Данные предоставляемые сервису администрирования сервиса, они чьи? (длиннопост)

edogs, а как увидели, что была попытка доступа? Смотрели логи или что-то попроще?

Можно попросить не удалить, а замаскировать чувствительные данные, если уж невозможно удалить сами тикеты. Т.е. 4242********7890

-= Serafim =-,

По логам, более простого способа не знаем:) Но эта ремарка просто дает бакграунд почему мы в принципе почесались на тему удаления данных, не более того.

А что значит "невозможно удалить сами тикеты"?

Это же не блондинка из бухгалтерии, это тикетница системных администраторов, которые могут три бита в ядре юникса точечно в нужном месте изменить, а тут тикет не могут удалить? Закрытый, неактуальный, полностью оплаченый тикет.

Плюс ответ был достаточно четким, что данные удаляются только если они персональные данные типа "фио, паспорт и адрес", и даже если забыть о том, что для этого нам надо было пройти по 200+ тикетам и указать конкретные данные, то это все равно не решение, т.к. кроме перс. данных есть еще туева хуча приватных данных принадлежащих клиенту (логины, пароли, ссл сертификаты, название фирм, ИП адреса, версии софта).

edogs, что ж вы связались-то с поколением жоп?! Вам включили бычку, ну и отвечайте, если есть металл в balls - так же

Например, политика компании не позволяет тикеты удалять, начальство не разрешает.

Раньше не было проблем. В принципе обращались не часто, но общий стаж работы за 10 лет уже перевалил. Поэтому было сильно неожиданно.

Что конкретно предлагаете? Поджечь офис? Взломать тикетницу и удалить тикеты? Угрожать что мы узнаем их приватную инфу и не удалим ее?

Мы обратились в компанию за услугой, которую теперь и просим удалить данные. О каком начальстве речь вообще? Мы же не уборщицу просим втихаря удалить данные с сервера.

Наверное всё же вы обратились к конкретному человеку с этой просьбой. Ему начальство не разрешает, имел ввиду. Попробуйте эскалировать запрос повыше.

Так а как решит вопрос удаление данных в тикете, если они по идее могут сохраняться еще где-угодно?

edogs,

Несколько соображений в неформальной форме ответа ;)

1. Можно, более того - нужно, после завершения таких работ данные доступа менять. Это обязательная практика, которую просто даже можно и не упоминать.

Это решает в принципе вопросы, и вопрос доверия, и вопрос возможных взломов, в том числе и у тех у кого есть доступы и т.д.

Пример: мы также передаем периодически данные доступа как хостер некоторым компаниям-разработчикам, например, cPanel, Virtuozzo, CloudLinux. И везде красными буквами написано, что обязательно меняйте доступы. Это аксиома.

2. Касательно самого вопроса. По GDPR контроллер данных обязан удалить персональные данные по запросу. Но в Вашем случае это не персональные данные, а служебные данные для выполнения заказа. Вот смотрите, мы удалили данные, на след. день Вы пишите, на каком основании мне был выставлен такой-то счет. Или вот собственно то что Вы и написали, меня взломали, это вы виноваты. Если ничего не удалено, то есть вся история, что было сделано, почему, когда и кем на месте, то вопрос решается конкретными фактами и проверками.

На мой субъективный взгляд это в интересах клиента, чтобы он был уверен, что никто и никогда не может изменить или удалить данные запросов.

Это абсолютно ничего не решает в случае если клиент заказывает услугу проконтроллировать качество выполнения которой он не способен.

Особенно это нелепо звучит в случае если у хостера покупается ssl сертификат вместе с услугой установки его на сервер. А потом клиент типа должен пойти и сменить этот сертификат и установить на сервер свой. Для снятия вопроса с доверием.

Или допустим клиент просит в директадмине создать фтп доступ и дать ему данные. А потом клиент типа должен пойти и сменить этот доступ сам. Для снятия вопроса с доверием.

А если клиент на руткиты не проверился или типа того, то хостер тоже "неувиновен"?

Может еще и тип и версии софта предложите поменять клиенту самому, что бы информация об установленных (в ходе выполнения услуги) не утекла никуда?

Только за что клиент платил тогда, если потом должен идти и сам всё переделывать во избежание утечки. Типа - мы Вам настроим сервер, но Вы потом сходите и перепроверьте нет ли там руткитов и поменяйте все данные.

Все что от хостера нужно - добросовестно удалить не принадлежащие ему данные, которые ему больше не нужны.

Может между Вами и компаниями разработчиками это именно так, но мы в тикетнице никогда такой фразы не видели. А вот многочисленные слова об удалении приватных данных и о том что они не хранятся дольше необходимого в договорах у хостера - видели неоднократно.

И именно поэтому мы сказали что gdrp тут не особо при чем, а речь о присвоении данных клиента которые были нужны исключительно для выполнения конкретной услуги, при чем не бесплатной (пусть и недорогой) услуги, что особо цинично.

Вы не обратили внимание на три момента, подоплекой которых является тип оказываемой услуги - администрирование и установка сервера.

Во-первых, мы уже говорили, что некоторым тикетам по 10 лет. По ним претензии не предьявить при всем желании, просто по срокам давности.

Во-вторых, компания себя позиционирует как серьезная и с таким позиционированием компания могла бы и знать, что после подписания акта-приемки работ и отказа от будущих претензий любого клиента с претензиями по поводу счета можно слать лесом совершенно смело. И никому на фиг не нужно для этого знать какой логин был установлен к какой версии фтп сервера на каком ИП для какого конечного ООО.

В-третьих, тикетница никаким свидетельством фактов вообще быть не может, т.к. находится под полным контролем хостера предоставляющего услугу и он там может написать что угодно (так же как может удалить что угодно), хоть обязанность клиента танцевать голым при луне под страхом штрафа, а потом потребовать от клиента оплаты штрафа задним числом.

В интересах клиента только то, что бы выполнялись его запросы. Особенно запросы на удаление его приватных (и служебных) данных, которые нужны были исключительно во временных рамках предоставления услуги, но никак не за ее пределами.

Речь о минимизации возможного ущерба... не удаленные данные доступны кому попало начиная от штатного персонала и заканчивая мамкиными хакерами, "удаленные" хостер по крайней мере хоть как-то запрячет от этого зоопарка, т.е. шанс их утечки меньше просто потому что они будут лучше спрятаны.

Речь о шансе на их удаление.... что бы не удалить данные которые сказал что удалил - нужно быть достаточно крупным мудаком, а их меньше чем нормальных людей.

Речь о юридическом моменте... в случае утечки данных от хостера которые он заявил как удаленные, его могут и соучастником привлечь ввиду того что данные смогли утечь именно вследствии обмана клиента с его стороны, и поскольку речь не о россии, то шансы на это, хотя и призрачные, все же есть.

Обратились просто в тикетницу. Впрочем попытались попросить передать запрос выше, посмотрим - может окажутся адекватнее, хотя как по нам если клиент несколько раз высказывает просьбу и ему отказывают - то "кто-то повыше" должен сам оторвать свой зад от стула и заглянуть в тикет.