Vlákno názorů ke zprávičce Třetina českých e-shopů má bezpečnostní problémy od Bleble - Celý ten článek je jen PR nějakého pána,...

Celý ten článek je jen PR nějakého pána, co si říká bezpečnostní expert. Posuzuje tam i naprosto nepodstatné věci, které nemají s bezpečností nic moc společného a při jejich implementaci může dojít k omezení funkčnosti u spousty zákazníků. A eshop je od toho aby prodával a ne vysvětloval lidem, že si mají koupit nové PC, vystudovat IT obor a korektně si nastavit systém.

Dále k příspěvkům ohledně zasílání hesla na email. Nevidím v tom žádný problém. Pokud si dá někdo na eshop heslo, které má i k nějaké důležité službě, tak je prostě hlupák. Naopak spoustu zákazníků ocení, že heslo si při opakovaném nákupu najde v emailu a nemusí řešit reset hesla atd.

K příspěvkům ohledně osobních údajů. Eshop musí znát fakturační a dodací údaje a uchovávat je 5 až 10 let a říkají to zákony o účetnictví a o DPH, kdy jste povinni uchovávat doklady a není to v rozporu s GDPR. A celé právo na výmaz je nesmysl, jelikož musíte zaevidovat žádost o výmaz společně s údaji, které vymažete. Takže je na jedné straně vymažete a jinde zase zavedete.

K příspěvkům ohledně osobních údajů. Eshop musí znát fakturační a dodací údaje a uchovávat je 5 až 10 let a říkají to zákony o účetnictví a o DPH, kdy jste povinni uchovávat doklady a není to v rozporu s GDPR.

Absolutně nemusíte. Doklad může být bez jména a naopak si tím zjednodušíte ochranu údajů v účetnictví. Jediným případem, kdy opravdu musíte uchovávat údaje jsou případy, kdy je kupec plátce DPH a vyžaduje vyplněný daňový doklad kvůli svému účetnictví. Pak musíte údaje vyplnit a uchovávat. Ale ani ty nemusíte uchovávat na e-shopu, stačí odděleně v účetnictví.

Nic Vám tedy nebrání provozovat e-shop, který vystavuje faktury bez jména a to doplníte jen na vyžádání. Stejně fungují i kamenné prodejny (IKEA, Datart, ...), tam také nakoupíte klidně za 100 tis. Kč a na účtence jméno nemáte, dokud o to nepožádáte. Jakmile balík odešlete, je ve Vašem (oprávněném) zájmu trackovat balík a uchovat si informace po dobu půl roku, kdy platí zákonná fikce odpovědnosti dodavatele. Po půl roce můžete smazat i ty, protože pak už je břemeno prokazování na straně zákazníka.

Pokud někdo tvrdí, že uchovávat údaje je oprávněný zájem podle GDPR a odkazuje se na zákon o účetnictví a DPH, pak je to chybný výklad. Oprávněný zájem je pouze po tu dobu, co jsem psal o odstavec výše a v případech daňových dokladů s vyplněným odběratelem.

Nedělejte z té problematiky větší vědu, než je.

Na toto se obtížně reaguje, je to takový mix pravdy s totálními nesmysly.

Takže jen krátce, uvádíte kamenné obchody, které by Vám u vchodu nejraději zavedli podkožní čip, aby mohly shromažďovat Vaše zájmy, takže jestli máte na účtence jméno nebo ne je vedlejší.

Představte si obsluhovat systém, kde v objednávce máte pouze doručovací údaje, objednávka na eshopu se po přenosu do dalšího systému očistí od doručovacích údajů a eshop je bude volat zpět pokaždé, kdy zákazník vleze do historie, v dalším systému pro dopravce zůstanou ty doručovací údaje s odkazem na číslo objednávky. Tam se smažou za půl roku. A za rok bude chtít ten dotyčný zákazník zboží reklamovat. Ne, tohle prostě nemůže reálně fungovat, asi jste nikdy pro žádný eshop nedělal, že ne? Nebo co když řidič doručovací služby zdrhne s dobírkovným nebo zákazník odvolá platbu kartou, jak budete řešit tohle, když ani nevíte, kdo zboží kupoval?

objednávka na eshopu se po přenosu do dalšího systému očistí od doručovacích údajů a eshop je bude volat zpět pokaždé, kdy zákazník vleze do historie

Nic Vám nebrání mít zákaznickou zónu, kde uvidíte objednávky i historii, ale nemusí tam být jediný údaj o zákazníkovi. Třeba zákazníci, co vždy vyzvedávají zboží osobně. Dokonce Vám nic nebrání nabídnout zákazníkovi i uchovávání údajů, pokud o to stojí a dokud o to stojí.

A za rok bude chtít ten dotyčný zákazník zboží reklamovat.

K reklamaci potřebujete na účtence mít jméno? Já tedy v obchodech reklamuji s obyčejným paragonem a není na překážku, že tam jméno není. E-shop pro vyřízení reklamace taky nepotřebuje vidět doklad se jménem - ostatně v praxi často eshopy řeší reklamaci s účtenkou na jiné jméno (dary, prodané zboží, ...).

Nebo co když řidič doručovací služby zdrhne s dobírkovným nebo zákazník odvolá platbu kartou, jak budete řešit tohle, když ani nevíte, kdo zboží kupoval?

Řidič doručovací služby je problém té doručovací služby. Oni od vás převzali k přepravě balík na dobírku a musí Vám vrátit buďto balík, nebo poslat doběrečné. Jakou roli v tom hrají údaje o zákazníkovi?

V kamenném krámě vracíte peníze zákazníkovi, o kterém taky nevíte zhola nic. Prostě přijde vrátit zboží a vy mu dáte peníze (nebo pošlete na kartu). Pokud je to potřeba pro doklad o převzetí peněz (kvitanci), mohou být tyto údaje jen na tom dokladu, ale nemusíte už k tomu mít párovaný doklad o koupi (příklad: v Hornbachu vracím zboží. Na vratku chtějí znát moje jméno - aby věděli, komu vydali peníze. Ale vůbec netuší, jestli jsem to já, kdo zboží kupoval - není to totiž k ničemu).

Bohužel e-shopy historicky vymýšleli a dodnes vymýšlejí ajťáci, kteří mají rádi vše propojitelné, kategorizovatelné, a vůbec je nenapadne, že to často není potřeba. Viz Vaše příklady, které mají v reálném (ne-digitálním) světě svoje analogie, které fungují zcela jinak.

30. 1. 2020, 20:00 editováno autorem komentáře

Posuzuje tam i naprosto nepodstatné věci, které nemají s bezpečností nic moc společného a při jejich implementaci může dojít k omezení funkčnosti u spousty zákazníků

Něco konkrétního? Jsem si vědom pouze HTTP/2, to jsem testoval, protože se to přímo nabízelo u obecného testu HTTPS a protože mě to osobně zajímalo. Ano je tam i pár dalších věcí, které nemusí znamenat přímé ohrožení - třeba volně přístupné statistiky návštěvnosti z access logů - ty patří do kategorie věcí, které nebyly zamýšlené jako veřejně přístupné, ale chybou se tak staly.

Ukládat heslo v databázi v plaintextu je na pokutu za GDPR, je to zanedbání ochrany osobních údajů

To máte naprostou pravdu, také o ukládání hesel v plaintextu jsem nenapsal ani slovo. ;)

Opravdu? Všechny ostatní údaje mimo hesla v databázi musí být v otevřeném tvaru – přičemž pokud je uživatel rozumný, heslo je jediný z těch údajů, který je úplně nezajímavý, protože je to unikátní klíč pouze pro daný web.