こんにちは。
これは私の会社にとって極めて重要です。なぜなら、私たちの業務分野では、ユーザーのデータを国内に保持することを義務付ける非常に厳しい規制に直面しているからです。私たちのサービスで国外のクラウドホスティングを使用することは禁止されています。
DiscourseのログインにはSSOを使用しており、ホスティングにはDiscourseのビジネスプランを利用しています。懸念しているのは、ユーザーのプロフィールページにアクセスし、管理者ビューに切り替えて一番下までスクロールしたときに、国外に送信することが許可されていない正確な機密ユーザーデータが表示されることです。この点についてはあまり詳しくないので、SSOが発生する際、または発生後に、この情報がいつか国外に送信されるのか理解できていません。何か助けていただけると幸いです 
国外… アメリカから、またはアメリカへ?
しかし、一般的にSSOを使用する場合、Discourseは、そのデータがどこにあっても、SSOから名前やメールアドレスなどの機密データを取得します。その逆ではありません。
トルコにあり、DiscourseはEUでホストされています。以前に明記していなかったことをお詫びします。
GDPRに従う必要があるということですね。Discourseが使用しているSSOのいずれも、GDPRに違反しません。しかし、企業(および/またはトルコ)の規制によって状況が変わる可能性があります。それでも… SSOは機密データを移動させません。ユーザーがあなたのフォーラムを使用していることを機密データと見なさない限りは 
これは理解できない点です:
それなのに、Discourseのビジネスプランを利用しているのですね。もしそれが本当に厳格であれば、セルフホスト型のフォーラムを使用する必要があるはずです。
どのようなデータですか?メールアドレスとIP番号ですか? Discourseは両方を取得します。
ホストサイトに関するGDPR/データ所在地については、プライバシーポリシー(discourse.org/privacy)をご覧ください。有料ホスティングサービスに関するご質問がございましたら、お気軽に@teamにプライベートメッセージをお送りいただくか、team@discourse.orgまでメールにてお問い合わせください。喜んでお手伝いさせていただきます。
当国の規制(金融業界には追加の条件があります)では、ユーザーの機密情報を保存するためにクラウドサービスを使用することはできません。@Jagster つまり、機密データを保存しない限り、クラウドサービスを使用できるということですね。
メールアドレスのみを国外に保存することは問題ありません。これだけでは機密情報とはみなされません。しかし、ユーザーの氏名とメールアドレスを同時に保存すると、ユーザーが個人として特定できるため、機密情報とみなされます。SSOを使用してログインした後、プラットフォーム上でユーザーのメールアドレスと氏名を確認できるため、このデータがDiscourseのホスティングに送信され保存されているのかどうか、当国の現地規制に違反していないか心配です。
当国の規制の考え方を示すために例を挙げます。例えば、悪意のある第三者がEUにあるDiscourseのクラウドサーバーの物理ドライブにアクセスできたとします。SSOでログインした場合、ユーザーの氏名とメールアドレスを一緒に読み取ることは可能でしょうか?
Discourse 管理 UI で情報が表示される場合、それは Discourse サーバーに保存されていることを意味します。その情報を Discourse に保存されないようにするには、SSO システムを更新して、機密情報を Discourse のような外部プラットフォームに送信しないようにする必要があります。
どうもありがとうございます。探していた答えはこれです。
「機密情報」の定義について、確信はありますか?
上記で言及された欧州連合のGDPR、またはそれに基づく法規制について考えているのであれば、簡単なインターネット検索をする価値があるかもしれません。なぜなら、個人を識別できるデータだけでなく、健康データ、宗教的または政治的信条などにも関連していることをかすかに覚えているからです。
実際にはそうではありませんでした。
電子メールや一部の名前などの基本的な情報は、ヨーロッパでは機密データではありません。トルコではおそらくそうかもしれませんが、そこでの状況はとにかく少し複雑です。しかし、最も重要なことは、あなたのDiscourseがSSOに必要なログインデータを送信していないということです。あなたのDiscourseは、そのデータをSSOから取得しています。
あなたが心配する必要があるのは、そのデータをさらに販売または譲渡しないことです。ただし、必要に応じて保存することはできます。ユーザーデータのすべてをどこに保存するかは、GDPRに違反する可能性があるかどうかの意味合いによって異なります。GDPRを遵守している場合は、使用しているサービス(Google、Discourse社、電子メールプロセッサなど)がGDPRを遵守していることを確認する必要があります。これらの企業はほとんどの場合遵守しています。
しかし、前述のように、電子メールや名前はGDPRが規制しているような機密情報ではありません。ユーザーアカウントを作成するためなどに、必要に応じてユーザーから収集することができます。ただし、電子メールのように、望むように使用することはできません。使用は規制されています。
理由もなく、自宅の住所、職場、さらには婚姻状況を収集し始めると、GDPRに違反することになります。
したがって、あなたが必要としていた情報ですが、何らかの理由でそれが気に入らないのは、SSOはGDPRやEUの規制とは全く関係がないということです。もちろん、セキュリティステートメントでそれを伝えるべきですが、それだけです。
好奇心から簡単に検索してみました。多く見つかったページの一つはこちらです:IAPP トルコにはGDPRに触発されたデータ保護法があるようです。機密データおよび国境を越える移転に関する状況は、上記で説明されたほど厳しくないようです。
それは一点に過ぎず、トルコ語のみを規制しています。
単一の通常のEUユーザー(B2Bは少し異なります)がいる場合、GDPRは会社の所在地に関係なく遵守する必要があります。しかし、それもそれほど難しくはありません。それでも、会社のポリシーが異なることを示している場合でも、それは社内の問題です(そして、EU外のすべてのクラウドが禁止されている場合、彼らはビジネスディスコースも使用できません)。
元の投稿者の状況について、もっと詳しく知る必要があります。断定的な発言をする前に。
私の間違いです。これは機密情報とは全く関係ありません。個人を特定するために使用できるあらゆるユーザーデータに関するものです。例えば、メールアドレスは誰のものであってもかまいませんし、二人が全く同じ名前を持つこともありますが、この二つを組み合わせることで、より容易に個人を特定できる可能性があります。これを個人データ、プライベートデータ、あるいは単にユーザーデータと呼ぶのかは分かりませんが、機密データではありません。
GDPRを考えると、全く同じことです。
それでも、Discourseは個人データをSSOに悪用していません。SSOは、そのデータをDiscourseに提供しています。そして、Discourseで見ているものは必要です。それはEUでは規制されたデータではなく、トルコでも規制されたデータではないと確信しています。