AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Datenbanken Delphi Daten und Datenschutz
Thema durchsuchen
Ansicht
Themen-Optionen

Daten und Datenschutz

Ein Thema von Lemmy · begonnen am 28. Feb 2013 · letzter Beitrag vom 28. Feb 2013
Antwort Antwort
Lemmy

Registriert seit: 8. Jun 2002
Ort: Berglen
2.380 Beiträge
 
Delphi 10.3 Rio
 
#1

Daten und Datenschutz

  Alt 28. Feb 2013, 11:40
Datenbank: allgemein • Version: 1 • Zugriff über: nix
Hallo,

ich setze zwar Firebird ein, aber mir geht es auch um das grundsätzliche Thema des Datenschutzes. Und da es um Daten/Datenbanken geht auch hier und nicht wo anders (ich habe schlicht keinen sinnvolleren Bereich gefunden).

Nehmen wir mal an, ein Softwareunternehmen stellt eine CRM-Software her. Diese wird von deren Kunden eingesetzt. Nun bietet das Softwareunternehmen auch Support per Fernwartung an, d.h. ein Mitarbeiter des Softwareherstellers schaut auf den Rechner des Kunden und sieht dessen verwaltete Daten (Name, Anschrift - also personenbezogene Daten), die sie eigentlich nicht sehen dürfte - oder gehen wir einen Schritt weiter: Es gibt einen Fehler und das Softwareunternehmen holt sich ein Backup des Datenbestandes zu sich um den Fehler effizient zu beheben.

Die Datenschutzbeauftragten in beiden Unternehmen bekommen spätestens hier graue Haare. Wie kann man so was sinnvoll vermeiden bzw. dem Datenschutz gerecht werden?

1. optionale Verschlüsselung: Wenn der Support per Fernwartung auf den Kundenrechner schaut, hat der Kunde die Möglichkeit Namen und Adressen über die eingesetzte Software zu verschlüsseln, so dass der Supporter hier nichts erkennen kann (also im Menü ne Funktion aufrufen "Alle personenbezogene Daten verschlüsseln" und wenn der Supporter wieder weg ist auf die nächste Funktion "Verschlüsselung wieder aufheben"). Das wäre ne reine Softwarefunktion, d.h. wenn der Supporter (weil er es halt muss) per SQL-Client auf die DB zugreift könnte er wieder die Klartexte lesen, wäre aber recht einfach umzusetzen.

2. personenbezogene Daten verschlüsselt in der DB speichern: Name und Anschrift werden in der DB verschlüsselt gespeichert und durch die eigentliche Software entschlüsselt und angezeigt. Wie schaut es aber dann mit der Performance (Suche) aus? Und dann das beste: Was passiert, wenn der Kunde das Passwort für die Verschlüsselung verliert? Ein Masterpasswort beim Softwarehersteller im Safe und schon ist der Datenschutzbeauftragte dem Herzinfarkt nahe...

Ich kann mir jetzt nicht vorstellen, dass ich der erste bin der das Problem hat. Bin an allem interessiert: allgemeine Vorgehensweise; vorhandene Tools, Patterns; vorhandene oder geplante Features in Firebird.

Grüße
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.858 Beiträge
 
Delphi 11 Alexandria
 
#2

AW: Daten und Datenschutz

  Alt 28. Feb 2013, 11:51
Die Verschlüsselung müsste auf Datenbankebene erfolgen, um eine inhaltsgesteuerte Suche (performant) zu ermöglichen.
Dies war ein Feature von Vulcan und soll eines von FB3 werden. Die Version 3 lässt aber ja seit Jahren auf sich warten.
http://www.firebirdsql.org/en/roadmap/
Markus Kinzler
  Mit Zitat antworten Zitat
tsteinmaurer

Registriert seit: 8. Sep 2008
Ort: Linz, Österreich
530 Beiträge
 
#3

AW: Daten und Datenschutz

  Alt 28. Feb 2013, 12:21
Was ist, wenn der Support sensible Daten zur Lösungsfindung benötigt? Ob es technisch Sinn macht bzw. in einem vertretbaren Aufwand lösbar ist, bezweifle ich mal.

Ich würde hier eher einen anderen, nicht-technischen Weg gehen:

1) NDA zwischen Softwarehersteller und Kunden
2) Transport von sensiblen Daten nur über einen Weg, der es Dritten nicht erlaubt, Einsicht zu bekommen (VPN, SSL, Einschreiben ...)
3) Mitarbeiter eines Softwarehersteller haben in der Regel eine Geheimhaltungsklausel im Arbeitsvertrag
  Mit Zitat antworten Zitat
Lemmy

Registriert seit: 8. Jun 2002
Ort: Berglen
2.380 Beiträge
 
Delphi 10.3 Rio
 
#4

AW: Daten und Datenschutz

  Alt 28. Feb 2013, 13:02
Danke für eure Antworten...

Was ist, wenn der Support sensible Daten zur Lösungsfindung benötigt? Ob es technisch Sinn macht bzw. in einem vertretbaren Aufwand lösbar ist, bezweifle ich mal.
ist sicherlich auch noch ein Punkt

Ich würde hier eher einen anderen, nicht-technischen Weg gehen:
wäre mir auch am liebsten - wäre der geringste Aufwand und nicht mit Zusatzprogrammierung verbunden die noch mehr Fehlerquellen in sich birgt

Die Verschlüsselung müsste auf Datenbankebene erfolgen, um eine inhaltsgesteuerte Suche (performant) zu ermöglichen.
Dies war ein Feature von Vulcan und soll eines von FB3 werden.
weißt Du da mehr darüber als in der Roadmap steht? leider werden da nur "Security enhancements" aufgeführt aber nichts weiter dazu geschrieben.
  Mit Zitat antworten Zitat
tsteinmaurer

Registriert seit: 8. Sep 2008
Ort: Linz, Österreich
530 Beiträge
 
#5

AW: Daten und Datenschutz

  Alt 28. Feb 2013, 14:04
Datenbank und Over-The-Wire Encryption ist in Firebird 3 Trunk eingecheckt und sollte somit in den täglichen Pre-Alpha Snapshots verfügbar sein. Leider gibt es aber dazu noch überhaupt keine Doku, d.h. schwer einsetzbar. Da aber noch einiges an Zeit vergehen wird, bis 3.0 verfügbar ist, solltest du eh in eine andere Richtung überlegen.
  Mit Zitat antworten Zitat
Benutzerbild von Uwe Raabe
Uwe Raabe

Registriert seit: 20. Jan 2006
Ort: Lübbecke
11.453 Beiträge
 
Delphi 12 Athens
 
#6

AW: Daten und Datenschutz

  Alt 28. Feb 2013, 14:48
Der nicht-technische Weg ist in jedem Fall vorzuziehen, da er gegenüber Nicht-Technikern leichter beweisbar ist. Einem Juristen genügt in der Regel ein Papier auf dem jemand unterschrieben hat, daß der Datenschutz, in welcher Art und Weise auch immer, eingehalten wird.

Das bedeutet ja nur, daß lediglich dazu befugte Personen auf die Daten zugreifen können. Im einfachsten Fall macht man die zugreifenden Personen per Dekret einfach zu befugten Personen. Das ist ein allgemein anerkanntes und oft praktiziertes Verfahren.
Uwe Raabe
Certified Delphi Master Developer
Embarcadero MVP
Blog: The Art of Delphi Programming
  Mit Zitat antworten Zitat
Furtbichler
(Gast)

n/a Beiträge
 
#7

AW: Daten und Datenschutz

  Alt 28. Feb 2013, 15:31
Ich habe das auch so (NDA) jahrelang praktiziert. Ganz selten musste ich bestimmte Arbeiten aus diesen Gründen beim Kunden durchführen. Selbst VPN war nicht durchzusetzen. So ein Tapetenwechsel ist aber auch ganz angenehm, manchmal.
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 04:40 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz