chat
Онлайн риболовен магазин за риболовни принадлежности и аксесоари
Language
English
Bulgarian
Кошница
Брой:
Общо:
Поръчай
Безплатна доставка за поръчки над 99 лв до офис на Еконт за България
Начало Обработка на лични данни

Обработка на лични данни

Обработка на лични данни

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

Основни понятия:

„РЕГЛАМЕНТ (ЕС) 2016/679“ - Общ регламент за защита на данните 2016/679 от 27 април 2016 година, замества Директивата 95/46 / ЕО за защита на данните. Има пряко действие и предполага изменение в законодателството на страните - членки в областта на защитата на личните данни. Неговата цел е да защитава "правата и свободите" на физическите лица и да се гарантира, че личните данни не се обработват без тяхно знание, и когато е възможно, че се обработва с тяхно съгласие.

„Лични данни" - всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„Специални категории лични данни“ – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация.

„Обработване" - означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

„Администратор" - всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

„Субект на данните“ – всяко живо физическо лице, което е предмет на личните данни съхранявани от Администратора.

„Съгласие на субекта на данните" - всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

„Дете“ – Регламентът определя дете като всеки на възраст под 16 години въпреки че това може да бъде намалена на 13 от правото на държавата-членка. Обработката на лични данни на едно дете е законно само, ако родител или попечител е дал съгласие. Администраторът полага разумни усилия, за да провери в такива случаи, че притежателят на родителската отговорност за детето е дал или упълномощен да даде съгласието си.

„Профилиране" - всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

„Нарушение на сигурността на лични данни" - нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

„Основно място на установяване “ – седалището на администратора в ЕС ще бъде мястото, в което той взема основните решения за целта и средствата на своите дейности по обработване на данни. По отношение на обработващия лични данни основното му място на установяване в ЕС ще бъде неговият административен център.
Ако администраторът е със седалище извън ЕС, той трябва да назначи свой представител в юрисдикцията, в която администраторът работи, за да действа от името на администратора и да се занимава с надзорните органи.

„Получател" - физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели"; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

„Трета страна“ – всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;


Личните данни се обработват законосъобразно и по прозрачен начин, като се
гарантира добросъвестност по отношение на физическите лица, чиито лични данни се обработват („законосъобразност, добросъвестност и прозрачност“).

Чрез отбелязване на отметка в поле "С отбелязване в полето потвърждавам, че прочетох, разбрах и изразявам съгласие за обработка на лични данни. Вие се съгласяване с обработката на предоставените от Вас лични данни. Ексфиш ЕООД се задължава да използва личните данни на клиентa единствено и само за целите на поръчката. Ексфиш ЕООД не използва личните данни за други цели,
които не са съвместими с първоначалната цел на събирането. Ексфиш ЕООД се задължава да не разкрива личните данни на клиента на трети лица, освен ако не е получил изрично разрешение от него за това, или информацията трябва да бъде предоставена на оторизирани органи по силата на българското законодателство. С цел изпълнение на задълженията ни по сключени с Вас договори или на законови такива сме задължени и е необходимо да разкрием предоставените от Вас лични данни на наши партньори /куриерски или транспортни фирми/ или пред компетентни органи. Личните данни, които се събират са име, адрес, телефон и e-mail. Личните данни могат да бъдат разкривани на: физически лица, за които се отнасят данните, на лица по силата на договор и на лица, обработващи личните данни. Личните данни се обработват единствено на територията на Република България, само за срока и за целите, за които са предоставени. В случаите, когато е необходимо издаването на фактура е възможно да бъдат поискани и допълнителни данни съгласно изискванията на нормативната уредба. Личните данни се съхраняват за определен период, необходим за изпълнение на конкретната цел, след което се изтриват, освен ако нормативен акт изисква да бъдат запазени по-дълго време. Можете да оттеглите съгласието си за обработка на личните данни по всяко време, да заявите корекция, да възразите срещу обработването им и да поискате да бъдат изтрити /"правото да бъдеш забравен"/ чрез писмо на електронната поща info@riboco.com. На подадените искания ще бъде отговорено в едномесечен срок.

Технически мерки за защита на личните данни
Hypertext Transfer Protocol Secure (HTTPS) е протокол за защитена комуникация в компютърна мрежа, широко разпространена в Интернет. Технически HTTPS не е самостоятелен протокол, а резултат от поставянето на протокола за пренос на хипертекст (HTTP) върху SSL/TLS протокол и по този начин защитава стандартната HTTP връзка. Основната цел на тази комбинация е да се осигури защитена връзка и сигурност при преноса на данни между интернет потребителите.

HTTPS удостоверява сайта и съответния уеб сървър, на който е качен. Също така двупосочно криптира връзката между клиент и сървър, което осигурява защита срещу подслушване, подправяне или фалшифициране на съдържанието на съобщенията. На практика това дава достатъчно гаранции, че потребителят се свързва с правилния сайт (а не фалшиво копие), както и гарантира, че съдържанието на съобщенията между потребителя и сайта не може да се прочете или подправи от трети страни.

Употребата на HTTPS се е разширила до защита на всякакъв тип уеб сайтове, потребителски акаунти, поддържане на потребителските комуникации и сърфиране в Мрежата.

Съдържание
1 Преглед
1.1 Използване на HTTPS в уебсайтовете
1.2 Интеграция в браузърите
2 Сигурност
3 Технически характеристики
3.1 Разлика от http
3.2 Мрежови слоеве
3.3 Настройка на сървъра
3.3.1 Получаване на сертификати
3.3.2 Контрол на достъпа
3.3.3 В случай на компрометиран секретен ключ
3.4 Ограничения
4 История
Преглед

Логото на мрежов протокол https
HTTPS сигнализира браузъра да използва кодиращ SSL/TLS слой, за да предпази трафика на данни. SSL/TLS слоят е специално пригоден за HTTPS, като осигурява защита, дори ако само едната страна на съобщението е заверена. Такъв е случаят с HTTP транзакциите по интернет, където обикновено само сървърът е удостоверен с цифров сертификат.

HTTPS създава сигурен канал през незащитена мрежа. Това осигурява добра защита от подслушване и атаки, при условие, че са налице достатъчно цифрови пакети (en) и сертификатът на сървъра е проверен и надежден.

HTTPS представлява HTTP слой, скачен с TLS слой, което позволява криптирането на целия HTTP протокол. Това включва URL адреса на поисканата страница, параметрите на заявката, заглавията и бисквитките (които често съдържат информация за самоличността на потребителя). Тъй като хост адресите и номерата на портовете са задължително част от основните протоколи TCP/IP, HTTPS не може да защити тяхното разкриване. На практика това означава, че дори и при правилно конфигуриран уеб сървър, подслушвачи могат да разберат IP адреса и номера на порта на уеб сървъра (също и името на домейна, например www.example.org, без останалата част от URL адреса), с когото потребителят комуникира, както и количеството прехвърлени данни и продължителността на сесията. Самото съдържание на съобщенията обаче остава скрито.

Уеб браузърите се доверяват на HTTPS сайтовете чрез доставчиците на удостоверителни услуги (ДУУ, на английски: certificate authorities, CA), чиито сертификати са предварително инсталирани в техния софтуер. Създателите на уеб браузъри се доверяват на доставчиците на такива услуги (като Симантек, Comodo, GoDaddy, GlobalSign, StartSSL, а в по-ново време и Let’s Encrypt) в осигуряването на валидни сертификати. Следователно потребителят може да се довери на HTTPS връзката, единствено ако всички следващи критерии са изпълнени:

Сертификатът правилно идентифицира сайта (например, когато браузърът посети https://example.com, полученият сертификат е именно за „example.com“, а не за някакъв друг сайт).
HTTPS е особено важен при нешифрирани мрежи (като публични WiFi точките за достъп), защото всеки, който е свързан със същата локална мрежа може да прихване пакетите на съобщението и да разкрие дискретна информация. Много свободни или платени WLAN мрежи „инжектират“ пакети с реклами. Това обаче може да се използва злонамерено чрез инжектиране на малуер и кражба на лична информация.

HTTPS е много важен за връзка през мрежата на Tor, тъй като злонамерени Tor възли могат да повредят или да променят съдържанието, преминаващо през тях, и да вкарат малуер във връзката. Това е една от причините Electronic Frontier Foundation и Проектът Tor да разработят HTTPS Everywhere, който да бъде включен в браузъра.

Колкото повече информация се разкрива за световното масово проследяване и за престъпници, задигащи лични данни, толкова повече използването на HTPPS на всички сайтове става все по-актуално.

Внедряването HTTPS също позволява използването на HTTP/2, което ускорява зареждането на уеб страниците.

Препоръчително е да се използва HTTP Strict Transport Security с https, за да се защитят потребителите от нападения тип „човек по средата“.

HTTPS не трябва да се бърка с рядко използвания Secure HTTP (S-HTTP)

Интеграция в браузърите

Повечето браузъри показват предупреждение, ако получат невалиден сертификат. Също така показват сигурността на сайта в адресната лента. Сертификатите с разширена валидация (en) оцветяват адресната лента или надписа „https“ в зелено. Напоследък повечето браузъри са възприели "зелен катинар" като символ за сигурна връзка, ратифицирана от благонадежден сертификационен орган. Повечето браузъри също изкарват предупреждение при посещение на сайт, който съдържа смес от криптирано и некриптирано съдържание.

Сравнение между различните видове SSL/TLS сертификати

Много уеб браузъри, като Opera, отбелязват със зелен катинар в адресната лента, че връзката е защитена. Когато потребителят кликне върху катинара, браузърът показва допълнителна информация за сертификата, който ползва съответния сайт.

Повечето браузъри предупреждават потребителя, когато посещава сайтове, които имат невалидни сертификати за сигурност. В този случай Firefox не се доверява на CACert.

Фондацията Еlectronic Frontier (en) е разработила добавката HTTPS Everywhere (en), която иползва HTTPS по подразбиране за стотици от най-често използваните сайтове.

Сигурност
Сигурността на HTTPS лежи в основата на Transport Layer Security (TLS), който използва дългосрочни публични и секретни ключове за обмен на краткосрочен сесиен ключ, за да кодира потока от данни между клиент и сървър. За да се удостовери сървъра, се използват сертификатите X.509 (en). Нужни са сертификационни центрове (en) и сертификат на публичен ключ, за да се провери връзката между сертификата и неговия собственик, съдържанието на сертификата, а също и да се генерира, подпише и администрира валидността на сертификатите.

Един сайт трябва да е изцяло качен на HTTPS без да има съдържание върху обикновен HTTP, в противен случай потребителят би бил уязвим от някои атаки и наблюдение. Ако само определена страница, която съдържа чувствителна информация (като страница за вписване) е качена на HTTPS, а останалата част от уеб сайта е върху HTTP, това излага потребителя на опасност. В сайт, който съдържа важна информация, всеки път когато сайтът е посетен чрез HTTP, вместо с HTTPS, потребителят и сесията са открити. По същия начин бисквитките трябва да са сесийни с включен защитен атрибут.

Технически характеристики
Разлика от http
HTTPS URL адресите започват с https:// и ползват порт 443 по подразбиране, докато HTTP URL адресите започват с http:// и ползват порт 80.

HTTP не е криптиран и е уязвим за атаки тип „човек по средата“ и подслушване, което позволява на атакуващите да се сдобият с достъп до ценна информация и да подправят страниците, допълвайки ги с малуер и реклами.

HTTPS създава сигурен канал през незащитена мрежа. Това осигурява достатъчна защита от подслушване и атаки, при условие, че са налице достатъчно цифрови пакети и сертификатът на сървъра е проверен и надежден.

Мрежови слоеве
HTTP работи в най-горния пласт – програмния, където е и TLS протоколът, който криптира HTTP съобщението при трансмисия и след това го дешифрира при пристигането. Строго погледнато HTTPS не е отделен протокол, а представлява обикновен HTTP протокол върху криптирана SSL/TLS връзка.

Всичко в HTTPS съобщението е криптирано, включително заглавията, заявките и отговорите. С изключение на някои криптографски атаки, недоброжелателят може само да разбере, че се осъществява връзка между две страни, името на домейна и IP адресите на страните.

Настройка на сървъра
За да се подготви един уеб сървър да приеме HTTPS връзка, администраторът трябва да създаде цифров сертификат на уеб сървъра. Този сертификат трябва да бъде подписан от сертификационен център, за да може уеб браузърът да го приеме без предупреждение. Сертификационният център удостоверява, че притежателят на сертификата е оператора на уеб сървъра. Уеб браузърите обикновено се разпространяват със списък със сертификати на големите сертификационни центрове.

Получаване на сертификати
Сертификатите, подписани от сертификационните центрове, могат да бъдат безплатни или да струват между 8 и 70 щатски долара годишно. В случай на безплатните сертифициращи органи, като CACert, популярните браузъри (Firefox, Chrome, Internet Explorer) може да включват сертификати на доверените фирми, което може да предизвика появата на предупредителни съобщения към крайния потребител. StartCom е пример за компания, която предлага безплатни сертификати с широк съпорт от браузъри.

Някои организации може да имат свои сертификационни центрове, особено ако настройват браузърите за достъп до техни мрежи и сайтове (например Интранет мрежи или сайтове на големи университети). Така компаниите лесно могат да си добавят копия на сертификатите, подписани от тях, към списъка със доверените сертификати в браузърите.

Съществуват също peer-to-peer сертификационни центрове, като CACert. Но той не присъства в списъците на популярните браузъри, което може да доведе до предупредителни съобщения към потребителя.

Контрол на достъпа
Системата може да се използва за удостоверяване на клиента, за да се ограничи достъпа до уеб сървъра само за оторизирани потребители. Администраторът на сайта обикновено създава сертификат за всеки потребител, който се зарежда в неговия/нейния браузър. Обикновено се съдържат името и адреса на електронната поща на оторизирания потребител и при всяко свързване сървърът автоматично проверява самоличността на потребителя без последният да въвежда парола.

В случай на компрометиран секретен ключ
Криптографията има важно свойство, което се нарича Съвършена секретност (en). При притежанието на един от дългосрочните асиметрични ключове, използвани за създаване на HTTPS сесията, не трябва да се улеснява получаването на краткосрочния сесиен ключ, с който недоброжелател да може да декриптира разговора на по-късен етап.

Обмяната на ключове по модела Дифи-Хелман (Diffie–Hellman key exchange – DHE) и Елиптичната крива на Дифи-Хелман (Elliptic curve Diffie–Hellman) са единствените, които имат подобно свойство за предотвратяване на кражбата на ключ. Само 30% от сесиите на Firefox, Opera, и Chromium ползват това приложение докато Safari на Apple и Internet Explorer почти не го ползват. От по-големите интернет доставчици само Google поддържат PFS.

Едно удостоверение може да бъде оттеглено преди изтичането на срока му, когато частният ключ е компрометиран. Новите версии на Google Chrome, Firefox, Opera, и Internet Explorer прилагат Протокол за онлайн статус на сертификати (en), за да удостоверят, че всичко е наред. Браузърът праща серийният номер на сертификата към сертифициращия орган през OSCP и оттам получава съобщение за валидността на сертификата.

Ограничения
SSL се предлага в два варианта: прост и взаимен. Взаимната версия е по-сигурна, но изисква от потребителя да инсталира личен сертификат в браузъра си, за да се удостовери.

Какъвто и вариант да се използва, нивото на сигурност силно зависи от изпълнението на уеб браузъра, сървърния софтуер и самите криптографски алгоритми.

SSL / TLS не пречи на уеб роботи да индексират даден сайт, а в някои случаи УИР (универсален идентификатор на ресурси) схемата на криптирания ресурс може да бъде разгадана само по размера на поисканата заявка или отговор. Това позволява на атакуващия да се сдобие с некриптираната публично-достъпна информация и криптирания текст (криптираната версия на статичното съдържание).

Тъй като TLS работи под HTTP слоя и не чете протоколи от по-високо ниво, TLS сървърите могат да представят само един сертификат за определен IP адрес и порт. Това означава, че не е възможно да се използва виртуален хостинг с HTTPS на един и същ IP адрес. Решение, наречено Server Name Indication (SNI) изпраща името на хоста до сървъра преди криптирането на връзката. Поддръжката на SNI е достъпна от следните версии на браузърите насам: Firefox 2, Opera 8, Safari 2.1, Google Chrome 6 и Internet Explorer 7.

От архитектурна гледна точка:

Една връзка SSL/TLS се управлява от първата предна машина, която я инициира. Ако по някакви причини (маршрутизация, оптимизация на трафика и т.н.) тази предна машина не е програмният сървър и няма дешифриращи данни, трябва да се потърси решение за разпространение на потребителското удостоверение или сертификата на програмния сървър, за да се знае кое ще бъде свързано.
За SSL/TLS с взаимно удостоверяване, SSL/TLS сесията се управлява от първият сървър, който направи връзката. В ситуация, в която криптирането трябва да бъде предадена през свързани сървъри, управлението на timeOut сесията се изпълнява изключително трудно.
С взаимно SSL/TLS удостоверяване сигурността е максимална, но е невъзможно за клиента да прекрати SSL връзката и да се изключи без да изчака сесията да свърши ли или да затвори всички свързани клиентски приложения.

История

Компанията Netscape Communications създават HTTPS през 1994 за техния уеб браузър – Netscape Navigator. Първоначално HTTPS се е ползвал заедно с SSL протокол. Впоследствие SSL еволюира до Transport Layer Security (TLS).