Questo è estremamente importante per la mia azienda, poiché nel nostro settore lavoriamo con normative molto severe che ci impongono di conservare i dati dei nostri utenti all’interno del paese. È vietato utilizzare qualsiasi tipo di hosting cloud all’estero per i nostri servizi.
Utilizziamo SSO per l’accesso a Discourse e il piano aziendale di Discourse per l’hosting. Ciò che mi preoccupa è quando posso andare alla pagina del profilo di un utente, passare alla vista amministratore e scorrere fino in fondo; posso visualizzare i dati sensibili esatti degli utenti che non ci è permesso inviare all’estero. Non sono molto esperto su questo aspetto, quindi non capisco se queste informazioni vengano inviate all’estero in qualsiasi momento, durante o dopo il processo SSO. Apprezzerei qualsiasi aiuto
All’estero… dagli Stati Uniti o verso gli Stati Uniti?
Ma in generale, quando si utilizza l’SSO, Discourse, ovunque si trovino i suoi dati, otterrà dati sensibili come nome ed email dall’SSO, non viceversa.
Quindi, devi seguire il GDPR? Nessuno di questi SSO che Discourse sta utilizzando viola il GDPR. Ma i regolamenti dell’azienda (e/o della Turchia) possono cambiare la situazione. Ma comunque… SSO non trasferisce dati sensibili — a meno che sapere che un utente sta utilizzando il tuo forum non conti come dati sensibili
Questa è una cosa che non riesco a capire:
Eppure hai un piano aziendale da Discourse. Se fosse davvero così rigoroso, dovresti avere un forum self-hosted.
Per i nostri siti ospitati, puoi trovare informazioni sul GDPR / sulla località dei dati nella nostra informativa sulla privacy all’indirizzo discourse.org/privacy. Se hai domande specifiche sul servizio di hosting a pagamento, non esitare a inviare un messaggio privato a @team o a inviarci un’e-mail all’indirizzo team@discourse.org e saremo lieti di aiutarti.
La normativa del nostro paese (che prevede condizioni aggiuntive per il settore finanziario) afferma che non è possibile utilizzare servizi cloud per archiviare informazioni sensibili dell’utente. @Jagster Quindi possiamo utilizzare servizi cloud purché non archiviamo dati sensibili lì.
Va bene se solo l’indirizzo email viene archiviato all’estero - questo da solo non è considerato un’informazione sensibile. Tuttavia, se in qualsiasi momento archivio l’indirizzo email insieme al nome completo dell’utente, questo è considerato un’informazione sensibile, poiché l’utente è ora identificabile come persona. Sono preoccupato perché dopo che SSO viene utilizzato per l’accesso, poiché posso vedere l’indirizzo email e il nome completo dei nostri utenti sulla piattaforma, non so se questi dati inviati e archiviati nell’hosting di Discourse siano contro le nostre normative locali.
Per dimostrare la mentalità delle nostre normative: Diciamo, ad esempio, che una terza parte con intenti malevoli ottiene accesso ai dischi fisici del server cloud di Discourse nell’UE. Sarebbero in grado di leggere il nome completo e l’email dei nostri utenti insieme, dato che hanno effettuato l’accesso con SSO?
Se puoi vedere le informazioni nell’interfaccia di amministrazione di Discourse, allora sì, vengono archiviate sui server di Discourse. Per interrompere l’archiviazione di tali informazioni da parte di Discourse, probabilmente è necessario aggiornare il tuo sistema SSO in modo che non trasmetta le informazioni sensibili a piattaforme esterne come Discourse.
Sei sicuro della tua definizione di informazione sensibile?
Se stai pensando al GDPR dell’Unione Europea, menzionato sopra, o alla legislazione basata su di esso, allora potrebbe valere la pena fare una rapida ricerca su Internet, poiché ricordo vagamente che si tratta di dati sanitari, credenze religiose o politiche, ecc. piuttosto che di semplici dati che possono identificare una persona.
Informazioni di base come email e alcuni nomi non sono dati sensibili in Europa. In Turchia forse, ma la situazione lì è comunque un po’ complicata. Ma la cosa più importante da capire è che il tuo Discourse non sta inviando i dati di accesso necessari all’SSO. Il tuo Discourse sta ottenendo quei dati dall’SSO.
Tutto ciò di cui devi preoccuparti è non vendere/cedere ulteriormente quei dati. Puoi memorizzarli per le tue esigenze, comunque. Dove memorizzi tutti i dati utente dipende dal significato se potresti violare il GDPR. Se stai seguendo il GDPR, allora devi essere sicuro che i servizi che stai utilizzando (come Google, Discourse come azienda, elaboratore di email, ecc.) stiano seguendo il GDPR. Queste aziende per lo più lo fanno.
Ma come detto, email e nome non sono informazioni così sensibili che il GDPR regola. Puoi raccoglierli dai tuoi utenti, se necessario, come per creare account utente. Ma non puoi usarli, come le email, come vuoi. L’uso è regolamentato.
Se inizi a raccogliere indirizzi di casa, luoghi di lavoro, persino stati coniugali, senza motivo, violi il GDPR.
Quindi, le informazioni di cui avevi bisogno, ma per qualche motivo non ti piacciono, sono che l’SSO non ha assolutamente nulla a che fare con il GDPR e le normative UE. Naturalmente dovresti dirlo nella tua dichiarazione di sicurezza, ma questo è tutto.
Ho fatto una rapida ricerca per curiosità. Ecco una pagina tra le tante che compaiono: IAPP Sembra che la Turchia abbia leggi sulla protezione dei dati ispirate al GDPR. La situazione in relazione ai dati sensibili e ai trasferimenti transfrontalieri non sembra affatto così rigorosa come hai descritto sopra.
Se hanno un singolo utente UE ordinario (B2B è una cosa un po’ diversa) il GDPR deve essere seguito indipendentemente da dove si trovi un’azienda. Ma anche questo non è così difficile. E comunque, se la politica dell’azienda dice qualcosa di diverso, ma è una questione interna (e se tutte le nuvole al di fuori dell’UE sono proibite, allora non possono usare nemmeno il Discourse aziendale).
Mi scuso, non riguarda affatto informazioni sensibili. Riguarda qualsiasi dato utente che possa essere utilizzato per identificare la persona. Ad esempio, un indirizzo email potrebbe appartenere a chiunque, o due persone potrebbero avere esattamente lo stesso nome; ma usandoli insieme potresti identificare una persona molto più facilmente. Non so se chiami questi dati personali, dati privati o semplicemente dati utente. Non si tratta però di dati sensibili.
Comunque: Discourse non sfrutta i dati personali per l’SSO. L’SSO serve quei dati a Discourse. E ciò che vedi in Discourse è necessario. Non si tratta di dati regolamentati nell’UE, e sono assolutamente sicuro che non lo siano nemmeno in Turchia.
