Questa guida spiega quali informazioni di identificazione personale (PII) Discourse memorizza per impostazione predefinita, dove vengono memorizzate, chi può accedervi e come è possibile ridurre al minimo la raccolta di PII utilizzando DiscourseConnect.
Livello utente richiesto: Amministratore
Discourse memorizza determinate informazioni di identificazione personale (PII) per supportare le funzionalità principali come la moderazione, la gestione dell’account e l’autenticazione dell’utente. Comprendere quali dati vengono raccolti e come vengono memorizzati aiuta a prendere decisioni informate sulla privacy e sulla conformità.
Riepilogo
Discourse memorizza diversi tipi di PII, inclusi indirizzi IP, indirizzi email e credenziali di accesso social. Queste informazioni sono utilizzate principalmente per la moderazione, il rilevamento di account duplicati e l’autenticazione dell’utente. Gli amministratori del sito possono ridurre al minimo la memorizzazione delle PII implementando DiscourseConnect (SSO), che consente di controllare quali informazioni vengono trasmesse a Discourse.
Quali PII memorizza Discourse?
Indirizzi IP
Discourse memorizza i seguenti indirizzi IP per ogni utente per aiutare il team di moderazione a rilevare account duplicati:
- Indirizzo IP di registrazione - L’indirizzo IP utilizzato al momento della creazione dell’account
- Indirizzo IP utilizzato l’ultima volta - L’indirizzo IP più recente da cui l’utente ha effettuato l’accesso al sito
Ad esempio, se visiti il tuo sito con il tuo dispositivo mobile alle 11:00 e poi con il tuo tablet alle 12:00, solo l’indirizzo IP del tablet verrà memorizzato come indirizzo IP “utilizzato l’ultima volta”.
Chi può accedere agli indirizzi IP
- Amministratori - Accesso completo a tutte le informazioni IP
- Moderatori - Possono visualizzare gli indirizzi IP per impostazione predefinita (può essere disabilitato con l’impostazione del sito
moderators_view_ips) - Il sistema - Utilizza gli indirizzi IP internamente per il rilevamento dello spam e l’identificazione di account duplicati
Indirizzi email
Gli indirizzi email vengono memorizzati come testo semplice nel database, visibili a chiunque abbia accesso al database. Questo include:
Chi può accedere agli indirizzi email
- Amministratori - Accesso completo a tutti gli indirizzi email
- Moderatori - Possono visualizzare gli indirizzi email per impostazione predefinita (può essere disabilitato con l’impostazione del sito
moderators_view_emails) - Amministratori di database - Chiunque abbia accesso diretto al database
Nomi completi (nomi reali)
Discourse può raccogliere e memorizzare i nomi completi degli utenti (indicati anche come “nomi reali”), che sono separati dai loro nomi utente. I nomi completi vengono memorizzati come testo semplice nel database insieme ad altre informazioni dell’utente.
Come vengono raccolti i nomi completi
I nomi completi possono essere forniti in diversi modi:
- Durante la registrazione - Gli utenti possono inserire il proprio nome completo durante il processo di iscrizione (a seconda della configurazione)
- Tramite SSO/DiscourseConnect - Il provider di autenticazione esterno può passare il nome completo (campo
name) durante la creazione o l’aggiornamento di un utente e può sovrascrivere il nome locale se configurato. - Tramite modifica del profilo - Gli utenti possono aggiungere o aggiornare il proprio nome completo dalle preferenze del profilo
- Da accessi social - Quando gli utenti si autenticano tramite provider social, il loro nome visualizzato viene spesso utilizzato come nome completo
Chi può accedere ai nomi completi
I nomi completi sono memorizzati come testo semplice nella colonna name della tabella users nel database e possono essere accessibili da:
- Amministratori - Accesso completo a tutti i nomi completi
- Moderatori - Possono visualizzare i nomi completi per impostazione predefinita (controllato dalle stesse autorizzazioni dell’accesso all’email)
- Amministratori di database - Chiunque abbia accesso diretto al database.
- Utenti pubblici - Potrebbero vedere i nomi completi a seconda delle impostazioni di visualizzazione
enable_namese correlate
Opzioni di configurazione
Gli amministratori possono controllare come vengono raccolti e visualizzati i nomi completi utilizzando queste impostazioni del sito:
-
full_name_requirement- Controlla se il campo nome completo appare durante l’iscrizione e se è obbligatorio -
auth_overrides_name- Quando abilitato, il nome fornito dal provider SSO/DiscourseConnect non può essere modificato dagli utenti- Utile per mantenere un’identità coerente tra i sistemi
-
use_name_for_username_suggestions- Quando abilitato, Discourse utilizzerà il nome completo quando suggerisce nomi utente durante la registrazione -
enable_names- Interruttore principale che mostra il nome completo dell’utente sul suo profilo, sulla scheda utente e nelle email. Disabilitare per nascondere il nome completo ovunque- Predefinito: abilitato
Le seguenti impostazioni di visualizzazione hanno effetto solo quando enable_names è abilitato:
display_name_on_posts- Mostra il nome completo di un utente sui suoi post oltre al suo @nomeutenteprioritize_username_in_ux- Controlla se il nome utente o il nome completo appaiono in modo più prominente nell’interfaccia- Predefinito: abilitato (il nome utente ha la priorità)
display_name_on_email_from- Utilizza il nome completo nei campi “Da” nelle notifiche email, se abilitato.
Discourse dispone di una deduplicazione intelligente; se il nome completo e il nome utente di un utente sono molto simili (ignorando spazi, trattini bassi e maiuscole/minuscole), verrà visualizzato solo uno dei due per evitare ridondanza. È possibile disabilitare questo comportamento utilizzando il componente tema Remove Name Suppression on Posts, che forza la visualizzazione sempre sia del nome completo che del nome utente sui post.
Informazioni di accesso social federato
Quando gli utenti si autenticano tramite provider di accesso social (Google, Facebook, GitHub, ecc.), Discourse memorizza vari elementi di informazione:
- ID account del provider
- Nome
- Avatar
- [Questo elenco può cambiare a seconda del provider o nel tempo]
I dati specifici memorizzati dipendono dal provider e dalle informazioni che condividono.
Esempio: Google OAuth2
Quando un utente accede con Google, Discourse conserva le seguenti informazioni nel database:
provider_name: "google_oauth2",
provider_uid: "11791234567812345",
info: {
"name"=>"Bilbo Baggins",
"email"=>"bilbo.baggins@gmail.com",
"image"=>"https://lh3.googleusercontent.com/a/ACg8ocJD5vR-JuZZ16mGf51uYH0KyKGoKXF36U3inbh4Bzne0CpuTlH23g=s96-c",
"last_name"=>"Baggins",
"first_name"=>"Bilbo",
"email_verified"=>true,
"unverified_email"=>"bilbo.baggins@gmail.com"
}
Esempio: Facebook OAuth
Un esempio redatto per l’accesso a Facebook mostra:
provider_name: "facebook",
provider_uid: "123456789",
info: {
"name"=>"Bilbo Baggins",
"email"=>"bbaggins@shire.net",
"image"=>"https://graph.facebook.com/v5.0/123456789/picture?access_token=swordfish&width=480&height=480",
"last_name"=>"Baggins",
"first_name"=>"Bilbo"
}
I campi specifici memorizzati possono cambiare a seconda del provider o nel tempo man mano che i protocolli di autenticazione si evolvono.
Chi può accedere alle informazioni di accesso social
- Amministratori - Accesso completo alle informazioni dell’account associate tramite il pannello di amministrazione e il database
- Moderatori - Potrebbero avere accesso limitato a seconda della configurazione del sito
- Singoli utenti - Possono visualizzare e gestire i propri account associati dalle preferenze utente
Riduzione al minimo delle PII con DiscourseConnect
Per evitare di memorizzare determinate informazioni di identificazione personale in Discourse, è possibile utilizzare DiscourseConnect per gestire interamente il processo di accesso per gli utenti.
In che modo DiscourseConnect riduce l’esposizione delle PII
Con DiscourseConnect, si controlla completamente le informazioni dell’utente trasmesse a Discourse. Poiché si gestisce l’implementazione, è possibile creare alternative incentrate sulla privacy rispetto agli identificatori tradizionali.
Approccio di esempio: Invece di fornire a Discourse l’indirizzo email reale dell’utente, è possibile creare un indirizzo email unico ma privo di PII.
Ad esempio, se l’ID univoco interno per un utente è U123456, si potrebbe restituire un indirizzo email come:
user-U123456@example.com
Vantaggi aggiuntivi per la privacy
L’utilizzo di DiscourseConnect nasconde anche qualsiasi collegamento agli accessi social federati da Discourse. Dal punto di vista di Discourse, il tipo di accesso utilizzato dall’utente (social, mobile, ecc.) è irrilevante, poiché è gestito dalla propria parte. Discourse sa solo ciò che il provider di accesso gli comunica.
MFA e autenticazione esterna
È possibile applicare l’MFA oltre all’autenticazione esterna?
Questa combinazione non è attualmente supportata nel modo previsto.
Discourse dispone dell’impostazione del sito enforce_second_factor_on_external_auth, che impedisce agli utenti con MFA abilitato di utilizzare metodi di autenticazione esterni come gli accessi social. Quando è abilitata, ciò impedirà agli utenti di accedere con metodi di autenticazione esterni se hanno abilitato l’autenticazione a due fattori.
Questa impostazione costringe efficacemente gli utenti a scegliere tra:
- Utilizzo dell’autenticazione esterna (accessi social) senza 2FA su Discourse
- Utilizzo dell’accesso tramite nome utente/password con 2FA su Discourse
Per la configurazione più sicura con SSO, implementare l’MFA nel proprio provider di identità anziché all’interno di Discourse.