ftp server | kun upload | iht Datatilsynet

[Trikrin]

Hei!

 

Har en avdeling som får inn forskjellige brukere på forskjellige tidspunkt.

 

Da følger det gjerne dokumentasjon for den enkelte bruker med. Dette skjer fra forskjellige hold, og gjerne enten på papir, eller usb-minnepenn. Da vi ikke har kontroll på minnepenner fra andre steder av landet, er det ikke tillatt med minnepenn. Da gjenstår det opplysninger om brukeren per papir. Dette er kjedelig for den det måtte angå for det må altså skrives inn på nytt i vårt system.

 

Det jeg tenkte på var å sette opp en FTP-server med kun upload-tilgang for de forskjellige avdelingene som skal laste opp dokumenter. Ingen har lesetilgang, men kun lov å uploade dokumenter.

 

En gang i døgnet går det en jobb som henter ned dokumentene fra FTP-serveren, og legger den på et designert område på serveren som avdelingen har tilgang til.

 

Så er spørsmålene følgende:

 

Hvordan blir denne håndteringen av personsensitive opplysninger i henhold til Datatilsynet?

Er det vanskelig å få til? Er det noen som har gjort det på denne måten før?

Erfaringer? Anbefalinger?

[siDDis]

Du vil ikkje bruke FTP, du vil bruke enten SFTP eller FTPS. Maskina det skal lagres på bør også vere krypert sånn at ingen kan stikke av med maskina og hente ut data.

[Trikrin]

Hei!

 

Takk for svar. Ja, det blir selvfølgelig SFTP. Serveren som henter ned dokumenter fra FTP-serveren er virtuell, og det samme vil gjelde FTP-serveren.

[Emancipate]

Da vi ikke har kontroll på minnepenner fra andre steder av landet

Det har vel ingenting med saken å gjøre hvilken del av landet en minnepinne har vært i? Endret 17. desember 2010 av tsg1zzn

[Trikrin]

Da vi ikke har kontroll på minnepenner fra andre steder av landet

Det har vel ingenting med saken å gjøre hvilken del av landet en minnepinne har vært i?

 

Er det ikke litt flisespikkeri fra din side?

 

Men, for å gjøre det godt igjen... Let me reprase:

 

"Da vi ikke har kontroll på minnepenner som brukes på andre steder, ei heller hvilken security policy de har, eller hva de har blitt brukt til."

 

*Beklager* at jeg var litt uklar i min uttalelse. Mente selvfølgelig å si at jeg ikke kan akseptere at minnepenner fra andre steder med uklare sikkerhets-regler blir koblet ukritisk inn i bedriftens nettverk.

 

Bedre?

[Emancipate]

Da vi ikke har kontroll på minnepenner fra andre steder av landet

Det har vel ingenting med saken å gjøre hvilken del av landet en minnepinne har vært i?

 

Er det ikke litt flisespikkeri fra din side?

 

Men, for å gjøre det godt igjen... Let me reprase:

 

"Da vi ikke har kontroll på minnepenner som brukes på andre steder, ei heller hvilken security policy de har, eller hva de har blitt brukt til."

 

*Beklager* at jeg var litt uklar i min uttalelse. Mente selvfølgelig å si at jeg ikke kan akseptere at minnepenner fra andre steder med uklare sikkerhets-regler blir koblet ukritisk inn i bedriftens nettverk.

 

Bedre?

Det er ingen forskjell på å tillate filer fra minnepenner og å tillate filer opplastet via ftp.

[Trikrin]

Det er bedre i forhold til at du sannsynligvis sitter i en annen bedrifts nettverk, og sannsynligvis er omgitt av brannmur, antivirus og andre sikkerhetsløsninger.

 

Det er en kjensgjerning at minnepenner gjerne blir puttet i alle mulig slags maskiner, gjerne inkludert de hjemme.

 

Hvis du sitter i en annen bedrifts nettverk med de sikkerhetsrutiner som sannsynligvis foreligger, kan du starte en sesjon direkte fra pc-en med f.eks et Word-dokument.

 

Noen andre kommentarer, innvendinger og forslag?

 

Noen som kan si noe om hvordan dette blir i forhold til datatilsynet?

[petterg]

Hvorfor ikke lage en webside med innlogging og filopplasting? (på https selvsagt) Da kan du også lage kviteringssystem, at avsender får se at overføringen var vellykket, antal byte lastet opp, osv.

Ulempen med sftp er at brukeren må installere et program. I diverse bedriftsnett må IT-avdelingen ut på jobb for å gjøre dette. Slikt blir lite populært.