą informacje o bezpieczeństwie, o tym że serwery siedzą na terenie UE, że obiekt spełnia wymogi zawarte w ustawie.

 

http://www.giodo.gov.pl/pl/569/9276

 

tutaj masz ustawę z 27 kwietnia 2016.

 

Do tego ciągłość pracy wymagała by serwerownia przynajmniej posiadała dwa niezależne łącza, przyłącza zasilania ( lub i zaplecze potrzymania zasilania ).

 

No tak czy siak, trzeba to jednak spełnić od strony zbierającej dane po to by gdyby noga się powinęła to posiadać wszystkie "papierki" podpisane by nie umrzeć od kary. A to czy przetwarzający nam podpisał nieprawdę to już problem z jego strony.

 

Najlepsza by była zapewne chmura z replikacją do innej serwerowni i jakiś s3 na pliki , ale koszty są spore i czekam na odpowiedzi od tych firm czy by podpisały takie umowy.

Dlatego inna opcja to dwa serwery dedykowane w firmie która by nam takie coś podpisała.

[gb1]

6 godzin temu, Poziomecki napisał:

Umowy są w przygotowaniu. Zmiany wchodzą od 05.2018r. i do tego czasu zdążymy wszystko przygotować.

Wstępnie weryfikowaliśmy warunki techniczne i u nas są one spełnione. RODO to głównie warunki i procedury będą dot. bezpieczeństwa danych.

 

Nie wątpię że wstępnie weryfikowaliście jak także żę zapewne zdążycie wszystko przygotować, jednak jak sam stwierdziłeś nie znasz szczegółów jednak stwierdziłeś że "jest spełnienie wymagań RODO" co wydawało mi się dość dziwne. Różnica znacząca pomiędzy pracami wstępnymi, a zakończeniem realizacji

 

5 godzin temu, graczu napisał:

http://www.giodo.gov.pl/pl/569/9276

 

tutaj masz ustawę z 27 kwietnia 2016.

 

To nie ustawa to jedynie rozporządzenie PE.

 

https://legislacja.rcl.gov.pl/projekt/12302950

 

Ustawa o ochronie danych osobowych jest nadal w drodze, a jej zapisy będą istotne, zatem na tym etapie można się przygotowywać, trudno jednak mówić o wdrożeniu RODO.

 

5 godzin temu, graczu napisał:

Jednak z miejscem w którym będą trzymane dane musisz podpisać umowę o przetwarzaniu danych osobowych

 

Takie wymaganie wynika z obecnej ustawy o ochronie danych osobowych obowiązującej od lat. Polecam lekturę art. 31 ustawy o ochronie danych osobowych, wymóg jest aby umowa była zawarta na piśmie. Wraz z nowymi przepisami wymóg posiadania umowy na piśmie zniknie z tego powodu według mnie na wejście w życie nowych przepisów niezmiernie oczekują globalni gracze typu GCE, AWS, Azure, etc.

 

5 godzin temu, graczu napisał:

Do tego ciągłość pracy wymagała by serwerownia przynajmniej posiadała dwa niezależne łącza, przyłącza zasilania ( lub i zaplecze potrzymania zasilania ).

 

 

Możesz wskazać takie zapisy ?

 

5 godzin temu, graczu napisał:

No tak czy siak, trzeba to jednak spełnić od strony zbierającej dane po to by gdyby noga się powinęła to posiadać wszystkie "papierki" podpisane by nie umrzeć od kary. A to czy przetwarzający nam podpisał nieprawdę to już problem z jego strony.

 

Zgadzam się w całości, z tego powodu jak wcześniej pisałem strona formalna jest tutaj najbardziej istotna pod względem nowych przepisów, w stosunku do stosowanych adekwatnych środków technicznych.

 

6 godzin temu, graczu napisał:

Najlepsza by była zapewne chmura z replikacją do innej serwerowni i jakiś s3 na pliki....

 

Moim zdaniem bardzo rozsądne podejście i zapewne najbardziej ekonomiczne, odezwij się na PW myślę że jeśli reprezentujesz normalny biznes to będę miał ciekawe propozycje.

 

 

[Poziomecki]

9 minut temu, gb1 napisał:

 

Nie wątpię że wstępnie weryfikowaliście jak także żę zapewne zdążycie wszystko przygotować, jednak jak sam stwierdziłeś nie znasz szczegółów jednak stwierdziłeś że "jest spełnienie wymagań RODO" co wydawało mi się dość dziwne. Różnica znacząca pomiędzy pracami wstępnymi, a zakończeniem realizacji

 

 

Przekazałem informację jakie posiadam. Zostałem zapewniony jak i nasi klienci że z RODO nie będzie żadnych problemów jak wejdzie i wszystko jest analizowane oraz na bieżąco przygotywane. Tutaj akurat mając ważnych klientów nie możemy sobie pozwolić na żaden fakap przez jakiś głupi papier czy nie spełnienie jakiegoś podpunktu

[gb1]

Na niniejszym forum większość interesuje się aspektami technicznymi, zatem tutaj polecam artykuł 17 wspomnianego rozporządzenia czyli („prawo do bycia zapomnianym” i jego stosowanie w przypadku kopii bezpieczeństwa.

 

@Poziomecki Czy podzielisz się Waszymi przemyśleniami i planami dostosowania się do art. 17 w kontekście kopii bezpieczeństwa ?

Edytowane 2 Stycznia 2018 przez gb1

[graczu]

12 minut temu, gb1 napisał:

 

6 godzin temu, graczu napisał:

Do tego ciągłość pracy wymagała by serwerownia przynajmniej posiadała dwa niezależne łącza, przyłącza zasilania ( lub i zaplecze potrzymania zasilania ).

 

 

Możesz wskazać takie zapisy ?

 

Tego nie ma w zapisach, ale mnie to interesuje ze względu że będzie tam CRM z którego będą korzystać 4ry oddziały firmy ubezpieczeniowej ( pracownicy tylko ), więc awaria w godzinach 8 - 18 to była by tragedia, dlatego też chmura z replikacją to świetne rozwiązanie, ale jak liczyłem kosztowo to nie wiem czy będzie na to zgoda.

 

 

[Poziomecki]

14 minut temu, gb1 napisał:

Na niniejszym forum większość interesuje się aspektami technicznymi, zatem tutaj polecam artykuł 17 wspomnianego rozporządzenia czyli („prawo do bycia zapomnianym” i jego stosowanie w przypadku kopii bezpieczeństwa.

 

@Poziomecki Czy podzielisz się Waszymi przemyśleniami i planami dostosowania się do art. 17 w kontekście kopii bezpieczeństwa ?

 

To już pytanie do Marka

[graczu]

17 minut temu, gb1 napisał:

Na niniejszym forum większość interesuje się aspektami technicznymi, zatem tutaj polecam artykuł 17 wspomnianego rozporządzenia czyli („prawo do bycia zapomnianym” i jego stosowanie w przypadku kopii bezpieczeństwa.

 

@Poziomecki Czy podzielisz się Waszymi przemyśleniami i planami dostosowania się do art. 17 w kontekście kopii bezpieczeństwa ?

 

Ale firma hostingowa przetwarza, ja jako administrator muszę dopilnować tego że jak nasz klient będzie chciał być zapomniany o muszę go skasować i wszelkie dane jego dotyczące i tu z tego co pamiętam co prawnik z firmy mi powiedział to w momencie gdy nie łączy go już z nami żadna umowa i tak dalej.

Za to jest odpowiedzialny administrator, nie firma przetwarzająca.

 

Jeżeli chodzi o firmę przetwarzającą to w momencie przykładowo gdy moja firma kończy działalność to muszę im to zgłosić a oni muszą przykładowo nadpisać zerami dyski.

By np nowy klient na maszynie nie odzyskał danych.

Edytowane 2 Stycznia 2018 przez graczu

[gb1]

7 minut temu, graczu napisał:

awaria w godzinach 8 - 18 to była by tragedia, dlatego też chmura z replikacją to świetne rozwiązanie, ale jak liczyłem kosztowo to nie wiem czy będzie na to zgoda

 

Wygląda na rozsądną normalny biznes, myślę że mam ciekawe rozwiązania dla Ciebie wraz z replikacją abyś miał możliwość realizacji całości w ramach rozsądnego budżetu MSP.

 

7 minut temu, Poziomecki napisał:

To już pytanie do Marka

 

Zaproś zatem do dyskusji albo dopytaj i podziel się z nami informacjami aby podeprzeć twierdzenie że macie wszystko na bieżąco analizowne Chętnie poznam oraz zapewne inni także Wasze planowane działanie w tym zakresie

 

8 minut temu, graczu napisał:

Ale firma hostingowa przetwarza, ja jako administrator muszę dopilnować tego że jak nasz klient będzie chciał być zapomniany o muszę go skasować i wszelkie dane jego dotyczące

 

Dokładnie tak, zatem jako administratorem jak rozwiążesz kwestie zastosowania art. 17 w kopiach bezpieczeństwa które są wykonywane oraz przechowywane przez dostawcę usługi ?

 

20 minut temu, graczu napisał:

a oni muszą przykładowo nadpisać zerami dyski.

 

W przypadku dedykowanego sprzętu fizycznego jest to dość proste, a w przypadku hostingu współdzielonego lub chmury sytuacja wygląda już inaczej, ale bardzo ciekawe aspekty poruszasz które dla normalnego biznesu są niezwykle istotne.

[graczu]

5 godzin temu, gb1 napisał:

Dokładnie tak, zatem jako administratorem jak rozwiążesz kwestie zastosowania art. 17 w kopiach bezpieczeństwa które są wykonywane oraz przechowywane przez dostawcę usługi ?

 

Z tego co pamiętam to interpretacja kopii zapasowych i zapomnienia jest inna, kopia jest trzymana i niedostępna do wglądu jak produkcja. Replikacja jak i snapshoty nie są trzymane z wielu lat, maks paru dni ( i nadpisywane ).

 

Druga archiwizacja to już jest z mojego poziomu CRM i tworze system archiwizacji który pozwala np Kowalskiego o PESELU XXX usunąć z każdej po kolei.

Archiwizacja dopiero jest trzymana do 5 lat. Więc nie jest to system kopii/snapshotu bo szkoda miejsca.

[Suspect]

17 minut temu, graczu napisał:

 

Z tego co pamiętam to interpretacja kopii zapasowych i zapomnienia jest inna, kopia jest trzymana i niedostępna do wglądu jak produkcja. Replikacja jak i snapshoty nie są trzymane z wielu lat, maks paru dni ( i nadpisywane ).

 

Nie do końca tak jest, że sam fakt nie używania tych danych osobowych na produkcji rozwiązuje problem. A co w sytuacji gdy zajdzie potrzeba przywrócenia backupu danych? Jedyne rozsądne rozwiązanie tego problemu zostało opisane w poniższym artykule. Polecam zapoznanie się z nim i zachęcam do dalszej dyskusji dotyczącej tego rozwiązania.

 

http://rodo2018.pl/prawo-do-bycia-zapomnianym-a-kopie-zapasowe/

[graczu]

11 minut temu, Suspect napisał:

 

Nie do końca tak jest, że sam fakt nie używania tych danych osobowych na produkcji rozwiązuje problem. A co w sytuacji gdy zajdzie potrzeba przywrócenia backupu danych? Jedyne rozsądne rozwiązanie tego problemu zostało opisane w poniższym artykule. Polecam zapoznanie się z nim i zachęcam do dalszej dyskusji dotyczącej tego rozwiązania.

 

http://rodo2018.pl/prawo-do-bycia-zapomnianym-a-kopie-zapasowe/

 

Dobra dodatkowa opcja w przypadku załadowania snapshota.

 

 

Jak osoba przychodzi i mówi że chce być zapomniana to można po prostu o niej i tej sprawie zapomnieć :-)

[Adam Szendzielorz]

10 godzin temu, graczu napisał:

Jak osoba przychodzi i mówi że chce być zapomniana to można po prostu o niej i tej sprawie zapomnieć :-)

 

- Dzień dobry panie Włodku!

- Dzień dobry panie Stanisławie!

- Chciałbym być zapomniany

- A kim pan w ogóle jest?

 

Problem solved

[TaniDedyk.pl]

17 godzin temu, gb1 napisał:

Moim zdaniem bardzo rozsądne podejście i zapewne najbardziej ekonomiczne, odezwij się na PW myślę że jeśli reprezentujesz normalny biznes to będę miał ciekawe propozycje.

 

 

16 godzin temu, gb1 napisał:

Wygląda na rozsądną normalny biznes, myślę że mam ciekawe rozwiązania dla Ciebie wraz z replikacją abyś miał możliwość realizacji całości w ramach rozsądnego budżetu MSP.

 

 

 

Skoro namawiasz wszystkich do dzielenia się swoją wiedzą/wynikami testów/wdrożeniami w wiekszości tematów  to też podaj te ciekawe propozycje/rozwiązania publicznie a zapewne większość z nich skorzysta  

[nrm]

2 godziny temu, TaniDedyk.pl napisał:

Skoro namawiasz wszystkich do dzielenia się

 

To jest znany "człowiek-pytanie", on tylko pyta  

[gb1]

23 godziny temu, graczu napisał:

Z tego co pamiętam to interpretacja kopii zapasowych i zapomnienia jest inna, kopia jest trzymana i niedostępna do wglądu jak produkcja. Replikacja jak i snapshoty nie są trzymane z wielu lat, maks paru dni ( i nadpisywane ).

 

przetwarzanie to także przechowywanie, art. 4 pkt. 2; podobnie jak w obecnej UODO.

 

23 godziny temu, Suspect napisał:

Jedyne rozsądne rozwiązanie tego problemu zostało opisane w poniższym artykule. Polecam zapoznanie się z nim i zachęcam do dalszej dyskusji dotyczącej tego rozwiązania.

 

Zgadzam się że dla klasycznych systemów rozwiązanie podobne do opisanych w przywołanym artykule są najbardziej rozsądne. Jednak pamiętajmy o tym że rozsądek, a przepisy często nie idą w parze. Uważam że tutaj najlepiej byłoby skorzystać z kodeksów postępowania, stosowanie których daje znacznie wyższe bezpieczeństwo (nie techniczne) i jest przewidziane w zapisach rozporządzenia. Do jakich organizacji należycie lub znacie które pracują nad kodeksami postępowań dla branży hostingu ? 

 

Także zachęcam do dyskusji w tym zakresie, może nowy wątek ?

 

12 godzin temu, TaniDedyk.pl napisał:

Skoro namawiasz wszystkich do dzielenia się swoją wiedzą/wynikami testów/wdrożeniami w wiekszości tematów  to też podaj te ciekawe propozycje/rozwiązania publicznie a zapewne większość z nich skorzysta  

 

Uważam że dyskusja i wymiana wiedzy jest bardzo istotna. Jednak biznesu jak narazie nie uprawiam na forum zatem pozostawię tą kwestię poza nim. Jednak każda rozmowa na temat tego typu rozwiązań zaczyna się tak samo jak pisałem już w wielu wątkach wcześniej czyli ustalenia podstawowych parametrów RPO, RTO, ilości danych oraz delty. Takie informacje pozwalają na dalszą dyskusję i na końcu dobranie rozwiązań technicznych które będą adekwatne do sytuacji.

 

9 godzin temu, nrm napisał:

To jest znany "człowiek-pytanie", on tylko pyta  

 

Pytając można zawsze się czegoś nowego dowiedzieć, czy jedna uważasz inaczej ? ;-)

 

Edytowane 3 Stycznia 2018 przez gb1

[smarthost]

W zasadzie wytyczne RODO nie różnią się zbyt wiele od spełnionych wymagań GIODO. Kwestia faktycznie innych dokumentów, niemniej technicznie raczej nie ma nic, czego nie było wcześniej - nawet czasem może być mniej w RODO (np. nie musi być polityki haseł w formie, 8 znakowych ze znakami specjalnymi i cyframi, zmienianych co 30 dni - teraz to jest w gestii firmy, a nie przepisów).

 

Co do pytania, to my właśnie od początku zaczęliśmy pracę nad drugim pomieszczeniem ogniotrwałym - tj. drugim pomieszczeniem serwerowym, które będzie niezależne (zarówno zabezpieczeniowo, jak i ogniowo). 

 

Takie rzeczy jak co najmniej dwa niezależne łącza, dwa niezależne źródła zasilania itp. to raczej ciężko byłoby wskazać kogoś, kto tego nie ma :-)

 

Wojtek

[psycho]

W dniu 5.01.2018 o 12:36, smarthost napisał:

Takie rzeczy jak co najmniej dwa niezależne łącza, dwa niezależne źródła zasilania itp. to raczej ciężko byłoby wskazać kogoś, kto tego nie ma :-)

 

Zdziwiłbyś się

[patrys]

44 minuty temu, psycho napisał:

Zdziwiłbyś się

Podziel się

[webh]

To teraz pytanie kto jeszcze nie odrobił pracy domowej

[graczu]

Zakupiliśmy dedyki aktualnie w sprintdatacenter, kiedyś już tam miałem w firmie z 40 dedyków i wszystko śmigało prawidłowo więc znów wybrałem ich ofertę z umowami powierzenia danych. Dedyki w dwóch strefach pożarowych i jeden dodatkowy w innej firmie na ostateczny backup.

 

Wcześniej myśleliśmy o hitme.pl ale dobrze że tego nie zrobiliśmy bo ostatnie problemy pokazały że byłby to zły wybór. Jak nie potrafią rozwiązać prostych problemów lub służyć poradą przy małym kliencie to lepiej nie pchać się z większymi rzeczami.

 

 

 

W między czasie wysyłali mnie na szkolenia RODO i z Ochrony Danych Os., spotkania z kancelariami i innymi różnymi ludźmi z największych firm ubezpieczeniowych dla których pracujemy to każdego jak by wnioski z "ustawy" się różnią bo na końcu każdy mówi że są to spekulacje by nie brać odpowiedzialności za swoje słowa .

Większość szkoleń było przeprowadzanych jak dla dzieci co mnie w pewnym momencie nudziło i wkur... a temat FB wałkowany tysiąc razy, np kuźnia kadr czy inne podobne, tylko ludzie którzy trafiali z firm i tak nic na koniec nie kumali, tragedia.

 

Jedno jednak mówią prawnicy i adwokacki, wszystko da się podważyć "podstawą prawną" u nas w PL jak w grę wchodzą duże pieniądze.

Edytowane 30 Maja 2018 przez graczu