Informativa sulla privacy e disclaimer

Area di discussione libera.

Moderatore: Staff

Regole del forum
1) Rispettare le idee altrui.
2) Evitare le offese dirette.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5441
Iscritto il: ven 2 giu 2006, 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Informativa sulla privacy e disclaimer

Messaggio da ZeroUno »

Ciao.

Ho fatto un webservices (che per ora non anticipo) che voglio mettere a disposizione della comunità slackware.
Il ws prende in input dei parametri e genera un output relativo.

Le query sono inviabili - a piacere - in GET o in POST.
Il ws è basato su apache quindi viene loggato l'access_log con le query se è in get o il solo url se è in post.
Normalmente se uno fa un sitarello non specifica questa cosa, ma data la riluttanza che potrebbero avere
alcuni a trasferire dati potenzialmente sensibili (niente dati personali in quanto non c'è autenticazione al
servizio né deve elaborare anagrafiche) voglio essere più trasparente possibile, quindi voglio aggiungere una
informativa sulla privacy e un disclaimer sull'uso del servizio. Ma non sono esperto in questa materia.

Ho buttato giù questo testo (che poi dovrò tradurre in inglese):

Codice: Seleziona tutto

PRIVACY INFORMATION
   I parametri delle ricerche inviati in metodo POST non vengono memorizzati
   in nessuna base dati sul server e quindi non utilizzati per alcun fine ulteriore
   a quello previsto per l'erogazione dei risultati. Se i dati vengono inviati in
   metodo GET viene memorizzata la request http.
   In NESSUN caso i dati vengono utilizzati per profilare il servizio o qualunque
   altra attività al di fuori di quelle statistiche previo anonimizzazione dei
   dati sensibili.

DISCLAIMER
   L'accuratezza dei risultati non è garantita. Effettuare un uso
   consapevole del servizio. Non abusare del servizio.
Le query si possono fare con una semplice curl o con un client che fornirò basato su curl. Nel caso di invio da client posso fare una informativa ridotta visto che i dati vengono inviati solamente in post

Secondo voi si capisce/è sufficiente?

Codice: Seleziona tutto

PRIVACY INFORMATION
    The search parameters sent in the POST method are not stored
    in any database on the server and therefore not used for any further purpose
    to that envisaged for the delivery of results. If the data is sent in
    GET method stores the http request.
    In NO case the data are used to profile the service or any
    other activity outside those statistics after anonymisation of the
    sensitive data.

DISCLAIMER
    The accuracy of the information is not guaranteed. Make a use
    aware of the service. Don't abuse the service.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

gian_d
Linux 3.x
Linux 3.x
Messaggi: 654
Iscritto il: mer 16 lug 2014, 17:35
Nome Cognome: Giancarlo Dessì
Slackware: 64 current
Kernel: 6.6.xx
Desktop: KDE 5.27
Località: Sardinia
Contatta:

Re: Informativa sulla privacy e disclaimer

Messaggio da gian_d »

Non ho capito in quale modo un servizio del genere potrebbe acquisire in modo permanente dati potenzialmente sensibili al di là dell'indirizzo IP o altri parametri dell'intestazione http che, in condizioni ordinarie, si perdono con la chiusura dell'istanza o della sessione. L'unica possibilità, se ho ben capito, è che la registrazione permanente di una URL che include una query inviata con metodo GET possa includere un dato sensibile inviato a scelta del visitatore. Forse questo si potrebbe evincere sapendo di più sul carattere del servizio.

Faccio un esempio (che magari non c'entra niente): supponiamo che il servizio generi un output correlato ad un dato sensibile. Ad esempio, l'utente inserisce nella query il proprio codice fiscale perché un algoritmo produce un output differente a seconda del codice fiscale. Se questo input viene acquisito con metodo GET, il parametro dovrebbe restare incluso nella query dell'URL e restare quindi registrato.
In questo caso, anche se l'invio del dato è conseguente ad una scelta consapevole dell'utente, credo che ai sensi del regolamento UE 679/2016 non sia sufficiente l'informativa, ma debba essere acquisito anche il consenso esplicito dell'utente. Magari nel disclaimer potresti mettere l'indicazione chiara che l'invio consapevole di eventuali dati sensibili nella request si configura in un consenso al trattamento di questi dati.

Al di là di questo dubbio, in ogni caso l'informativa dovrebbe essere formulata secondo gli standard previsti dal regolamento. Alcuni anni fa un socio del mio LUG che si occupa di queste tematiche (in quanto avvocato) suggerì di usare come modello l'informativa che è riportata sul sito del garante per la privacy, ovviamente riadattata in funzione del contesto specifico. Io ho fatto una cosa del genere per il mio sito, che non fa alcun uso di cookie (neppure tecnici), non acquisisce dati sensibili/personali e tanto meno esegue profilazioni. Se può esserti d'aiuto trovi il mio riadattamento qui: https://www.giand.it/info/?s=privacy

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5441
Iscritto il: ven 2 giu 2006, 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: Informativa sulla privacy e disclaimer

Messaggio da ZeroUno »

Non volevo anticiparlo perchè non è pronto e sono anni che lo penso e non l'ho mai fatto :)
E' una cli per slakfinder.org ancora in fase di sviluppo ma già utilizzabile al netto di bug

curl https://slakfinder.org/slpcli.php

I parametri passati sono il pacchetto che voglio cercare.
Nessun dato sensibile quindi se non il fatto che stai cercando un pacchetto che hai o potresti aver installato sul sistema o a cui sei interessato; in pratica le abitudini di una persona. Insomma nulla rispetto a windows update :D.
Tuttavia a qualcuno potrebbe scocciare. Quindi ho deciso di consentire il metodo post per non tracciarli nell'access_log. Il sito http è leggermente più invasivo. Mostra le recents requests, quindi tutte le richieste degli altri utenti ovviamente anonime e un cookie tecnico per la gestione dei contatori. Nulla di questo è presente nel client, nemmeno il contatore del numero di ricerche. A meno che ovviamente la query mi viene passata in GET. L'utilizzatore che scegli di usare curl per interrogarlo non ha bisogno che gli venga spiegato cosa è post/get/http/https; chi usa il client lo effettua in POST per default e con useragent modificato (quindi non so nemmeno che versione di slackware hai :) )

Per quanto riguarda il metodo di memorizzazione in teoria dovrei sottostare al gpdr perchè il server risiede in europa, ma riguardo le leggi sulla privacy visto che il target è l'intero mondo dovrei citare qualche legge differente?


Al di là di questo dubbio, in ogni caso l'informativa dovrebbe essere formulata secondo gli standard previsti dal regolamento. Alcuni anni fa un socio del mio LUG che si occupa di queste tematiche (in quanto avvocato) suggerì di usare come modello l'informativa che è riportata sul sito del garante per la privacy, ovviamente riadattata in funzione del contesto specifico. Io ho fatto una cosa del genere per il mio sito, che non fa alcun uso di cookie (neppure tecnici), non acquisisce dati sensibili/personali e tanto meno esegue profilazioni. Se può esserti d'aiuto trovi il mio riadattamento qui: https://www.giand.it/info/?s=privacy
Gli ho dato un occhio. grazie. Non essendo un sito web molte di quelle informazioni non sono necessarie.
Solo che a questo punto mi conviene fare una informativa brevissima (che inserisco nella pagina dell'help) e un riferimento alla pagina della informativa perchè è un po' lungotta.

Codice: Seleziona tutto

Le ricerche effettuate in metodo POST non vengono memorizzate
o conservate sui sistemi. Vedere la pagina informativa per i dettagli
(qualche riga sopra nell'help specifico il modo d'uso; chi usa il servizio via
curl sa cosa significa; chi lo usa con il client non si deve preoccupare dei
tecnicismi visto che va in POST by default)
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

gian_d
Linux 3.x
Linux 3.x
Messaggi: 654
Iscritto il: mer 16 lug 2014, 17:35
Nome Cognome: Giancarlo Dessì
Slackware: 64 current
Kernel: 6.6.xx
Desktop: KDE 5.27
Località: Sardinia
Contatta:

Re: Informativa sulla privacy e disclaimer

Messaggio da gian_d »

Da quanto dici penso sia sufficiente una semplice informativa combinata con un disclaimer. Al più, se vuoi metterti in regola con il GPDR (a prescindere dal target, in ogni caso, come titolare del servizio, dovresti attenerti alla normativa europea) metti un link per un'informativa di approfondimento. Nessuno andrà a leggersela, naturalmente, però ti eviti in anticipo qualsiasi rogna, per quanto sia altamente improbabile.

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5441
Iscritto il: ven 2 giu 2006, 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: Informativa sulla privacy e disclaimer

Messaggio da ZeroUno »

In verità non lo voglio mettere per cose legali o per evitare rogne, ma per rassicurare l'utente che non sbircio le sue request. Alcune persone ci tengono anche se potrebbe essere una request tipo cerca aaa_base.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

gian_d
Linux 3.x
Linux 3.x
Messaggi: 654
Iscritto il: mer 16 lug 2014, 17:35
Nome Cognome: Giancarlo Dessì
Slackware: 64 current
Kernel: 6.6.xx
Desktop: KDE 5.27
Località: Sardinia
Contatta:

Re: Informativa sulla privacy e disclaimer

Messaggio da gian_d »

Allora va bene il modello di informativa/disclaimer che avevi messo all'inizio. Ribadisco, l'aspetto legale è una questione di lana caprina, il numero di siti web che non sono pienamente compatibili con il GPDR è così alto da rendere impossibile la sua applicazione.

Avatar utente
zoros
Linux 4.x
Linux 4.x
Messaggi: 1361
Iscritto il: lun 28 mag 2007, 22:51
Nome Cognome: Fabio`Zorba`
Slackware: 14.1
Kernel: 3.10.30-smp
Desktop: KDE-3.5(works!)
Località: Gorizia
Contatta:

Re: Informativa sulla privacy e disclaimer

Messaggio da zoros »

S,
ho messo -k, certificato scaduto ...

proposta disclaimer gdpr:

Ciao, sono Matteo, spero ti sia utile questa app, da usarsi consapevolmente "as is". Come sicuramente sai, il server web memorizza alcuni log, che a me proprio non interessano, tuttavia il server potrebbe essere violato da terzi. Nel caso di violazione, ti assicuro che denuncerò il fatto all'Autorità entro le 72 ore previste.


fz
vorrei riavere le mie firme ...

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5441
Iscritto il: ven 2 giu 2006, 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: Informativa sulla privacy e disclaimer

Messaggio da ZeroUno »

grazie per la proposta
zoros ha scritto:
mar 1 mar 2022, 0:08
ho messo -k, certificato scaduto ...
non mi risulta scaduto:

Not Before: Jan 26 10:08:24 2022 GMT
Not After : Apr 26 10:08:23 2022 GMT
Subject: CN = slakfinder.org
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
zoros
Linux 4.x
Linux 4.x
Messaggi: 1361
Iscritto il: lun 28 mag 2007, 22:51
Nome Cognome: Fabio`Zorba`
Slackware: 14.1
Kernel: 3.10.30-smp
Desktop: KDE-3.5(works!)
Località: Gorizia
Contatta:

Re: Informativa sulla privacy e disclaimer

Messaggio da zoros »

ok,
il "suggerimento" era per dire che il gdpr si preoccupa più del furto di dati che della privacy ...

per il -k, a me risulta così:
bash-4.3$ curl https://slakfinder.org/slpcli.php
curl: (60) SSL certificate problem: certificate has expired
More details here: https://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
of Certificate Authority (CA) public keys (CA certs). If the default
bundle file isn't adequate, you can specify an alternate file
using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
the bundle, the certificate verification probably failed due to a
problem with the certificate (it might be expired, or the name might
not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
the -k (or --insecure) option.
vorrei riavere le mie firme ...

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Informativa sulla privacy e disclaimer

Messaggio da ponce »

zoros ha scritto:
gio 3 mar 2022, 0:55
per il -k, a me risulta così
e' possibile che il tuo pacchetto ca-certificates non sia aggiornato e quindi te lo faccia con tutti i certificati firmati da letsencrypt: prova con

Codice: Seleziona tutto

curl https://ponce.cc

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5441
Iscritto il: ven 2 giu 2006, 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: Informativa sulla privacy e disclaimer

Messaggio da ZeroUno »

prova anche

Codice: Seleziona tutto

echo|openssl s_client -connect slakfinder.org:443|openssl x509 -text
e posta output completo
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
zoros
Linux 4.x
Linux 4.x
Messaggi: 1361
Iscritto il: lun 28 mag 2007, 22:51
Nome Cognome: Fabio`Zorba`
Slackware: 14.1
Kernel: 3.10.30-smp
Desktop: KDE-3.5(works!)
Località: Gorizia
Contatta:

Re: Informativa sulla privacy e disclaimer

Messaggio da zoros »

ok,
in effetti sulla 15 appena installata il certificato funziona, non posto i log richiesti ... non va su una -current di un anno fa ... c'è un comando/modo spicciolo per aggiornare i certificati (ok, dovrei cercare con Internet) ?
vorrei riavere le mie firme ...

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5441
Iscritto il: ven 2 giu 2006, 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: Informativa sulla privacy e disclaimer

Messaggio da ZeroUno »

slackpkg upgrade ca-certificates
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
zoros
Linux 4.x
Linux 4.x
Messaggi: 1361
Iscritto il: lun 28 mag 2007, 22:51
Nome Cognome: Fabio`Zorba`
Slackware: 14.1
Kernel: 3.10.30-smp
Desktop: KDE-3.5(works!)
Località: Gorizia
Contatta:

Re: Informativa sulla privacy e disclaimer

Messaggio da zoros »

ciao,
ho provato:
# /usr/sbin/update-ca-certificates --fresh
Clearing symlinks in /etc/ssl/certs...
done.
Updating certificates in /etc/ssl/certs...
173 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...
done.
ma il problema persiste su questa 14.2 ... " slackpkg update" non mi trova i mirror per la 14.2 ...
vorrei riavere le mie firme ...

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5441
Iscritto il: ven 2 giu 2006, 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: Informativa sulla privacy e disclaimer

Messaggio da ZeroUno »

non mi è chiaro che intendi per "non trova i mirror"
ma se usi 14.2 scarica a mano il pacchetto
https://mirrors.slackware.com/slackware ... ck14.2.txz
e installalo con

Codice: Seleziona tutto

upgradepkg --install-new --reinstall ca-certificates-20211216-noarch-1_slack14.2.txz
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Rispondi