Это попытка сделать интерфейс из элементов старого и перенести в новый мир. Я считаю что это не правильно.
Человек гораздо меньше потратит времени и его выбор будет более осмысленным, если он будет выбирать не с витрины, а из приложения на планшете или смартфоне.
Приложение подберет ему продукты само по прошлым покупкам и сделает рекомендации конкретно для него.
Такие виртуальные магазины использовать можно в целях рекламы, но не как удобный интерфейс для покупки.
Меня возмутила фраза про ИБ. :) Задача специалиста по ИБ — это обеспечение безопасности. Безопасность в классическом определении имеет три свойства: конфиденциальность, целостность и доступность. Другое дело бывает ИБшники которые живут одной лишь конфиденциальность.
Как вы смотрите на такой вариант для папок пользователей:
— папка пользователей хранится локально на компьютере;
— используется aerofs или что-то что обеспечивает синхронизацию с сервером.
Для чего это нужно:
— «дешевое» резервирование, если отказал файловый сервер то пользователь может продолжить работу, в том время как ИТ поднимает резервный сервер или восстанавливает работоспособность;
— отсуствие различных колизий при открытие файлов по сети;
Какие вижу проблемы:
— безопасность, нужно сделать так чтобы директория была с прозрачным шифрованием, а ключ для расшифровки использовался был бы паролем от входа (иначе для пользователя это будет несколько сложно).
1) К сожалению нет, те кому нужны ПДн их получат легко и не принужденно. См Яндекс vs Роспил vs ФСБ. Причем касаемо фз-152, проверяющий регулятор априори считается доверенным;
2) Меньшая часть денег остается, остальная выводится.
1) не ограничит. Почему? Например прочитайте ФЗ-152 в пунктах как должен действовать оператор ПД в случай утечки;
2) сертификация ниодного отечественного производителя ПО не защитит (она их портит). Она помогает роспилу бабла в гостендерах и откатах интеграторам.
Только не согласен насчет лицензии на ТЗКИ — тут всё не просто, а зависит от того как это трактует проверяющий вас регулятрор. Компании придется брать на себя риск.
Насчт проекта Резника, видели где-нибудь его второе чтение, вроде как правок там на 46 страниц?
Обрабатывает ПД только, то юр. лицо которому передали ПД. Хостинг-провайдер, оператор связи, производитель жестких дисков, оптоволокна и т.п. к этому отношения не имееют.
Путаете мягкое с тёплым. Сотрудник храня конфиденциальную информацию в корпоративном почтовом ящике (или корпоративной сети) так же создает угрозу утечки (не ущерба!), то есть угроза утечки при наличии у сотрудника конфиденциальной информации > 0. Храня данную информацию в личном почтовом ящике или dropbox возможность угрозы утечки повышается, сотрудник согласно регламенту должен был понести наказание. Доказать в таком случай что из-за хранение информации в не корпоративной сети он принес ущерб невозможно. Нету фактов что это действие повлекло к ущербу, есть только факт что это повысило угрозу утечки.
Насколько понял шарить можно только в бизнес-аккаунте?
Дополнительный пароль это packing key? Usability он понижает (нужно уже помнить две хороших парольных фразы), а безопасность остается на том же уровне (съем пароля кейлогерем).
Хранить key-файл на всех машинах, а не в криптоконтейнере — это конечно молодцом. Получилась такая классическая псевдобезопасность.
Складывается впечатления что к сожалению непользовались этим сервисом, lastpass хранит криптоконтейнер с паролями в облаке и локально у вас.
Его так же можно с чуть меньшим функционалом использовать для локальных приложения. Lastpass сделан для web-паролей в отличии от keepassx (который проигрывает в это, но лучше смотрится для локальных приложений)
Keepassx — это GPL, что есть не бесплатно.
Наконец, я заплатил 3$ хорошим по парням (посмотри как они классно отработали этот инцидент с низкой вероятностью взлома, даже ценой ухода клиентов) за мобильность на android и двухфакторную аунтентификацию с yubikey (его кстати и с keepassx можно использовать в режиме «статического пароля»), которая в отличии от вашего key-файла действтельно повышает безопасность.
Человек гораздо меньше потратит времени и его выбор будет более осмысленным, если он будет выбирать не с витрины, а из приложения на планшете или смартфоне.
Приложение подберет ему продукты само по прошлым покупкам и сделает рекомендации конкретно для него.
Такие виртуальные магазины использовать можно в целях рекламы, но не как удобный интерфейс для покупки.
Рекомедую сделать анализ при использовании двухфакторной аутентификации (например yubikey) — должно получится интересно если что-нибудь раскопаете.
P.S. Укажите точно в статье что lastpass все передает по https, но не шифрует часть данных ключом пользователя. Сразу из текста это не понятно.
Шифрование больше для мобильных клиентов, где большая вероятность что пользователь потеряет ноутбук.
Как вы смотрите на такой вариант для папок пользователей:
— папка пользователей хранится локально на компьютере;
— используется aerofs или что-то что обеспечивает синхронизацию с сервером.
Для чего это нужно:
— «дешевое» резервирование, если отказал файловый сервер то пользователь может продолжить работу, в том время как ИТ поднимает резервный сервер или восстанавливает работоспособность;
— отсуствие различных колизий при открытие файлов по сети;
Какие вижу проблемы:
— безопасность, нужно сделать так чтобы директория была с прозрачным шифрованием, а ключ для расшифровки использовался был бы паролем от входа (иначе для пользователя это будет несколько сложно).
Какие видите проблемы у этого варианта?
2) Меньшая часть денег остается, остальная выводится.
2) сертификация ниодного отечественного производителя ПО не защитит (она их портит). Она помогает роспилу бабла в гостендерах и откатах интеграторам.
Если использовать твою точку зрения, то у нас собственник оптоволокна участвует в обработке ПДн.
Только не согласен насчет лицензии на ТЗКИ — тут всё не просто, а зависит от того как это трактует проверяющий вас регулятрор. Компании придется брать на себя риск.
Насчт проекта Резника, видели где-нибудь его второе чтение, вроде как правок там на 46 страниц?
P.S. По-моему душа вот она: www.youtube.com/watch?v=8F6EoMdn95E
Дополнительный пароль это packing key? Usability он понижает (нужно уже помнить две хороших парольных фразы), а безопасность остается на том же уровне (съем пароля кейлогерем).
Например я использую lastpass c yubikey получается довольно хорошо, опять же возможная утечка хешей master-паролей меня не коим образом не задела.
Складывается впечатления что к сожалению непользовались этим сервисом, lastpass хранит криптоконтейнер с паролями в облаке и локально у вас.
Его так же можно с чуть меньшим функционалом использовать для локальных приложения. Lastpass сделан для web-паролей в отличии от keepassx (который проигрывает в это, но лучше смотрится для локальных приложений)
Keepassx — это GPL, что есть не бесплатно.
Наконец, я заплатил 3$ хорошим по парням (посмотри как они классно отработали этот инцидент с низкой вероятностью взлома, даже ценой ухода клиентов) за мобильность на android и двухфакторную аунтентификацию с yubikey (его кстати и с keepassx можно использовать в режиме «статического пароля»), которая в отличии от вашего key-файла действтельно повышает безопасность.