MayaLabs Discussion Area

Suomeksi (Finnish only) => MLInvoiceen liittyvä keskustelu => Topic started by: kzmx on 13.08.19 - klo:12:49

Title: tietosuojalaista
Post by: kzmx on 13.08.19 - klo:12:49
Tämä uusi tietosuojalaki tuli viime vuonna.

tuli mieleen, että kun kuitenkin osalla MLinvoicen käyttäjillä täällä on kuluttaja asiakkaitakin.

onko asiakastiedot salattu mitenkään?


Title: Re: tietosuojalaista
Post by: Ere Maijala on 15.08.19 - klo:00:05
MLInvoice ei oikeastaan ota kantaa siihen, miten tiedot on tallennettu. Salaukseen on useita vaihtoehtoja, mutta käytännössä voidaan käyttää data-at-rest -salaustapoja, eli tietokannassa oleva tieto on jollain tavalla salattu, mutta käytön aikana tietoja ei ole erikseen salattu. Sekä MySQL että MariaDB tukevat salausta:

https://dev.mysql.com/doc/refman/5.7/en/innodb-tablespace-encryption.html
https://mariadb.com/kb/en/library/innodb-encryption-overview/

Lisäksi on tietysti mahdollista käyttää levynsalausta. Kannattaa kuitenkin huomioida, että usein tietovuodot saavat alkunsa sovellus- tai web-palvelintason virheestä, jonka seurauksena hyökkääjä pääsee joko käsiksi tietokannan sisältöön tai pääsee palvelimelle esim. web-palvelimen käyttöoikeuksilla. Koska MLInvoice toimii samoilla oikeuksilla, pitää sen päästä käsiksi asiakastietoihin tietokannassa. Tästä johtuen hyökkääjällä olisi yhtäläiset mahdollisuudet lukea tietokannan tietoja. Toisin sanoen tietojen salauksella voidaan vaikuttaa turvallisuuteen suhteellisen vähän.

Turvallisuutta voi toki parantaa asentamalla MLInvoice paikkaan, johon ei pääse netistä. Onko tämä käytännöllistä, riippuu käyttötapauksesta. Olennaista joka tapauksessa on, että käyttö tapahtuu suojatulla yhteydellä (HTTPS, VPN jne.).