[Czuwaj] Ewidencja
Piotr Kołodziejczyk
kip.kolodziejczyk w gmail.com
Śro, 6 Kwi 2016, 13:55:24 CEST
Niezależnie od ewidencji zwróć uwagę, w która stronę zmierzają zmiany na
rynku usług elektronicznych.
Kiedyś musiałeś do każdego systemu mieć odrębne identyfikatory, hasła i
nikt tego nie pamiętał.
Teraz, coraz więcej usług używa autoryzacji powiązanej z innymi systemami
(czyli można się logować kontem FB, G+). W takim modelu PESEL jest jednym z
lepszych dla użytkownika identyfikatorów, bo go pamięta i w przypadku
kilku osób o tym samym zestawie imię i nazwisko daje pewność, że mówimy o
tej samej osobie.
Jednocześnie zmienia się sam sposób potwierdzania tożsamości, czyli mniej
ważna robi się znajomość PESELu i imienia delikwenta, ale dodatkowe systemy
typu PIN, SMS, biometryka. A zatem coraz mniej "dużych" przeketów będzie
się dało zrobić mając w ręku skradziony dowó osobisty.
Dlatego raczej spodziewałbym się przeciwnego kierunku zmian - żeby raczej
usuwać jakieś numery członkowskie, jako zupełnie niepotrzebne i zamiast
nich używać identyfikatorów, których używam na co dzień w innych miejscach:
adres email, PESEL etc. Więc nie szedłbym w stronę utrudniania
użytkownikom, ale ułatwiania. Np. wymóg 30dniwego hasła nadal jest w
rozporządzeniach ODS, ale chyba jest coraz bardziej kiepskim pomysłem(banki
na ogół nie każą zmieniać).
Co więcej, sądzę, że docelowym modelem byłoby logowanie się do ezhp za
pomocą innych systemów autoryzacyjnych - banku, PZ, PUA etc. Ale to już
pewnie bardzo odległa przyszłość, przynajmniej w kontekście ewidencji ;).
admiral
Piotr Kołodziejczyk
+48604512362
W dniu 6 kwietnia 2016 13:20 użytkownik Karol <karol.gro w gmail.com> napisał:
> Zgadzam się - obecna sytuacja jest legalna. Ale uważam, że zmiana polityki
> dostępu do PESELu tak, aby nie był podany z poziomy wyszukiwarki (a także
> wyłączenie szukania po fragmencie PESELu) to byłaby zmiana na plus. Po
> pierwsze dlatego, że byłaby to dodatkowa warstwa ograniczająca i
> kontrolująca dostęp do danych, a po drugie dlatego, że może odrobinę
> częściej organizatorzy imprez zastanowiliby się, czy ten PESEL jest im
> potrzebny. No i technicznie nie wygląda to na duży koszt.
>
> Karol
>
> śr., 6.04.2016 o 12:38 użytkownik Piotr Kołodziejczyk <
> kip.kolodziejczyk w gmail.com> napisał:
>
> > Zaraz, ale Darek już to pisał.
> > Jeśli ktoś jest upoważniony do przeglądania danych, to może sobie widzieć
> > wszystko. Kłopot jest, gdy osoba nieupoważniona widzi te dane. A tutaj
> IMHO
> > takiej sytuacji nie ma. Po zalogowaniu należy przestrzegać obowiązującej
> > polityki, która zakazuje posługiwania się danymi innych osób do
> wyłudzania
> > kredytów. Nie ma znaczenia, czy używamy PESELu, czy innych danych.
> > Natomiast kwestia tego, czy każdy upoważniony, przeszkolony użytkownik
> > powinien widzieć wszystkie dane, to nie kwestia GIODO, tylko naszej
> > wewnętrznej polityki bezpieczeństwa. Ja nie widzę problemu, że
> upoważniony
> > drużynowy widzi moje podstawowe dane. To zdecydowanie lepiej, niż gdyby
> te
> > dane były widoczne tylko dla jakiejś wąskiej grupy. Podobnie jest
> > rozwiązaniami typu poczta korporacyjna - wszyscy upoważnieni mają dostęp
> do
> > danych innych osób. Nie mogą tylko kopiować takiego katalogu i "wynosić"
> > poza.
> >
> > Jeżeli ktoś ma uzasadnione podejrzenie,że nasza polityka jest wadliwa,
> > najlepiej napisać bezpośrednio do GK na adres biura, albo wręcz do
> Justyny
> > Sikorskiej z GK, która odpowiada m.in. za obszar Ewidencji.
> >
> > Pozdr.,
> > admiral
> >
> >
> >
> > Piotr Kołodziejczyk
> > +48604512362
> >
> > W dniu 6 kwietnia 2016 11:13 użytkownik Iza Staszczyszyn <endrea w wp.pl>
> > napisał:
> >
> > > Przypominam, że nie nam oceniać łatwość wzięcia kredytu na PESEL (choć
> > > mając pakiet danych z ewidencji można to zrobić z łatwością).
> > > Jest od tego ustawa o ochronie danych osobowych, która zgrabnie określa
> > co
> > > to są dane osobowe i jak należy je chronić.
> > >
> > > A nasza ewidencja, jak widać, nie do końca spełnia wymagania ustawowe i
> > nad
> > > tym należałoby się pochylić.
> > >
> > > Bo wymuszenie zmiany hasła co miesiąc, a pozostawienie możliwości
> > > standardowemu drużynowemu wglądu do danych wszystkich osób, które sobie
> > > zamarzy obejrzeć, narusza ustawę.
> > >
> > >
> > > Iza
> > >
> > >
> > > 2016-04-06 8:47 GMT+02:00 <czuwaj-request w listy.czuwaj.net>:
> > >
> > > >
> > > >
> > > >
> > > > ------------------------------
> > > >
> > > > Message: 3
> > > > Date: Tue, 05 Apr 2016 21:59:02 +0200
> > > > From: "Darek Brzuska" <brzuska w mp.pl>
> > > > To: "Lista dyskusyjna harcerek i harcerzy." <czuwaj w listy.czuwaj.net
> >
> > > > Subject: Re: [Czuwaj] Ewidencja
> > > > Message-ID: <op.yfgpsovz56q7qk w cichy>
> > > > Content-Type: text/plain; charset=iso-8859-2; format=flowed;
> delsp=yes
> > > >
> > > > Cześć.
> > > >
> > > > Numer ewidencyjny (ID albo EID) to tylko ostatnie sześć cyfr tego, co
> > > jest
> > > > na karcie członkowskiej. Jest unikalny i stały dla konkretnej osoby.
> > > > Jeżeli zmienisz sobie hufiec / chorągiew, to za każdą zmianą w
> > ewidencji
> > > > zmienią się początkowe cyfry w przypadku generowania nowej karty
> > > > członkowskiej, natomiast ID pozostaje stały. Jako drużynowy mogę
> > wyszukać
> > > > dowolną osobę zapisaną w ewidencji znając pesel lub ID. Poza
> imieniem,
> > > > nazwiskiem, przydziałem służbowym lub informacją że jest "były"
> niczego
> > > > się nie dowiem.
> > > >
> > > > Oczywiście mogę kombinować i np. przyjąć takiego typa do własnej
> > > > jednostki, wtedy mam dostęp do jego danych, ale jest to czynność,
> która
> > > > jest możliwa do wykonania ale niedozwolona gdyż poświadczyłbym
> > nieprawdę.
> > > > A system rejestruje wszelkie takie czynności i admin ewidencji będzie
> > > > wiedział kto, kiedy, z jakiego komputera wywinął taki numer i weźmie
> > mnie
> > > > za łeb. Sytuacja niczym nie różni się od sytuacji, w której pracownik
> > > > banku ma dostęp do danych osobowych, mojego adresu, historii operacji
> > > > itp., ale nie wolno mu ich wykorzystywać do celów innych niż
> > > > usprawiedliwione cele banku - inaczej popełniłby przestępstwo.
> > > >
> > > > Szukanie w ewidencji po numerze PESEL ma swoje zalety, natomiast
> > zgadzam
> > > > się, że wewnątrz ZHP ID powinno wystarczyć.
> > > >
> > > > Natomiast z tym braniem chwilówek na PESEL to trochę wątpię. Chyba
> > > jeszcze
> > > > trochę danych potrzeba. Jakiś dokument tożsamości, te rzeczy?
> > > >
> > > > Ciekawe ile lat potrzeba, by pula sześciocyfrowych ID wyczerpała się?
> > > > Obecnie najnowsze ID zaczynają się koło dwustu kilkunastu tysięcy,
> więc
> > > > przy trochę ponad stutysięcznym ZHP blisko połowa rekordów dotyczy
> > byłych
> > > > członków. Za kilka lat będą to dwie trzecie, potem trzy czwarte itp.
> > > >
> > > > Czuwaj!
> > > >
> > > > Darek
> > > >
> > > > Dnia 05-04-2016 o 17:49:30 Karol <karol.gro w gmail.com> napisał:
> > > >
> > > > > Jeszcze rok temu dostępny był pełen numer ewidencyjny - trzeba
> jednak
> > > > > szukać nie przez opcję "Szukaj", a listę transferową. Zresztą
> > początek
> > > > > jest
> > > > > do przewidzenia, bo zależy bodajże od hufca. A mając numer
> > ewidencyjny,
> > > > > imię i nazwisko moglibyśmy w Twojej propozycji odczytać pesel i
> tak.
> > > > >
> > > > > Problem tak naprawdę leży gdzie indziej:
> > > > >
> > > > > *> Na kursach często chcą PESEL i numer Ewidencyjny*
> > > > > No właśnie ten PESEL wtedy jest zupełnie niepotrzebny. Wewnątrz
> > > > > organizacji
> > > > > numer ewidencyjny powinien wystarczyć i ewidencja nie powinna
> > > udostępniać
> > > > > PESELu przez opcję *Szukaj*. Na numer ewidencyjny nikt nie weźmie
> > > > > chwilówki.
> > > > >
> > > > > A komu zwrócić na to uwagę? Pewnie ABI GK, ale z tego co wiem, to
> > cały
> > > > > czas
> > > > > trwają dyskusje nad stworzeniem systemu ewidencji od nowa, więc
> > dużych
> > > > > zmian w obecnej bym się nie spodziewał.
> > > > >
> > > > > Karol Grodzicki
> > > > >
> > > > >
> > > > > wt., 5.04.2016 o 00:43 użytkownik Przemek Bartecki <
> > ciemniak w gmail.com
> > > >
> > > > > napisał:
> > > > >
> > > > >> Hej
> > > > >>
> > > > >> Mam pytanie, z kim trzeba porozmawiać na temat ewidencji ZHP, a
> > raczej
> > > > >> tego jak PESEL jest łatwo dostępny, za łatwo.
> > > > >>
> > > > >> Na kursach często chcą PESEL i numer Ewidencyjny. Jak ktoś jest z
> > poza
> > > > >> Hufca to chyba nie da się sprawdzić czy podany nr jest dobry,
> znaczy
> > > da
> > > > >> się
> > > > >> sprawdzić końcówkę, ale nie cały. Przy okazji wyświetla się PESEL,
> > > wiec
> > > > >> po co w zgłoszeniu.
> > > > >>
> > > > >> Osoby które odeszła z ZHP, ich pesel też jest widoczny.
> > > > >>
> > > > >> Da się zrobić tak ze po wpisaniu w wyszukwiarkę nr PESEL wyswietla
> > się
> > > > >> osoba i nr ewidencyjny oraz odwrotnie gdy Wpisze IMIĘ i NAZWISKO +
> > nr
> > > > >> EWIDENCYJNY dopiero pojawi się PESEL.
> > > > >> lub
> > > > >> zeby chociaż osób ktre odeszły z ZHP ich pesel był wbazie do
> > > > >> przywracania ale nie był widoczny.
> > > > >>
> > > > >> pozdrawiam
> > > > >>
> > > > >> --
> > > > >> Przemek Bartecki
> > > >
> > > >
> > > >
> > > > --
> > > > I'm a scout. No cigarettes, no alcohol, no Facebook!
> > > >
> > > > Używam programu pocztowego Opery: http://www.opera.com/mail/
> > > >
> > > >
> > > > ------------------------------
> > > >
> > > --
> > > _______________________________________________
> > > Grupa dyskusyjna Czuwaj
> > > Czuwaj w listy.czuwaj.net
> > > http://listy.czuwaj.net/mailman/listinfo/czuwaj
> > > -----------------------------------------------
> > > Aby zrezygnowac z subskrybcji wyslij list na adres
> > > Czuwaj-request w listy.czuwaj.net o temacie unsubscribe
> > >
> > --
> > _______________________________________________
> > Grupa dyskusyjna Czuwaj
> > Czuwaj w listy.czuwaj.net
> > http://listy.czuwaj.net/mailman/listinfo/czuwaj
> > -----------------------------------------------
> > Aby zrezygnowac z subskrybcji wyslij list na adres
> > Czuwaj-request w listy.czuwaj.net o temacie unsubscribe
> >
> --
> _______________________________________________
> Grupa dyskusyjna Czuwaj
> Czuwaj w listy.czuwaj.net
> http://listy.czuwaj.net/mailman/listinfo/czuwaj
> -----------------------------------------------
> Aby zrezygnowac z subskrybcji wyslij list na adres
> Czuwaj-request w listy.czuwaj.net o temacie unsubscribe
>
Więcej informacji o liście Czuwaj