public specs release 2.0+

[qLb]

No description provided.

[potiuk]

Pozwoliłem sobie zaproponować zmiany które precyują informacje na temat prywatności w aplikacji. W zaproponowanej wersji jest sporo nieścisłości i niedmówień. Mam nadzieję że zostaną zaakceptowane.

Wiem że nie mam podpisanego oświadczenia, ale jako że proponuję jedynie zmiany w dokumentacji, udzielam zgody na skopiowanie moich propozycji na zasadzie pubic domain opisanej w creative commons https://creativecommons.org/share-your-work/public-domain/

[potiuk]

Suggested change

	Nie przetwarzamy danych szczególnej kategorii (wszystkie dane zapisywane w Dzienniku Zdrowia są przechowywane jedynie na urządzeniu użytkownika, a dane podawane w triażu tj. samoocenie są przekazywane w sposób zanonimizowany do Infermedica, która nie przechowuje tych danych oraz nie może zidentyfikować kto wysłał zapytanie).
	Nie przetwarzamy danych szczególnej kategorii (wszystkie dane zapisywane w Dzienniku Zdrowia są przechowywane jedynie na urządzeniu użytkownika, a dane podawane w triażu tj. samoocenie są przekazywane w sposób zanonimizowany do Infermedica, która nie przechowuje tych danych oraz nie może zidentyfikować kto wysłał zapytanie).
	Wyjątek stanowi dana osobowa - adres IP pozwalający na identyfikację posiadacza telefonu. Zgodnie z https://maruta.pl/pl/baza-wiedzy/379-status-prawny-adresow-ip-z-punktu-widzenia-zasad-ochrony-danych-osobowych-cz-ii oraz https://archiwum.giodo.gov.pl/pl/319/2258 adres IP który pozwala na identyfikację osoby jest daną osobową. Obecnie system razem z danymi wysyłanymi na serwer - Temp ID - również osób nie zdiagnozowanych pozytywnie - wysyła adres IP który pozwala na identyfikajcę posiadacza telefonu i może być użyty do odtworzenia sieci kontatów (czas, długość trwania) osoby zdiagnozowanej jako chora. Po połączeniu z bazą danych lokalizacji osób chorych uzyskaną przez stronę rządową, pozwala to na dokładną lokalizację położenia osób nie zdiagnozowanych jako chore.

[qLb]

how does this relate to: https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html ?@potiuk

[potiuk]

Suggested change

	Wyjątek stanowi sytuacja opisana powyżej, w której zarówno tożsamość, jak i lokalizacja osób zdrowych może być uzyskana z danych wysyłane przez zarówno osoby zdrowe, jak i chore jak opisano powyżej.

[potiuk]

Suggested change

Jak wskazano powyżej dane gromadzone są na urządzeniach użytkowników. Przetwarzanie danych otrzymanych od użytkowników z pozytywnym wynikiem testu na Covid-19 są przetwarzane centralnie. Nie jest to zatem klasyczny model centralny a raczej rozwiązanie hybrydowe. Głównym powodem wyboru tego modelu jest większa pewność co do prawidłowości danych i minimalizuje szanse na wystąpienie tzw. _fałszywych pozytywów_. Dodatkowo oczywiście maksymalnie zabezpieczamy prywatność zdrowych osób - ich dane nigdy nie opuszczą ich urządzeń. To rozwiązanie łączy zalety ochrony prywatności modelu zdecentralizowanego z większą wiarygodnością statusu _potencjalnych kontaktów_ z modelu centralnego. Umożliwia to również ciągłe doskonalenie algorytmów szacowania ryzyka bez konieczności częstych aktualizacji aplikacji.

Jak wskazano powyżej dane gromadzone są na urządzeniach użytkowników. Przetwarzanie danych otrzymanych od użytkowników z pozytywnym wynikiem testu na Covid-19 są przetwarzane centralnie. Nie jest to zatem klasyczny model centralny a raczej rozwiązanie hybrydowe. Głównym powodem wyboru tego modelu jest większa pewność co do prawidłowości danych i minimalizuje szanse na wystąpienie tzw. _fałszywych pozytywów_. Dodatkowo oczywiście maksymalnie zabezpieczamy prywatność zdrowych osób - ich dane nigdy nie opuszczą ich urządzeń. Wyjątkiem jest publikowanie danych o kontaktach z osobami zdrowymi (tempId) i możliwość ich połączenia z adresami IP tych osób, jak opisano wyżej, Umożliwia to również ciągłe doskonalenie algorytmów szacowania ryzyka bez konieczności częstych aktualizacji aplikacji.

[potiuk]

Suggested change

	Tak. Aplikacja umożliwia usunięcie wszystkich danych do niej wprowadzonych.
	Tak jeśli chodzi o dane przechowywyane w aplikacji. Aplikacja umożliwia usunięcie wszystkich danych do niej wprowadzonych. Nie ma możliwości "na żądanie" skasowania danych o nas przechowywanych na serwerze, które zostały przesłane przez osoby chore, które były by z nami choćby w krtkim i przelotnym kontakcie.

[potiuk]

Suggested change

	Na serwer mogą zostać przesłane jedynie dane zgromadzone przez osoby zweryfikowane przez Centrum Kontaktu. Jest to tymczasowe TempID aplikacji oraz analogicznie tymczasowe TempID aplikacji innych użytkowników, modele urządzeń i siła ich sygnału (parafrazując: anonimowe dane dotyczące historii wykrytych przez aplikację spotkań innych użytkowników aplikacji oraz pomocniczo modele urządzeń do ewentualnej korekty danych na podstawie charakterystyk modułu bluetooth znanych modeli). Serwer backend jest utrzymywany przez Ministerstwo Cyfryzacji.
	Na serwer mogą zostać przesłane jedynie dane zgromadzone przez osoby zweryfikowane przez Centrum Kontaktu. Jest to tymczasowe TempID aplikacji oraz analogicznie tymczasowe TempID aplikacji innych użytkowników, modele urządzeń i siła ich sygnału (parafrazując: anonimowe dane dotyczące historii wykrytych przez aplikację spotkań innych użytkowników aplikacji oraz pomocniczo modele urządzeń do ewentualnej korekty danych na podstawie charakterystyk modułu bluetooth znanych modeli). Serwer backend jest utrzymywany przez Ministerstwo Cyfryzacji.
	Dane te są "psudonimizowane", korzystając z histori żądań wysłanych przez innych (nie zdiagnozowanych pozytywnie) użytkowników aplikacji. Ministerstwo Cyfryzacji może zde-anonimizować dane i odtworzyć kontakty między poszczególnymi osobami,

[potiuk]

Suggested change

	2) Dane wprowadzane do ProteGO Safe umożliwiają zachowanie anonimowości użytkowników. Oprócz instalacji aplikacji użytkownik podaje jedynie swoją nazwę, która może być dowolna i jej jedyny cel to komfort użytkownika. Nie jest konieczna rejestracja, ani podawanie jakichkolwiek danych identyfikujących.
	2) Dane wprowadzane do ProteGO Safe umożliwiają zachowanie częściowej anonimowości użytkowników. Oprócz instalacji aplikacji użytkownik podaje jedynie swoją nazwę, która może być dowolna i jej jedyny cel to komfort użytkownika. Nie jest konieczna rejestracja, ani podawanie jakichkolwiek danych identyfikujących.

[potiuk]

Suggested change

	3) Tylko osoby zweryfikowane medycznie jako chore na COVID-19 będą mogły wysłać swoje dane na serwer (wymagany kontakt ze strony Centrum Kontaktu - warunek niezbędny) aby można było wysłać ostrzeżenie dla innych użytkowników.
	3) Tylko osoby zweryfikowane medycznie jako chore na COVID-19 będą mogły wysłać dane swoje ale również historię kontaktów wszystkich osób, z którymi choćby przez chwilę się kontaktowały, na serwer (wymagany kontakt ze strony Centrum Kontaktu - warunek niezbędny) aby można było wysłać ostrzeżenie dla innych użytkowników.

[potiuk]

To chyba skomitowaliście przez przypadek. Polecam dodanie katalogu tmp do .gitignore.

[potiuk]

To chyba skomitowaliście przez przypadek. Polecam dodanie katalogu tmp do .gitignore.

[potiuk]

To chyba skomitowaliście przez przypadek. Polecam dodanie katalogu tmp do .gitignore.

[potiuk]

Suggested change

	ProteGO Safe to dostępna publicznie w internecie aplikacja uruchamiająca się wyłącznie lokalnie w pamięci urządzenia użytkownika. Tam też składuje wszystkie dane. Niezależnie od tego publiczna strona dostarczająca użytkownikowi taki program, jest zabezpieczona przed zapisem przez niepowołane osoby oraz chroniona przez wiodący system anty DDoS i WAF firmy Cloudflare. Hostingiem który dostarcza treści chronione przez Cloudflare jest nowoczesna usługa Firebase Hosting firmy Google. Zabezpieczamy również cały proces wytwarzania aplikacji web i natywnych aplikacji mobilnych kontrolując listę osób z uprawnieniami do ostatecznej publikacji nowych wersji. Kod źródłowy aplikacji jest sprawdzany przez skanery korzystające z publicznych baz danych podatności oprogramowania i jego komponentów. W procesie korzystamy również z metody peer review i publicznego audytu społecznego otwartego kodu aplikacji poprzez platformę GitHub.
	ProteGO Safe to dostępna publicznie w internecie aplikacja uruchamiająca się wyłącznie lokalnie w pamięci urządzenia użytkownika. Tam też składuje wszystkie dane. Niezależnie od tego publiczna strona dostarczająca użytkownikowi taki program, jest zabezpieczona przed zapisem przez niepowołane osoby oraz chroniona przez wiodący system anty DDoS i WAF firmy Cloudflare. Cloudflare jednocześnie blokuje ruch przy próbach korzystania z narzędzi umożliwające zachwanie prywatności (https://blog.cloudflare.com/cloudflare-onion-service/) więc jego użycie wymusza używanie adresów IP które umożliwiają identyfikację posiadacza telefonu.
	Hostingiem który dostarcza treści chronione przez Cloudflare jest nowoczesna usługa Firebase Hosting firmy Google. Zabezpieczamy również cały proces wytwarzania aplikacji web i natywnych aplikacji mobilnych kontrolując listę osób z uprawnieniami do ostatecznej publikacji nowych wersji. Kod źródłowy aplikacji jest sprawdzany przez skanery korzystające z publicznych baz danych podatności oprogramowania i jego komponentów. W procesie korzystamy również z metody peer review i publicznego audytu społecznego otwartego kodu aplikacji poprzez platformę GitHub.

[qLb]

Mozemy wyciagnac te zmiany na branch lub osobny PR i je przedyskutowac?
Z repozytorium korzysta ministerstwo cyfryzacji i nalegaja by opublikowac tresci przygotowane w oryginalym PR. @potiuk

[qLb]

how does this relate to: https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html ?@potiuk

[potiuk]

Mozemy wyciagnac te zmiany na branch lub osobny PR i je przedyskutowac?
Z repozytorium korzysta ministerstwo cyfryzacji i nalegaja by opublikowac tresci przygotowane w oryginalym PR. @potiuk

nie widzę powodu dla którego niepełne a miejscami nieprawdziwe dane miały by być opublikowane mimo nalegań ministerstwa. Myślę, że to dobre miejsce do dyskusji

[potiuk]

how does this relate to: https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html ?@potiuk

Nie wiem czemu po angielsku, ale spoko.

It has nothing to do with hipaa. I know hippa. My company was involved in developing medical devices. This answer is just answering the original question "3) Jakie zastosowano zabezpieczenia, aby zapewnić, że nie dojdzie do zbierania danych osób na dużą skalę teraz i w przyszłości?** "

Which is "What protections are introduced to make sure that there is no colloection of data of users now and in the future?"

There was no hippa mentioned at all in the question. Nor whether it is about "medical" or "highly sensitive" data. The question was about "user's data". My comment to the answer answers it.