Dzień dobry
Chciałbym poznać dokładnie, jeśli ktoś zna, podstawę prawną, która
nakazuje określoną częstotliwość zmiany haseł w programach obsługujących
dane np. pracowników (Płacznik, programy księgowe), wejścia na portale
rządowe.

Dam przykład:
tzw. Pułe - narzuca mi samo login. Hasło mam własne.
Płacznik to każe ustawowo zmieniać hasło co 30 dni. Ma w tym przypadku w
dupie, wprowadzanie jakiś specjalnych znaków.
Portal celny też ma własne hasła.
Postal SIO - własne hasła, oczywiście poppieprzone SIO działa już w
dwóch programach ale ja robię w jednym i starczy.
Stetystyka - PORAŻKA!! -bardziej idiotycznie działającego portalu nie
widziałem. Pomijam tutaj, że w tym portalu jeden urzędnik pyta mnie o
to, co przekazałem wcześniej innemu urzędnikowi, jakby sam nie potrafił
sobie tej informacji pobrać. Co robię? w dupę powtarzam bezzsensownie te
dane.
Pfrony hasła i loginy.
Jest tego więcej.
i pytam, Kiedy skończy się bezsensowne przekazywanie danych do
urzędasów, którym to na gówno potrzebne.(tak se ponarzekałem na tfurcuf
programów rządowych i rządowych portali internetowych.

Nie ma tutaj żadnej koordynacji, współpracy.

Pozdrawiam

do góry

On 2016-05-12, kapitalikk <a...@g...com> wrote:

[...]

> Nie ma tutaj żadnej koordynacji, współpracy.

Czyli postulujesz zaistnienie jednej centralnej bazy danych
wszystkiego o podatniku, do której mają dostęp wszystcy urzędnicy,
tak?

--
Wojciech Bańcer
p...@p...pl

do góry

W dniu 2016-05-12 o 12:56, kapitalikk pisze:
> Dzień dobry
> Chciałbym poznać dokładnie, jeśli ktoś zna, podstawę prawną, która
> nakazuje określoną częstotliwość zmiany haseł w programach obsługujących
> dane np. pracowników (Płacznik, programy księgowe), wejścia na portale
> rządowe.

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

do góry

W dniu 2016-05-12 o 13:52, Krzysztof Jodłowski pisze:
> W dniu 2016-05-12 o 12:56, kapitalikk pisze:
>> Dzień dobry
>> Chciałbym poznać dokładnie, jeśli ktoś zna, podstawę prawną, która
>> nakazuje określoną częstotliwość zmiany haseł w programach obsługujących
>> dane np. pracowników (Płacznik, programy księgowe), wejścia na portale
>> rządowe.
>
> Wytyczne GIODO:
> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
>
>
Ty to Q2 umiesz pocieszyć :(

Pozdrawiam
:)

do góry

W dniu 2016-05-12 13:52, Krzysztof Jodłowski pisze:
> W dniu 2016-05-12 o 12:56, kapitalikk pisze:
>> Dzień dobry
>> Chciałbym poznać dokładnie, jeśli ktoś zna, podstawę prawną, która
>> nakazuje określoną częstotliwość zmiany haseł w programach obsługujących
>> dane np. pracowników (Płacznik, programy księgowe), wejścia na portale
>> rządowe.
>
> Wytyczne GIODO:
> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
>
>

Szkoda, że wytyczne nie konsultowane z nikim, kto zna sie na
bezpieczeństwie i ludzkiej psychice, takie wytyczne obniżają
bezpieczeństwo, a nie je gwarantują...

--
Kaczus
http://kaczus.ppa.pl

do góry

W dniu 2016-05-12 o 12:59, Wojciech Bancer pisze:
> On 2016-05-12, kapitalikk <a...@g...com> wrote:
>
> [...]
>
>> Nie ma tutaj żadnej koordynacji, współpracy.
>
> Czyli postulujesz zaistnienie jednej centralnej bazy danych
> wszystkiego o podatniku, do której mają dostęp wszystcy urzędnicy,
> tak?
>
Wojciechu chyba mało wiesz w temacie, urzędnicy mają dostęp do
wszystkich Twoich danych? Znam mądrych urzędników, którzy potrafią
łączyć się z danymi REGON, PESEL, ZUS, US i wszystko o kliencie wiedzą.
Jak ja chcę o sobie dowiedzieć się cokolwiek, to muszę znać wiele
loginów i haseł.

Postuluję aby klient nie musiał za każdym razem logować się do części
systemu PAŃSTWA podając inne hasło, inny login.
Żeby mu pieprzony programista (jeśli nie ma takiej podstawy prawnej) nie
narzucał, że muszę pieprzone specjalne znaki umieszczać w haśle i małe i
duże litery i liczby i żeby jeden pieprzony programista nie kazał mi
tworzyć hasła składającego się z 7 znaków, innego hasła z 8 znaków a
jeszcze innego hasła z 9 znakami. I że to wszystko mam zmieniac co 20
lub 30 lub 40 dni. ot takie urozmaicenie. Żebym się k...a nie zanudził
przypadkiem.
Cały czas pytam, czy są jakieś podstawy prawne narzucające mi zmianę
okresową tych haseł?

Pozrawiam

do góry

On 2016-05-12, kapitalikk <a...@g...com> wrote:

[...]

>>> Nie ma tutaj żadnej koordynacji, współpracy.
>>
>> Czyli postulujesz zaistnienie jednej centralnej bazy danych
>> wszystkiego o podatniku, do której mają dostęp wszystcy urzędnicy,
>> tak?
>>
> Wojciechu chyba mało wiesz w temacie, urzędnicy mają dostęp do
> wszystkich Twoich danych?

Nie. Nie mają.

> Znam mądrych urzędników, którzy potrafią łączyć się z danymi REGON, PESEL,
> ZUS, US i wszystko o kliencie wiedzą.

Na szczęście nie wszyscy mają takie uprawnienia.

> Jak ja chcę o sobie dowiedzieć się cokolwiek, to muszę znać wiele
> loginów i haseł.

A w czym problem konkretnie?

> Postuluję aby klient nie musiał za każdym razem logować się do części
> systemu PAŃSTWA podając inne hasło, inny login.

No to sie nie loguj. Ja np. się do większości systemów PAŃSTWA loguję
kluczem kwalifikowanym. Z moim własnym, nadanym PINem.

> Żeby mu pieprzony programista (jeśli nie ma takiej podstawy prawnej) nie
> narzucał, że muszę pieprzone specjalne znaki umieszczać w haśle i małe i
> duże litery i liczby i żeby jeden pieprzony programista nie kazał mi

Sam jesteś to co powiedziałeś. :)

https://edugiodo.giodo.gov.pl/pluginfile.php/113/mod
_resource/content/17/INF1/INF_R03_02.html
---
3. POZIOMY BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO
3.1. Poziom podstawowy

W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana
następuje nie rzadziej, niż co 30 dni. Hasło składa się co najmniej z 6 znaków.

3.2. Poziom podwyższony

W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co
najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.
----

> tworzyć hasła składającego się z 7 znaków, innego hasła z 8 znaków a
> jeszcze innego hasła z 9 znakami. I że to wszystko mam zmieniac co 20
> lub 30 lub 40 dni. ot takie urozmaicenie. Żebym się k...a nie zanudził
> przypadkiem.

Nom. :)

> Cały czas pytam, czy są jakieś podstawy prawne narzucające mi zmianę
> okresową tych haseł?

Tak. Są.

--
Wojciech Bańcer
p...@p...pl

do góry

Użytkownik "Wojciech Bancer"

[...]

> Nie ma tutaj żadnej koordynacji, współpracy.

Czyli postulujesz zaistnienie jednej centralnej bazy danych
wszystkiego o podatniku, do której mają dostęp wszystcy urzędnicy,
tak?
---
Przecież napisał, że chodzi o uwierzytelnianie, czyli systemy takie jak
OpenID tudzież OAuth

do góry

Użytkownik "Wojciech Bancer"

> Postuluję aby klient nie musiał za każdym razem logować się do części
> systemu PAŃSTWA podając inne hasło, inny login.

No to sie nie loguj. Ja np. się do większości systemów PAŃSTWA loguję
kluczem kwalifikowanym. Z moim własnym, nadanym PINem.
---
Pokaż tę większość.

do góry

Użytkownik Wojciech Bancer p...@p...pl ...

> On 2016-05-12, kapitalikk <a...@g...com> wrote:
>
> [...]
>
>> Nie ma tutaj żadnej koordynacji, współpracy.
>
> Czyli postulujesz zaistnienie jednej centralnej bazy danych
> wszystkiego o podatniku, do której mają dostęp wszystcy urzędnicy,
> tak?
>
Mysle, ze pyta, skad kazda instytucja robi po swojemu.
Przykładowo:
- deklaracje do US mozna wysłac majac tylko kwote z pit z zeszłego roku
- deklaracje do ZUS mozna wysłać majac do najmniej profil zaufany epuap ale
to nie wystarcza! Trzeba jeszcze potwierdzic kazdą wysyłkę kodem z maila.
- profil epuap to potwierdzenie tozsamosci ale mimo tego nie da rady za
jego posrednictwem założyc konta w NFZ - dlaczego? NFZ twierdzi ze giodo,
giodo, ze nie wymagało tego...

Itd...

do góry