Tempi di conservazione dei dati personali

17/10/2011 18:50:24

Poco pratico, Gemini, crittarla in fase di registrazione.

La mail é l'unico eventuale canale diretto per il recupero della password o il suo reset, e non solo, anche per garantire un canale "affidbile" di comunicazione tra gestione ed utente titolare dell'account. Finchè l'utente utilizza il sito, la sua mail dovrebbe essere disponibile in chiaro ai titolari del servizio, o quantomeno al responsabile del trattamento dati indicato nell'informativa.

E' al momento del ban che dovrebbe scattare la crittazione, in modo che come avviene per la password, l'indirizzo originario non è più disponibile "in chiaro" (quindi è inutilizzabile), ma se venisse reinserito per registrare un nuovo account l'hash restituirebbe la corrispondenza al valore salvato nell'ipotetica tabella degli utenti bannati e impedirebbe la registrazione.

Se mai la domanda che mi pongo a questo punto é se non sarebbe bene inserire quest'informazione nel PEL perchè se come dici *deve* esserci un termine alla conservazione dell'email anche per gli utenti bannati, sospetto che tante bandierine verdi diventerebbero gialle laddove non si dichiara esplicitamente cosa viene fatto delle email degli utenti bannati "a vita".

---

quota

17/10/2011 19:34:44

Che sia criptata o meno poco importa in quanto l'utente per recuperare la password digiterà la propria email d'iscrizione, quindi puoi rigenerare l'hash ed eseguire il matching sul db as always.

Anche per quanto riguarda l'attivazione dell'account, l'utente fornisce la propria mail in fase d'iscrizione ed è pertanto possibile eseguire la procedura di iscrizione con invio email contenente il link di conferma pur criptando le mail conservate sul db.

Se il sito prevede delle newsletter io scinderei il servizio a parte creando un nuovo elenco di mail "in chiaro" sul db dove però è la gente a decidere di infilarci la mail o rimuoverla.

In genere non è la gestione di un sito a dover contattare per email i propri utenti ma è il contrario, pertanto dovrebbe poter essere possibile rispondere in quanto contattati via email dall'interessato la sua mail è in chiaro nel vostro client di posta elettronica.


Poi, dipende generalmente dai casi ma non è impossibile trattenere ed usare email criptate conservate nei database.


ps: consiglio di passare ad algoritmi più forti di sha1, perlomeno dallo sha256 in su.

---

quota

17/10/2011 20:08:11 e modificato da ghennadi72 il 17/10/2011 20:33:57

Fino a un certo punto. Autorizzare il reset della password tramite il semplice inserimento dell'indirizzo di posta elettronica, senza alcuna verifica che la richiesta provenga almeno dal titolare dell'indirizzo di posta elettronica, é un sistema terribilmente insicuro.

Ti faccio l'esempio più banale: Paperino e Gastone sono giocatori "amici" che si "frequentano" regolarmente, oltre che sulla land dove giocano, anche in msn, skype, facebook e chi più ne ha più ne metta. Entrambi sono mossi da profonda passione verso Paperina, ma Paperino riesce ad arrivare al conquibus con Paperina prima di Gastone.
Gastone, che rosica per questo e che conosce benissimo gli indirizzi email di Paperino usati su msn, skype e facebook, decide di vendicarsi e che fa? Si collega alla bella paginetta di reset della password che non gli chiede un tubo se non un indirizzo email, e resetta la password di Paperino senza che Paperino l'abbia mai chiesto. Poi logga fingendosi Paperino, si tromba pure Clarabella, Minnie e Nonna Papera andandosene a vantare con Paperina (che ovviamente molla Paperino e si mette con Gastone), e tanto per sovrappiù va a rubare i soldi a Zio Paperone e Rockerduck, badando a farsi vedere bene dal commissario Basettoni mentre esce con la refurtiva. E per finire regala la famigerata auto targata 313 alla Banda Bassotti.

Non so gli altri gestori, ma ad occhio circa la metà dei nostri account é registrata usando indirizzi di msn: live, hotmail, msn.com ossia indirizzi tipicamente pubblici, o pseudo tali, e facilmente associabili ai giocatori.

Ecco perchè personalmente non farei MAI E POI MAI una procedura di reset password (recupero? se è crittata per davvero come la recuperi senza violare il PEL?) che chiede solo l'indirizzo email come verifica.

Il sistema deve essere in grado di comunicare via mail con l'utente. Il top sarebbe neanche la rigenerazione al volo di una nuova pasword, ma l'invio di un link via mail con codice di conferma e necessità di cliccare su quel link prima di procedere effettivamente al cambio di password, tanto per avere la garanzia che il cambio password parta davvero dall'utente titolare di quella mail.

Questa fra parentesi é una delle ragioni per cui non consentiamo l'utilizzo di email "usa e getta" (10minutesmail e simili) per registrare gli account: quei domini li blocchiamo a monte e via via che ne scopriamo altri, li inseriamo in blacklist, cancellando senza preavviso gli account di chi li ha usati (ovviamente c'è un bell'avviso in rosso lampeggiante alla registrazione che chiarisce il punto).

nb: questo ovviamente non mette al sicuro dalla "peggior situazione possibile" ossia che anche la sicurezza dell'acount email sia stata compromessa. Ma a quel punto hai poco da fare, a meno di non cominciare a vagliare registrazione e procedure di autenticazione sul retina-scan o sull'uso delle impronte digitali :-)


Dal punto di vista tecnico è possibilissimo. Dal punto di vista gestionale, dipende: dalla politica gestionale, appunto. L'invio di newsletter non è certo il solo utilizzo dell'email dell'utente che una gestione può mettere in atto per esigenze di servizio strettamente legate alle funzionalità del gioco.

Ovviamente non è un must, dipende da come è stata impostata la policy di rapporto con gli utenti. Se essa prevede che in caso di necessità debba essere aperto un canale bidirezionale di comunicazione tra gestione e utenza, l'indirizzo email devi consevarlo per forza finchè l'utente utilizza il tuo gioco.

Normalmente la politica gestionale nei confronti dell'utenza dovrebbe essere facilmente desumibile tanto dal regolamento quanto dall'informativa sul trattamento dei dati. Per quanto mi riguarda un utente tanto geloso della propria privacy da farsi venire le convulsioni anche solo all'idea di poter essere ipoteticamente contattato per esigenze di servizio dalla gestione del sito in cui gioca, senza alcuna possibile relazione con spam e amenità simili, ha piena facoltà di non iscriversi e campare felice nella sua torre d'avorio. :-)

---

quota

17/10/2011 20:39:19

Ghenna, ci sono procedure di sicurezza che si possono adottare per evitare l'abuso del sistema da parte di chi si diverte a resettare le pass altrui, in ogni caso hai ampiamente sottovalutato il mio discorso visto l'esempio postato: è OVVIO che la mail inserita deve corrispondere a quella usata per registrare l'account.

Il più banale dei metodi a cui facevo riferimento può essere quello di NON rignerare la password nel momento della richiesta, bensì spedire per email specificata l'avviso di richiesta del cambio password che contenga un link che riconduca l'utente ad un modulo del sito dove lo stesso utente sceglierà la nuova password da modificare.

Questo tipo di moduli elimina ogni problematica da te esposta e rafforza anche la sicurezza del sistema in quanto gli si può dare una finestra temporale di validità per il suo utilizzo.




Ho usato la parola sbagliata, intendevo rigenerare.



Secondo me, visto il servizio che offrite non ha senso bloccare l'uso di quelle email anche perchè se volessi restare anonimo non è quel metodo che impedisce di inserire un email fittizia.
Ad ogni modo la soluzione da voi trovata (blacklist) è inutilmente dispendiosa, fai prima a controllare se il dns di riferimento della mail è valido. Esiste una funzione pratica in php per fare ciò.

---

quota

18/10/2011 02:59:00 e modificato da ghennadi72 il 18/10/2011 03:03:23

Allora stavamo dicendo la stessa cosa da due punti di vista diversi. Amen :-)



Non é questione di servizio tecnico/ludico offerto, ma di politica gestionale nei confronti dell'utenza, che prevede espressamente che l'utente all'occorenza debba essere raggiungibile al di fuori del gioco se determinate circostanze lo rendono necessario.

Una mail usa e getta é una sorta di dichiarazione di principio, che trovo persino contraddittoria, al pari di quei giocatori che pensano che il modo migliore di giocare le spie sia andare in giro incappucciati di nero, strisciando contro i muri e muovendosi con passo felpato anche quando vanno a comprare il giornale. Caxxata, in tutta onestà.
A mio parere dà molto meno nell'occhio un indirizzo normale, preso a caso tra live, virgilio, email.it, gmail.com e dozzine di servizi analoghi sottoscrivibili anche su domini esteri, di che dichiara apertamente "ehilà, guardatemi, sono anonimo et incappucciato!" :-)

Probabilmente nessuna soluzione garantisce "contro" l'utente che vuol mantenersi anonimo, esattamente come il famigerato "esilio perpetuo" é una soluzione che lascia il tempo che trova nel bloccare uno specifico indirizzo email.. visto che lo stesso utente può benisimo ri-registrarsi con un qualsiasi altro indirizzo email gratuito.

Detto fra noi nel momento in cui é possibile aprirsi una quarantina di indirizzi email senza alcuna difficoltà, infognarsi con una email usa e getta è a mio parere una soluzione che mira più al voler far sapere al prossimo quanto si vuol restare anonimi che a garantirsi, ai fatti, un reale anonimato garantibile allo stesso modo con un qualsiasi indirizzo email gratuito che usi una volta per registrarti e per ricevere l'email di conferma e poi te ne strabatti pure si ti arrivano 40 messaggi al giorno di pubblicità di Sky o di Auchan perchè tanto quello non è il tuo "vero" indirizzo.

Quello che non vogliamo fare, viceversa, é lasciar credere all'utente che, data la nostra politica gestionale, l'anonimato sia un'opzione percorribile normalmente. Non lo é. Poi che il singolo fissato possa aggirare ugualmente la cosa, affari suoi e tendenzialmente come dicevo ci interessa fino a un certo punto come utente. Ma l'utente/giocatore "normale" non deve rischiare di trovarsi per sbaglio con l'account cancellato per aver scelto un servizio email non riutilizzabile.


Ne sono convinto. E' stata una soluzione di emergenza proprio nel momento in cui ci siamo accorti che in determinate circostanze non ci era possibile contattare l'utente. Avendo altre priorità abbiamo rimandato, ma prima o poi useremo sicuramente metodi più razionali di una blacklist sui domini :-)

---

quota

19/10/2011 02:33:16 e modificato da ghennadi72 il 19/10/2011 02:46:04

ps: altra valida (per me) ragione per non consentire l'utilizzo di indirizzi usa e getta é questo. Non nascondiamoci che dal punto di vista del bistrattato ed esecrato gestore, talvolta si incontrano giocatori coi quali é difficile approcciarsi in termini civili e finiscono per rappresentare unicamente degli elementi di disturbo per l'utenza in generale.

Regolarmente queste cose sfociano nel ban del giocatore, talvolta anche nell'annuncio plateale stile dichiarazione d'indipendenza dell'Irlanda dal Regno Unito, con grandi proclami di abbandono del gioco e l'utente che poi invece continua a tornare, rompere le scatole, farsi bannare e ricominciare daccapo.

Facessero almeno lo sforzo di andarsi a cercare/creare un altro indirizzo di posta elettronica "vero" se proprio vogliono ri-registrarsi per perseguitare il prossimo solo perchè in una quest i GM hanno osato ferirli o perchè non gli è stata approvata la fichissima gilda di tartarughe ninja in ambientazione rinascimentale europea o perchè giocano anche su Pigwarts Castle e non soportano l'idea che la land concorrente di Perry Hotter abbia due utenti in più collegati.

Un tot di ban a ripetizione nei confronti dei disturbatori di vocazione a volte sono da mettere in conto.. ma non quando diventa una specie di guardie e ladri sine die, con l'utente che ogni 5 secondi si può creare un nuovo account usa e getta, loggare, sfrantumare i collioni allo staff e all'utenza giocante, farsi bannare tornare di nuovo a galla come le bolas de mierda messicane 5 secondi dopo con un ennesimo indirizzo usa e getta.

Gli staff in genere servono per accompagnare il gioco e tutelare l'utenza nel suo complesso, o quantomeno un clima di gioco sostenibile per l'utenza in generale, non per giocare a guardie e ladri col bimbominkia di turno.

I bimbiminkia si mettono in conto. Ma armarli noi, levandogli di torno persino la seccatura di registrarsi un vero indirizzo email, proprio no.

Senza contare che i provider "normali" fanno sottoscrivere un minimo di condizioni vincolanti a chi si crea un account email gratuito. Lasciamo stare che nessuno legge le informative, e le condizioni di utilizzo, ma ci sono. E pur nel delirio di vuoti e contraddizioni legislative la posta elettronica inizia in qualche modo ad essere considerata uno strumento in qualche modo legato all'entità fisica che lo utilizza (vedasi la parificazione di criteri con cui viene considerata la violazione della privacy tramite posta elettronica).

Caratteristiche che servizi concepiti espressamente per garantire l'anonimato a chi li usa non forniscono.

Capisco un cinese o un indonesiano dissidente che vuole scrivere in rete e ha valide ragioni per pretendere un certo livello di sicurezza e di anonimato (e allora magari si attrezza con strumenti un po' più seri, tra crittografia, steganografia, nym server e quant'altro). Ma ai fini di un gioco? No, non lo capisco.

99 volte su 100 se sei preoccupato dell'anonimato nel registrarti a un giochino, hai tutt'altre ragioni che non c'entrano un fico secco con il sacrosanto diritto alla tua privacy o a non ricevere spam indesiderato. Non facciamo finta di ignorare, tra tanti giocatori "veri", quanta parte di disadattati, polemici a ufo e bimbiminkia con pallino del rompere le scatole al prossimo girano in quest'ambiente, per cortesia :-)

---

quota

28/10/2011 14:45:01

Ribadisco la domanda: non sarebbe bene, quindi, aggiornare il PEL di conseguenza? Perchè che si chiami "esilio a vita" o "ban definitivo" é uno strumento che generalmente viene implementato da tutti. Ossia abbiamo un dato (l'email associata allo userid bannato) che viene conservato ben oltre i normali tempi specificati nell'informativa sulla privacy.

---

quota

28/10/2011 19:28:19 e modificato da leoblacksoul il 28/10/2011 19:30:55

Dipende da cosa lo specifico gdr ha scritto nella sua informativa sulla privacy, non è sempre vero.

Secondo me non è un qualcosa da inserire nel PEL, è un dettaglio che dovrà venire in mente/dovrà essere tenuto in conto da colui che va a scrivere l'informativa sulla privacy dello specifico gdr. Ma se infiliamo nel PEL tutti i consigli e i dettagli su cosa serve mettere in quell'informativa non si finisce più.

---

quota

29/10/2011 01:00:28 e modificato da ilgrandeinverno il 29/10/2011 01:01:23

E' precisamente questo il punto su cui stiamo riflettendo. Che non basta indicare nell'informativa un termine generico per la conservazione dei dati, ma l'utente va avvisato che in caso di ban alcuni suoi dati potrebbero essere conservati a tempo indeterminato per garantire l'efficacia tecnica del ban. E specificando se tali dati restano archiviati "in chiaro" o crittati.


Fino a un certo punto. Se nell'informativa non lo scrivi che in caso di ban conservi l'email oltre la scadenza indicata, sei mancante nei confronti dell'utente pertanto dovresti adeguare l'informativa o rinunciare alla bandierina verde sul punto 4 del PEL.

---

quota

30/10/2011 16:54:51

In attesa di implementare la cifratura dell'indirizzo di posta elettronica nella tabella degli account bannati, questa é la formula aggiunta all'informativa sul trattamento dei dati:

---

quota

Era di Mezzo

Presentazione del Gioco di Ruolo Online play by chat Era di Mezzo

Gioco e Pregiudizio

Tesi dal titolo "Giocare contro il pregiudizio. Serious games e bullismo omofobico."

Slice and Dice

Intervista a Slice and Dice il sito dei sistemi di gioco per play by chat!

Immagini Gratuite

14 siti dove scaricare immagini gratuite in alta definizione per i vostri giochi!