هذا مهم للغاية لشركتي، حيث نواجه في مجال عملنا لوائح صارمة للغاية تفرض علينا الاحتفاظ ببيانات المستخدمين داخل الدولة. يُحظر استخدام أي نوع من الاستضافة السحابية في الخارج لخدماتنا.
نحن نستخدم SSO لتسجيل الدخول إلى Discourse، وخطة عمل Discourse للاستضافة. ما يقلقني هو عندما أتمكن من الانتقال إلى صفحة ملف تعريف المستخدم، والتبديل إلى عرض المسؤول والتمرير إلى الأسفل؛ يمكنني رؤية بيانات المستخدم الحساسة الدقيقة التي لا يُسمح لنا بإرسالها إلى الخارج. لست خبيراً في هذا الجانب، لذلك لا أفهم ما إذا كانت هذه المعلومات تُرسل إلى الخارج في أي وقت، أثناء أو بعد حدوث SSO. سأكون ممتناً لأي مساعدة
إذًا، هل يجب عليك اتباع اللائحة العامة لحماية البيانات (GDPR)؟ أي من خدمات الدخول الموحد (SSO) التي تستخدمها Discourse لا تنتهك اللائحة العامة لحماية البيانات. ولكن اللوائح الصادرة عن الشركة (و/أو تركيا) يمكن أن تغير الوضع. ولكن لا يزال… الدخول الموحد (SSO) لا ينقل أي بيانات حساسة - إلا إذا كان معرفة أن المستخدم يستخدم منتداك يعتبر بيانات حساسة
هذا شيء لا أستطيع فهمه:
ومع ذلك لديك خطة عمل من Discourse. إذا كانت هذه صارمة حقًا، فيجب أن يكون لديك منتدى مستضاف ذاتيًا.
بالنسبة لمواقعنا المستضافة، يمكنك العثور على معلومات حول اللائحة العامة لحماية البيانات / موقع البيانات في سياسة الخصوصية الخاصة بنا على discourse.org/privacy. إذا كانت لديك أي أسئلة محددة حول خدمة الاستضافة المدفوعة، فلا تتردد في إرسال رسالة خاصة إلى @team أو مراسلتنا عبر البريد الإلكتروني على team@discourse.org وسيسعدنا تقديم المساعدة.
تنص لائحة بلدنا (التي لديها شروط إضافية للصناعة المالية) على أنه لا يمكنك استخدام الخدمات السحابية لتخزين معلومات المستخدم الحساسة. @Jagster لذا يمكننا استخدام الخدمات السحابية طالما أننا لا نخزن بيانات حساسة هناك.
لا بأس إذا تم تخزين عنوان البريد الإلكتروني فقط في الخارج - فهذا وحده لا يعتبر معلومات حساسة. ومع ذلك، إذا قمت في أي وقت بتخزين عنوان البريد الإلكتروني مع الاسم الكامل للمستخدم، فسيتم اعتبار ذلك معلومات حساسة، حيث أصبح المستخدم قابلاً للتعريف كشخص. أنا قلق لأنه بعد استخدام تسجيل الدخول الأحادي (SSO) لتسجيل الدخول، حيث يمكنني رؤية عناوين البريد الإلكتروني والأسماء الكاملة لمستخدمينا على المنصة، لا أعرف ما إذا كانت هذه البيانات المرسلة والمخزنة في استضافة Discourse، تتعارض مع لوائحنا المحلية.
لتوضيح العقلية مع لوائحنا: لنفترض، على سبيل المثال، أن طرفًا ثالثًا ذا نوايا خبيثة تمكن من الوصول إلى محركات الأقراص الفعلية لخادم Discourse السحابي في الاتحاد الأوروبي. هل سيكونون قادرين على قراءة الأسماء الكاملة لمستخدمينا والبريد الإلكتروني معًا، بالنظر إلى أنهم سجلوا الدخول باستخدام SSO؟
إذا كان بإمكانك رؤية المعلومات في واجهة مستخدم مسؤولي Discourse، فنعم، يتم تخزينها على خوادم Discourse. لإيقاف Discourse من تخزين تلك المعلومات، ربما تحتاج إلى تحديث نظام تسجيل الدخول الموحد (SSO) الخاص بك حتى لا ينقل المعلومات الحساسة إلى منصات خارجية مثل Discourse.
إذا كنت تفكر في اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، والتي تم ذكرها أعلاه، أو التشريعات المستندة إليها، فقد يكون من المفيد إجراء بحث سريع على الإنترنت - حيث أتذكر بشكل غامض أن الأمر يتعلق ببيانات صحية أو معتقدات دينية أو سياسية وما إلى ذلك بدلاً من مجرد البيانات التي يمكن أن تحدد هوية شخص ما.
المعلومات الأساسية مثل البريد الإلكتروني وبعض الأسماء ليست بيانات حساسة في أوروبا. ربما في تركيا، لكن الوضع هناك معقد على أي حال. لكن أهم شيء يجب فهمه هو أن Discourse الخاص بك لا يرسل بيانات تسجيل الدخول المطلوبة إلى SSO. يحصل Discourse الخاص بك على تلك البيانات من SSO.
كل ما تحتاج للقلق بشأنه هو عدم بيع/إعطاء تلك البيانات لأي طرف آخر. يمكنك تخزينها حسب حاجتك. يعتمد مكان تخزين جميع بيانات المستخدم على ما إذا كنت قد تنتهك اللائحة العامة لحماية البيانات (GDPR). إذا كنت تتبع اللائحة العامة لحماية البيانات، فيجب عليك التأكد من أن الخدمات التي تستخدمها (مثل Google، و Discourse كشركة، ومعالج البريد الإلكتروني، وما إلى ذلك) تتبع اللائحة العامة لحماية البيانات. هذه الشركات تفعل ذلك في الغالب.
ولكن كما ذكرنا، فإن البريد الإلكتروني والاسم ليسا معلومات حساسة تنظمها اللائحة العامة لحماية البيانات. يمكنك جمعها من المستخدمين، إذا لزم الأمر، مثل إنشاء حسابات المستخدمين. ولكن لا يمكنك استخدامها، مثل رسائل البريد الإلكتروني، كما تريد. الاستخدام منظم.
إذا بدأت في جمع عناوين المنازل، وأماكن العمل، وحتى حالات الزواج، دون سبب، فإنك تخالف اللائحة العامة لحماية البيانات.
لذلك، فإن المعلومات التي كنت بحاجة إليها، ولكن لسبب ما لا تعجبك، هي أن SSO ليس له علاقة على الإطلاق باللائحة العامة لحماية البيانات ولوائح الاتحاد الأوروبي. بالطبع يجب عليك ذكر ذلك في بيان الأمان الخاص بك، ولكن هذا كل شيء.
لقد أجريت بحثًا سريعًا بدافع الفضول. إليك صفحة واحدة من بين العديد التي تظهر: IAPP يبدو أن تركيا لديها قوانين لحماية البيانات مستوحاة من اللائحة العامة لحماية البيانات (GDPR). الوضع فيما يتعلق بالبيانات الحساسة وعمليات النقل عبر الحدود لا يبدو صارمًا كما وصفته أعلاه.
إذا كان لديهم مستخدم عادي واحد من الاتحاد الأوروبي (B2B شيء مختلف قليلاً) فيجب اتباع اللائحة العامة لحماية البيانات بغض النظر عن مكان وجود الشركة. ولكن هذا ليس بالأمر الصعب أيضًا. ومع ذلك - إذا كانت سياسة الشركة تقول شيئًا مختلفًا، فهذا سؤال داخلي (وإذا كانت جميع الخدمات السحابية خارج الاتحاد الأوروبي محظورة، فلا يمكنهم استخدام خدمة Discourse للأعمال أيضًا).
عذراً، الأمر لا يتعلق بالمعلومات الحساسة على الإطلاق. يتعلق الأمر بأي بيانات مستخدم يمكن استخدامها لتحديد هوية الشخص. على سبيل المثال، قد يكون عنوان بريد إلكتروني ملكًا لأي شخص، أو قد يكون لدى شخصين نفس الاسم بالضبط؛ ولكن باستخدام الاثنين معًا، قد تتمكن من تحديد هوية شخص ما بسهولة أكبر. لا أعرف ما إذا كنت تسمي هذه البيانات شخصية، أو خاصة، أو مجرد بيانات مستخدم. الأمر لا يتعلق بالبيانات الحساسة مع ذلك.
نفس الشيء تمامًا عندما تفكر في اللائحة العامة لحماية البيانات (GDPR).
ومع ذلك: لا يستغل Discourse بيانات شخصية لتسجيل الدخول الموحد (SSO). يقوم تسجيل الدخول الموحد (SSO) بتقديم تلك البيانات إلى Discourse. وما تراه في Discourse هو المطلوب. إنها ليست بيانات منظمة في الاتحاد الأوروبي، وأنا متأكد تمامًا من أنها ليست منظمة في تركيا أيضًا.
