Skocz do zawartości
MAcroManiak

Bezpieczeństwo danych na hostingu

Polecane posty

Witam,

po bardzo długim czasie biernego uczestnictwa na forum WebHostingTalk postanowiłem zadać moje pierwsze pytanie. To mój pierwszy post, chciałbym się więc ze wszystkimi przywitać:lol:

 

Moje pytanie dotyczy bezpieczeństwa danych z punktu widzenia ich wycieku od usługodawcy hostingu. Wiem, że to śliski temat.

Admini mają dostęp do wszystkich danych, które zawarte są na serwerach, którymi się opiekują. Czy są regulacje mówiące o konsekwencjach wycieku danych, w przypadku, gdy wyciek ma źródło w serwerowni/u hostingowca?

 

Dla przykładu: chcę odpłatnie oferować konta w systemie, który m.in. przechowywać będzie informacje na temat finansów klientów (ich wewnętrznych, oni sami będą takie informacje wprowadzali do systemu). Dla działania systemu muszę wykupić usługę hostingową. Byłoby "bardzo niewskazane", aby informacje te ujrzały jakkolwiek światło dzienne, więc jak się przed tym bronić (prawnie), jak się zabezpieczyć, jak podejść do tego tematu?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Z tego co wiem to admin hostingu nie ma prawa zajrzeć do twojej bazy danych, plików itp. Zainwestuj lepiej w vpsa a będziesz mniej narażony na ataki od strony innych użytkowników hostingu  :lol:

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Z tego co wiem to admin hostingu nie ma prawa zajrzeć do twojej bazy danych, plików itp.

 

Na jakiej podstawie prawnej opierasz swoje przekonanie?

 

Zainwestuj lepiej w vpsa a będziesz mniej narażony na ataki od strony innych użytkowników hostingu  :lol:

 

Dziwne, ja bym powiedział że bardziej.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Czy są regulacje mówiące o konsekwencjach wycieku danych, w przypadku, gdy wyciek ma źródło w serwerowni/u hostingowca?

Nawet jeżeli takie regulacje istnieją, to miałbyś ogromne problemy z udowodnieniem źródła wycieku.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Moje pytanie dotyczy bezpieczeństwa danych z punktu widzenia ich wycieku od usługodawcy hostingu. Wiem, że to śliski temat.

Admini mają dostęp do wszystkich danych, które zawarte są na serwerach, którymi się opiekują. Czy są regulacje mówiące o konsekwencjach wycieku danych, w przypadku, gdy wyciek ma źródło w serwerowni/u hostingowca?

Jako administrator w tego typu firmach zajmujący się tym od lat, odpowiem Ci tak.

Na codzień mam tyle pracy, a jak nic się nie dzieje, to są przecież ciekawsze zajęcia,

że naprawdę to co klienci trzymają na kontach mnie zupełnie nie obchodzi.

Nie pamiętam sytuacji w której powodowany ciekawością zacząłem szperać po public_html'ach.

Dla mnie i podejrzewam większości osób, dane klientów to są tylko ciągi bajtów. Totalna znieczulica.

Inna sprawa, że mając wgląd do kilkunastu tysięcy kont hostingowych,

nie da się tego zwyczajnie przejrzeć.

 

Dla przykładu: chcę odpłatnie oferować konta w systemie, który m.in. przechowywać będzie informacje na temat finansów klientów (ich wewnętrznych, oni sami będą takie informacje wprowadzali do systemu). Dla działania systemu muszę wykupić usługę hostingową. Byłoby "bardzo niewskazane", aby informacje te ujrzały jakkolwiek światło dzienne, więc jak się przed tym bronić (prawnie), jak się zabezpieczyć, jak podejść do tego tematu?

Kup sobie serwer dedykowany, a na zwykłym sharedzie możesz szyfrować dane w MySQLu, zaś config.inc.php potraktować encoderem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kopaczka

Na jakiej podstawie prawnej opierasz swoje przekonanie?

 

 

 

Dziwne, ja bym powiedział że bardziej.

 

Chyba u pana bardziej ;)

VPS jest bezpieczniejszy od serwerów współdzielonych gdzie 300 osób ma konto na serwerze a na vpsie ma tylko właściciel.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

VPS jest bezpieczniejszy od serwerów współdzielonych gdzie 300 osób ma konto na serwerze a na vpsie ma tylko właściciel.

1) Porządny (porządnie skonfigurowany) serwer współdzielony (nie mylić z tym za 10zł/rok ;) ) będzie na pewno bezpieczniejszy od VPS - bo jest zazwyczaj znacznie bardziej monitorowany, także pod względem parametrów fizycznych - czego w VPS nie zrobisz.

2) Każdy z systemów wirtualizacyjnych pozwala, mając uprawnienia administracyjne maszyny-hosta, na wgląd w wirtualny system plików childa.

 

Więc pisanie, że to vps jest bezpieczniejszy, to wielkie brednie i mija się to z celem

Bo ani tu nie można monitorować fizycznych parametrów - choćby smartctl dysków, ani też i softwareowej - nie zapewnia ochrony przed odczytaniem dysku przez żądnego wiedzy admina firmy, w której owego VPS mamy. Chyba, że mu zaszyfrujemy owy wirtualny dysk. Ale na to zarówno najpopularniejszy OpenVZ jak i podstawowy Xen to nie za bardzo pozwala.

A dochodzi tu ryzyko - że ktoś po prostu włamie się na owego vpsa przez jego niedbałą konfigurację - dużo tu firm, które oferują wstępne ustawienia, polegające zazwyczaj na ./setup.sh panelu i ewentualne zassanie niektórych configów z serwera provisioningowego. A potem mówią - martw się kliencie sam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
VPS jest bezpieczniejszy od serwerów współdzielonych gdzie 300 osób ma konto na serwerze a na vpsie ma tylko właściciel.
Tyle tylko, że w ogromnej większości przypadków maszyna hostingowa jest jako-tako zabezpieczona, natomiast VPS nie jest wcale.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki za informacje. Dzwoniłem dzisiaj do jednego z hostingowców i dowiedziałem się, że takie rzeczy jak dane osobowe (oczywiście serwis też by takie dane przechowywał - właściciele kont tego serwisu przechowywaliby informacje o swoich kontrahentach) nie mogą być, wg zaleceń GIODO, przechowywane na serwerze wirtualnym, a na VPS właśnie. Czy coś na ten temat wiecie? Chciałbym ruszyć z tematem i oferować już ten system większemu gronu odbiorców, ale boję się regulacji prawnych i wycieków danych właśnie...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Chyba u pana bardziej ;)

VPS jest bezpieczniejszy od serwerów współdzielonych gdzie 300 osób ma konto na serwerze a na vpsie ma tylko właściciel.

 

Serwery hostingowe są zabezpieczone (pomijam tutaj "hostingi" w stylu "kupilim Direct Admina, zainstalowalim na starym komputerze ojca z biura i sprzedajemy konta") w o wiele lepszym stopniu niż zwykły VPS z tego względu że zajmuje się tym jakiś administrator. VPS-em zazwyczaj zajmuje się klient który na zabezpieczeniach zna się gorzej lub lepiej (zazwyczaj gorzej) a często wziął VPS-a tylko dlatego że wszyscy mówią że jest lepszy i przecież go stać. Takie serwery zazywczaj mają wszystko na domyślnych ustawieniach, odpalone niepotrzebne usługi (bo są w ofercie) nie pozabezpieczane porty żeby klient nie trzeszczał że mu coś tam nie działa i jak zainstalowane tak działają bez żadnych aktualizacji przez resztę życia, bo nikt nie przejmuje się tam jakimś poprawkami bezpieczeństwa.

 

To czy jest tam jedno konto, czy trzysta dla potencjalnego intruza nie ma najmniejszego znacznia - on i tak zazwyczaj nie potrzebuje żadnego konta użytkownika żeby wleźć na dziurawy serwer.

 

Dzięki za informacje. Dzwoniłem dzisiaj do jednego z hostingowców i dowiedziałem się, że takie rzeczy jak dane osobowe (oczywiście serwis też by takie dane przechowywał - właściciele kont tego serwisu przechowywaliby informacje o swoich kontrahentach) nie mogą być, wg zaleceń GIODO, przechowywane na serwerze wirtualnym, a na VPS właśnie. Czy coś na ten temat wiecie? Chciałbym ruszyć z tematem i oferować już ten system większemu gronu odbiorców, ale boję się regulacji prawnych i wycieków danych właśnie...

 

Nie pytaj o takie rzeczy hostingodawców, bo to jakbyś pytał sprzedawcy w sklepie z telewizorami o podstawy prawne przydziału częstotliwości w Polsce.

 

Masz tu akty prawne, bez przeczytania się nie obejdzie:

http://www.giodo.gov.pl/144/j/pl/

 

A przede wszystkim przeczytaj ustawę o ochronie danych osobowych:

http://www.giodo.gov.pl/plik/id_p/473/j/pl/

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie miałem się kogo poradzić, więc ryzykancko zadzwoniłem do hostingowca z pytaniem, ciekawy byłem odpowiedzi:) Dzięki guziec za porównania hostingu współdzielonego i wirtualnego. Sam już nie wiem który wybrać (szczerze mówiąc, to cały czas myślałem nad współdzielonym, ponieważ wprowadzany przeze mnie system nie potrzebuje stabilności zapewnianej przez VPSa) - ale cały czas myślę o współdzielonym.

 

Zabieram się za czytanie wytycznych GIODO.

 

A co myśli reszta? Gdzie lepiej z danymi klientów, shared czy vps?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

jeżeli Twoja baza nie potrzebuje wytycznych giodo to bierz jakikolwiek hosting który już jakiś czas działa,

tak jak napisał Bell, komu z adminów hostingów chciało by się przeglądać ileś tysięcy stron/plików ?

jeżeli dane wyciekną to 99,99% nie wykradł je admin tylko dziura w skryptach, wirus na kompie etc..

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Z tego co się orientuję, to wg GIODO nawet adres e-mail jest daną osobową i jego przetrzymywanie w książce adresowej bez dbałości o bezpieczeństwo (pomijam już zabezpieczenia systemowe), czyli serwer dedykowany w bunkrze 100 metrów pod powierzchnią, wsadzony w klatkę i przypięty łańcuchami nie da Ci 100% pewności, że GIODO będzie ukontentowane.

Wsadzanie danych finansowych klientów na hosting współdzielony nie jest najlepszym pomysłem i może Ci przysporzyć niemałych problemów.

Wg mnie jedynym wyjściem jest dedyk albo vps z shellami i sslami.

 

Pozdrawiam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

moje skromne zdanie w tym przypadku jest takie ze, zakladajac ze to co robisz/planujesz robic ma Ci przynosic zyski i ma byc zrobione z glowa - musisz w to zainwestowac - najsensowniejszym jest zrealizowanie tego na serwerze dedykowanym bo tylko wtedy bedziesz mial 100% *gwarancje ze zadne informacje nie wyciekna

 

 

*(pomijajac wlamanie) gdybys sam tym zarzadzal, zakladam jednak ze bierzesz pod uwage wynajecie administratora, a to zawsze dodatkowa osoba, ktora ma wglad w te dane - rownie dobrze mozna ja porownac do admina z shared/vps, ma taki sam dostep do danych...

 

podszedlbym do tego biznesowo raczej - ile mozesz zarobic -> na podstawie tego stworzyc odpowowiednie umowy z zatrudnionym administratorem sytemu, reasumujac - im wieksza kasa tym bardziej restykcyjna umowe jestes w stanie zaproponowac...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
moje skromne zdanie w tym przypadku jest takie ze, zakladajac ze to co robisz/planujesz robic ma Ci przynosic zyski i ma byc zrobione z glowa - musisz w to zainwestowac - najsensowniejszym jest zrealizowanie tego na serwerze dedykowanym bo tylko wtedy bedziesz mial 100% *gwarancje ze zadne informacje nie wyciekna

...o ile dysk będzie zaszyfrowany, w przeciwnym wypadku osoba, która dostanie serwer dedykowany lub dysk po Tobie, może dostać też Twoje dane :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×