Tempi di conservazione dei dati personali

17/10/2011 20:39:19

ghennadi72 ha scritto: [quote]blancks ha scritto:
Che sia criptata o meno poco importa in quanto l'utente per recuperare la password digiterà la propria email d'iscrizione, quindi puoi rigenerare l'hash ed eseguire il matching sul db as always.

Fino a un certo punto. Autorizzare il reset della password tramite il semplice inserimento dell'indirizzo di posta elettronica, senza alcuna verifica che la richiesta provenga almeno dal titolare dell'indirizzo di posta elettronica, é un sistema terribilmente insicuro.
[/quote]

Ghenna, ci sono procedure di sicurezza che si possono adottare per evitare l'abuso del sistema da parte di chi si diverte a resettare le pass altrui, in ogni caso hai ampiamente sottovalutato il mio discorso visto l'esempio postato: è OVVIO che la mail inserita deve corrispondere a quella usata per registrare l'account.

Il più banale dei metodi a cui facevo riferimento può essere quello di NON rignerare la password nel momento della richiesta, bensì spedire per email specificata l'avviso di richiesta del cambio password che contenga un link che riconduca l'utente ad un modulo del sito dove lo stesso utente sceglierà la nuova password da modificare.

Questo tipo di moduli elimina ogni problematica da te esposta e rafforza anche la sicurezza del sistema in quanto gli si può dare una finestra temporale di validità per il suo utilizzo.

Ecco perchè personalmente non farei MAI E POI MAI una procedura di reset password (recupero? se è crittata per davvero come la recuperi senza violare il PEL?) che chiede solo l'indirizzo email come verifica.

Ho usato la parola sbagliata, intendevo rigenerare.

Questa fra parentesi é una delle ragioni per cui non consentiamo l'utilizzo di email "usa e getta" (10minutesmail e simili) per registrare gli account: quei domini li blocchiamo a monte e via via che ne scopriamo altri, li inseriamo in blacklist, cancellando senza preavviso gli account di chi li ha usati (ovviamente c'è un bell'avviso in rosso lampeggiante alla registrazione che chiarisce il punto).

Secondo me, visto il servizio che offrite non ha senso bloccare l'uso di quelle email anche perchè se volessi restare anonimo non è quel metodo che impedisce di inserire un email fittizia.
Ad ogni modo la soluzione da voi trovata (blacklist) è inutilmente dispendiosa, fai prima a controllare se il dns di riferimento della mail è valido. Esiste una funzione pratica in php per fare ciò.

18/10/2011 02:59:00 e modificato da ghennadi72 il 18/10/2011 03:03:23

blancks ha scritto:

Il più banale dei metodi a cui facevo riferimento può essere quello di NON rignerare la password nel momento della richiesta, bensì spedire per email specificata l'avviso di richiesta del cambio password che contenga un link che riconduca l'utente ad un modulo del sito dove lo stesso utente sceglierà la nuova password da modificare.

Allora stavamo dicendo la stessa cosa da due punti di vista diversi. Amen :-)

[quote]Questa fra parentesi é una delle ragioni per cui non consentiamo l'utilizzo di email "usa e getta" (10minutesmail e simili) per registrare gli account: quei domini li blocchiamo a monte e via via che ne scopriamo altri, li inseriamo in blacklist, cancellando senza preavviso gli account di chi li ha usati (ovviamente c'è un bell'avviso in rosso lampeggiante alla registrazione che chiarisce il punto).

Secondo me, visto il servizio che offrite non ha senso bloccare l'uso di quelle email anche perchè se volessi restare anonimo non è quel metodo che impedisce di inserire un email fittizia.[/quote]
Non é questione di servizio tecnico/ludico offerto, ma di politica gestionale nei confronti dell'utenza, che prevede espressamente che l'utente all'occorenza debba essere raggiungibile al di fuori del gioco se determinate circostanze lo rendono necessario.

Una mail usa e getta é una sorta di dichiarazione di principio, che trovo persino contraddittoria, al pari di quei giocatori che pensano che il modo migliore di giocare le spie sia andare in giro incappucciati di nero, strisciando contro i muri e muovendosi con passo felpato anche quando vanno a comprare il giornale. Caxxata, in tutta onestà.
A mio parere dà molto meno nell'occhio un indirizzo normale, preso a caso tra live, virgilio, email.it, gmail.com e dozzine di servizi analoghi sottoscrivibili anche su domini esteri, di che dichiara apertamente "ehilà, guardatemi, sono anonimo et incappucciato!" :-)

Probabilmente nessuna soluzione garantisce "contro" l'utente che vuol mantenersi anonimo, esattamente come il famigerato "esilio perpetuo" é una soluzione che lascia il tempo che trova nel bloccare uno specifico indirizzo email.. visto che lo stesso utente può benisimo ri-registrarsi con un qualsiasi altro indirizzo email gratuito.

Detto fra noi nel momento in cui é possibile aprirsi una quarantina di indirizzi email senza alcuna difficoltà, infognarsi con una email usa e getta è a mio parere una soluzione che mira più al voler far sapere al prossimo quanto si vuol restare anonimi che a garantirsi, ai fatti, un reale anonimato garantibile allo stesso modo con un qualsiasi indirizzo email gratuito che usi una volta per registrarti e per ricevere l'email di conferma e poi te ne strabatti pure si ti arrivano 40 messaggi al giorno di pubblicità di Sky o di Auchan perchè tanto quello non è il tuo "vero" indirizzo.

Quello che non vogliamo fare, viceversa, é lasciar credere all'utente che, data la nostra politica gestionale, l'anonimato sia un'opzione percorribile normalmente. Non lo é. Poi che il singolo fissato possa aggirare ugualmente la cosa, affari suoi e tendenzialmente come dicevo ci interessa fino a un certo punto come utente. Ma l'utente/giocatore "normale" non deve rischiare di trovarsi per sbaglio con l'account cancellato per aver scelto un servizio email non riutilizzabile.

Ad ogni modo la soluzione da voi trovata (blacklist) è inutilmente dispendiosa, fai prima a controllare se il dns di riferimento della mail è valido. Esiste una funzione pratica in php per fare ciò.

Ne sono convinto. E' stata una soluzione di emergenza proprio nel momento in cui ci siamo accorti che in determinate circostanze non ci era possibile contattare l'utente. Avendo altre priorità abbiamo rimandato, ma prima o poi useremo sicuramente metodi più razionali di una blacklist sui domini :-)

19/10/2011 02:33:16 e modificato da ghennadi72 il 19/10/2011 02:46:04

ps: altra valida (per me) ragione per non consentire l'utilizzo di indirizzi usa e getta é questo. Non nascondiamoci che dal punto di vista del bistrattato ed esecrato gestore, talvolta si incontrano giocatori coi quali é difficile approcciarsi in termini civili e finiscono per rappresentare unicamente degli elementi di disturbo per l'utenza in generale.

Regolarmente queste cose sfociano nel ban del giocatore, talvolta anche nell'annuncio plateale stile dichiarazione d'indipendenza dell'Irlanda dal Regno Unito, con grandi proclami di abbandono del gioco e l'utente che poi invece continua a tornare, rompere le scatole, farsi bannare e ricominciare daccapo.

Facessero almeno lo sforzo di andarsi a cercare/creare un altro indirizzo di posta elettronica "vero" se proprio vogliono ri-registrarsi per perseguitare il prossimo solo perchè in una quest i GM hanno osato ferirli o perchè non gli è stata approvata la fichissima gilda di tartarughe ninja in ambientazione rinascimentale europea o perchè giocano anche su Pigwarts Castle e non soportano l'idea che la land concorrente di Perry Hotter abbia due utenti in più collegati.

Un tot di ban a ripetizione nei confronti dei disturbatori di vocazione a volte sono da mettere in conto.. ma non quando diventa una specie di guardie e ladri sine die, con l'utente che ogni 5 secondi si può creare un nuovo account usa e getta, loggare, sfrantumare i collioni allo staff e all'utenza giocante, farsi bannare tornare di nuovo a galla come le bolas de mierda messicane 5 secondi dopo con un ennesimo indirizzo usa e getta.

Gli staff in genere servono per accompagnare il gioco e tutelare l'utenza nel suo complesso, o quantomeno un clima di gioco sostenibile per l'utenza in generale, non per giocare a guardie e ladri col bimbominkia di turno.

I bimbiminkia si mettono in conto. Ma armarli noi, levandogli di torno persino la seccatura di registrarsi un vero indirizzo email, proprio no.

Senza contare che i provider "normali" fanno sottoscrivere un minimo di condizioni vincolanti a chi si crea un account email gratuito. Lasciamo stare che nessuno legge le informative, e le condizioni di utilizzo, ma ci sono. E pur nel delirio di vuoti e contraddizioni legislative la posta elettronica inizia in qualche modo ad essere considerata uno strumento in qualche modo legato all'entità fisica che lo utilizza (vedasi la parificazione di criteri con cui viene considerata la violazione della privacy tramite posta elettronica).

Caratteristiche che servizi concepiti espressamente per garantire l'anonimato a chi li usa non forniscono.

Capisco un cinese o un indonesiano dissidente che vuole scrivere in rete e ha valide ragioni per pretendere un certo livello di sicurezza e di anonimato (e allora magari si attrezza con strumenti un po' più seri, tra crittografia, steganografia, nym server e quant'altro). Ma ai fini di un gioco? No, non lo capisco.

99 volte su 100 se sei preoccupato dell'anonimato nel registrarti a un giochino, hai tutt'altre ragioni che non c'entrano un fico secco con il sacrosanto diritto alla tua privacy o a non ricevere spam indesiderato. Non facciamo finta di ignorare, tra tanti giocatori "veri", quanta parte di disadattati, polemici a ufo e bimbiminkia con pallino del rompere le scatole al prossimo girano in quest'ambiente, per cortesia :-)

28/10/2011 14:45:01

gemini ha scritto: [quote]ghennadi72 ha scritto:
Una possibilità, nel caso sia presente un limite massimo preciso (come si regola allora chi prevede l'esilio perpetuo fino al 2041 etc?) potrebbe essere quella di crittare, allo stesso modo della password, l'indirizzo email bannato?

Yes. Credo sia l'unica legalmente accettabile.[/quote]
Ribadisco la domanda: non sarebbe bene, quindi, aggiornare il PEL di conseguenza? Perchè che si chiami "esilio a vita" o "ban definitivo" é uno strumento che generalmente viene implementato da tutti. Ossia abbiamo un dato (l'email associata allo userid bannato) che viene conservato ben oltre i normali tempi specificati nell'informativa sulla privacy.

28/10/2011 19:28:19 e modificato da leoblacksoul il 28/10/2011 19:30:55

Ossia abbiamo un dato (l'email associata allo userid bannato) che viene conservato ben oltre i normali tempi specificati nell'informativa sulla privacy.

Dipende da cosa lo specifico gdr ha scritto nella sua informativa sulla privacy, non è sempre vero.

Secondo me non è un qualcosa da inserire nel PEL, è un dettaglio che dovrà venire in mente/dovrà essere tenuto in conto da colui che va a scrivere l'informativa sulla privacy dello specifico gdr. Ma se infiliamo nel PEL tutti i consigli e i dettagli su cosa serve mettere in quell'informativa non si finisce più.

29/10/2011 01:00:28 e modificato da ilgrandeinverno il 29/10/2011 01:01:23

leoblacksoul ha scritto:
Dipende da cosa lo specifico gdr ha scritto nella sua informativa sulla privacy, non è sempre vero.

E' precisamente questo il punto su cui stiamo riflettendo. Che non basta indicare nell'informativa un termine generico per la conservazione dei dati, ma l'utente va avvisato che in caso di ban alcuni suoi dati potrebbero essere conservati a tempo indeterminato per garantire l'efficacia tecnica del ban. E specificando se tali dati restano archiviati "in chiaro" o crittati.

Secondo me non è un qualcosa da inserire nel PEL, è un dettaglio che dovrà venire in mente/dovrà essere tenuto in conto da colui che va a scrivere l'informativa sulla privacy dello specifico gdr. Ma se infiliamo nel PEL tutti i consigli e i dettagli su cosa serve mettere in quell'informativa non si finisce più.

Fino a un certo punto. Se nell'informativa non lo scrivi che in caso di ban conservi l'email oltre la scadenza indicata, sei mancante nei confronti dell'utente pertanto dovresti adeguare l'informativa o rinunciare alla bandierina verde sul punto 4 del PEL.

30/10/2011 16:54:51

In attesa di implementare la cifratura dell'indirizzo di posta elettronica nella tabella degli account bannati, questa é la formula aggiunta all'informativa sul trattamento dei dati:

Eccezioni ai termini di conservazione dei dati

- Gli account colpiti da una sanzione sospensiva dei permessi di accesso al sito ("ban definitivo") vengono cancellati automaticamente allo scadere del termine temporale di cui sopra. L'indirizzo email di registrazione viene tuttavia conservato a tempo indeterminato per garantire l'efficacia del "ban" e interdire il riutilizzo dello stesso indirizzo di posta elettronica per registrarsi nuovamente.
- In caso di cancellazione (volontaria o per inutilizzo) dell'account, l'indirizzo email viene comunque conservato per i 365 giorni successivi, ed associato ai dati salienti dei personaggi virtuali intestati all'account in modo da garantire la possibilità di recupero dei personaggi in seguito a un eventuale ripensamento dell'utente. Oltre tale termine il dato viene rimosso.