tietosuojalaista

Started by kzmx, 13.08.19 - klo:12:49

Previous topic - Next topic

kzmx

Tämä uusi tietosuojalaki tuli viime vuonna.

tuli mieleen, että kun kuitenkin osalla MLinvoicen käyttäjillä täällä on kuluttaja asiakkaitakin.

onko asiakastiedot salattu mitenkään?



Ere Maijala

MLInvoice ei oikeastaan ota kantaa siihen, miten tiedot on tallennettu. Salaukseen on useita vaihtoehtoja, mutta käytännössä voidaan käyttää data-at-rest -salaustapoja, eli tietokannassa oleva tieto on jollain tavalla salattu, mutta käytön aikana tietoja ei ole erikseen salattu. Sekä MySQL että MariaDB tukevat salausta:

https://dev.mysql.com/doc/refman/5.7/en/innodb-tablespace-encryption.html
https://mariadb.com/kb/en/library/innodb-encryption-overview/

Lisäksi on tietysti mahdollista käyttää levynsalausta. Kannattaa kuitenkin huomioida, että usein tietovuodot saavat alkunsa sovellus- tai web-palvelintason virheestä, jonka seurauksena hyökkääjä pääsee joko käsiksi tietokannan sisältöön tai pääsee palvelimelle esim. web-palvelimen käyttöoikeuksilla. Koska MLInvoice toimii samoilla oikeuksilla, pitää sen päästä käsiksi asiakastietoihin tietokannassa. Tästä johtuen hyökkääjällä olisi yhtäläiset mahdollisuudet lukea tietokannan tietoja. Toisin sanoen tietojen salauksella voidaan vaikuttaa turvallisuuteen suhteellisen vähän.

Turvallisuutta voi toki parantaa asentamalla MLInvoice paikkaan, johon ei pääse netistä. Onko tämä käytännöllistä, riippuu käyttötapauksesta. Olennaista joka tapauksessa on, että käyttö tapahtuu suojatulla yhteydellä (HTTPS, VPN jne.).