Dies ist extrem wichtig für mein Unternehmen, da wir in unserem Arbeitsbereich sehr strengen Vorschriften unterliegen, die uns verpflichten, die Daten unserer Benutzer im Land zu speichern. Es ist verboten, irgendeine Art von Cloud-Hosting im Ausland für unsere Dienste zu nutzen.
Wir verwenden SSO für die Discourse-Anmeldung und den Business-Plan von Discourse für das Hosting. Was mich beunruhigt, ist, wenn ich auf die Profilseite eines Benutzers gehe, zur Admin-Ansicht wechsle und nach unten scrolle; ich kann die genauen sensiblen Benutzerdaten sehen, die wir nicht ins Ausland senden dürfen. Ich bin in diesem Aspekt nicht sehr versiert, daher verstehe ich nicht, ob diese Informationen zu irgendeinem Zeitpunkt, während oder nach dem SSO, ins Ausland gelangen. Ich wäre dankbar für jede Hilfe
Aber im Allgemeinen, wenn SSO verwendet wird, erhält Discourse, wo auch immer seine Daten gespeichert sind, sensible Daten wie Name und E-Mail von SSO, nicht umgekehrt.
Sie müssen also die DSGVO einhalten? Keiner der von Discourse verwendeten SSOs verstößt gegen die DSGVO. Vorschriften des Unternehmens (und/oder der Türkei) können die Situation jedoch ändern. Aber trotzdem… SSO überträgt keine sensiblen Daten – es sei denn, die Tatsache, dass ein Benutzer Ihr Forum nutzt, zählt als sensible Daten
Das verstehe ich nicht:
Und trotzdem haben Sie einen Business-Plan von Discourse. Wenn das wirklich streng ist, müssen Sie ein selbst gehostetes Forum haben.
Für unsere gehosteten Websites finden Sie Informationen zur DSGVO / Datenlokalität in unserer Datenschutzerklärung unter discourse.org/privacy. Wenn Sie spezielle Fragen zum kostenpflichtigen Hosting-Service haben, senden Sie bitte eine PM an @team oder eine E-Mail an team@discourse.org und wir helfen Ihnen gerne weiter.
Unsere länderspezifischen Vorschriften (die zusätzliche Bedingungen für die Finanzbranche haben) besagen, dass Sie keine Cloud-Dienste zum Speichern sensibler Benutzerinformationen verwenden dürfen. @Jagster Wir können also Cloud-Dienste nutzen, solange wir dort keine sensiblen Daten speichern.
Es ist in Ordnung, wenn nur die E-Mail-Adresse im Ausland gespeichert wird – dies allein gilt nicht als sensible Information. Wenn ich jedoch zu irgendeinem Zeitpunkt die E-Mail-Adresse zusammen mit dem vollständigen Namen des Benutzers speichere, gilt dies als sensible Information, da der Benutzer nun als Person identifizierbar ist. Ich mache mir Sorgen, denn nachdem SSO für die Anmeldung verwendet wurde und ich die E-Mail-Adresse und den vollständigen Namen unserer Benutzer auf der Plattform sehen kann, weiß ich nicht, ob diese Daten an das Discourse-Hosting gesendet und dort gespeichert werden, was gegen unsere lokalen Vorschriften verstößt.
Um die Denkweise unserer Vorschriften zu verdeutlichen: Angenommen, ein Dritter mit böswilliger Absicht erhält Zugriff auf die physischen Laufwerke des Cloud-Servers von Discourse in der EU. Könnten sie die vollständigen Namen und E-Mail-Adressen unserer Benutzer zusammen lesen, wenn sie sich mit SSO angemeldet haben?
Wenn Sie die Informationen in der Discourse-Admin-Benutzeroberfläche sehen können, dann ja, sie werden auf den Discourse-Servern gespeichert. Um zu verhindern, dass Discourse diese Informationen speichert, müssen Sie wahrscheinlich Ihr SSO-System aktualisieren, damit es die sensiblen Informationen nicht an externe Plattformen wie Discourse überträgt.
Sind Sie sicher mit Ihrer Definition von sensiblen Informationen?
Wenn Sie an die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union denken, die oben erwähnt wurde, oder an darauf basierende Gesetzgebung, dann könnte eine schnelle Internetrecherche lohnenswert sein – da ich mich vage daran erinnere, dass es um Gesundheitsdaten, religiöse oder politische Überzeugungen usw. geht und nicht nur um Daten, die eine Person identifizieren können.
Grundlegende Informationen wie E-Mail und ein Name sind in Europa keine sensiblen Daten. In der Türkei vielleicht, aber die Situation dort ist sowieso etwas heikel. Aber das Wichtigste ist zu verstehen, dass Ihr Discourse keine benötigten Anmeldedaten an SSO sendet. Ihr Discourse erhält diese Daten von SSO.
Sie müssen sich nur darum kümmern, diese Daten nicht weiter zu verkaufen/weiterzugeben. Sie können sie zwar für Ihre Bedürfnisse speichern. Wo Sie alle Benutzerdaten speichern, hängt davon ab, ob Sie gegen die DSGVO verstoßen könnten. Wenn Sie die DSGVO befolgen, müssen Sie sicher sein, dass die von Ihnen genutzten Dienste (wie Google, Discourse als Unternehmen, E-Mail-Provider usw.) die DSGVO befolgen. Diese Unternehmen tun dies meistens.
Aber wie gesagt, E-Mail und Name sind keine so sensiblen Informationen, die die DSGVO regelt. Sie können diese von Ihren Benutzern sammeln, wenn nötig, z. B. um Benutzerkonten zu erstellen. Aber Sie können diese, wie E-Mails, nicht beliebig verwenden. Die Verwendung ist geregelt.
Wenn Sie ohne triftigen Grund beginnen, Wohnadressen, Arbeitsplätze oder sogar Familienstände zu sammeln, verstoßen Sie gegen die DSGVO.
Die Information, die Sie benötigten, aber aus irgendeinem Grund nicht mögen, ist, dass SSO absolut nichts mit der DSGVO und den EU-Vorschriften zu tun hat. Natürlich sollten Sie das in Ihrer Sicherheitserklärung angeben, aber das ist alles.
Ich habe aus Neugierde eine schnelle Suche durchgeführt. Hier ist eine von vielen Seiten, die angezeigt werden: IAPP Es scheint, dass die Türkei Datenschutzgesetze hat, die vom GDPR inspiriert sind. Die Situation in Bezug auf sensible Daten und grenzüberschreitende Übertragungen scheint nicht annähernd so streng zu sein, wie Sie oben beschrieben haben.
Wenn sie einen einzelnen normalen EU-Nutzer haben (B2B ist eine etwas andere Sache), muss die DSGVO befolgt werden, egal wo sich ein Unternehmen befindet. Aber das ist auch nicht so schwer. Und trotzdem – wenn die Unternehmenspolitik etwas anderes besagt, ist das eine interne Angelegenheit (und wenn alle Clouds außerhalb der EU verboten sind, können sie auch kein Business-Discourse nutzen).
Entschuldigung, es geht überhaupt nicht um sensible Informationen. Es geht um alle Benutzerdaten, die verwendet werden können, um die Person zu identifizieren. Zum Beispiel kann eine E-Mail-Adresse jedem gehören, oder zwei Personen können denselben Namen haben; aber wenn Sie beides zusammen verwenden, können Sie eine Person viel leichter identifizieren. Ich weiß nicht, ob Sie das personenbezogene Daten, private Daten oder einfach Benutzerdaten nennen. Es geht jedoch nicht um sensible Daten.
Dennoch: Discourse nutzt keine personenbezogenen Daten für SSO. SSO liefert diese Daten an Discourse. Und was Sie bei Discourse sehen, ist notwendig. Es handelt sich nicht um regulierte Daten in der EU, und ich bin mir absolut sicher, dass sie auch in der Türkei nicht reguliert sind.
