New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
public specs release 2.0+ #118
Conversation
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
Pozwoliłem sobie zaproponować zmiany które precyują informacje na temat prywatności w aplikacji. W zaproponowanej wersji jest sporo nieścisłości i niedmówień. Mam nadzieję że zostaną zaakceptowane.
Wiem że nie mam podpisanego oświadczenia, ale jako że proponuję jedynie zmiany w dokumentacji, udzielam zgody na skopiowanie moich propozycji na zasadzie pubic domain opisanej w creative commons https://creativecommons.org/share-your-work/public-domain/
|
||
**3) Jakie zastosowano zabezpieczenia, aby zapewnić, że nie dojdzie do zbierania danych osób na dużą skalę teraz i w przyszłości?** | ||
|
||
Nie przetwarzamy danych szczególnej kategorii (wszystkie dane zapisywane w Dzienniku Zdrowia są przechowywane jedynie na urządzeniu użytkownika, a dane podawane w triażu tj. samoocenie są przekazywane w sposób zanonimizowany do Infermedica, która nie przechowuje tych danych oraz nie może zidentyfikować kto wysłał zapytanie). |
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
Nie przetwarzamy danych szczególnej kategorii (wszystkie dane zapisywane w Dzienniku Zdrowia są przechowywane jedynie na urządzeniu użytkownika, a dane podawane w triażu tj. samoocenie są przekazywane w sposób zanonimizowany do Infermedica, która nie przechowuje tych danych oraz nie może zidentyfikować kto wysłał zapytanie). | |
Nie przetwarzamy danych szczególnej kategorii (wszystkie dane zapisywane w Dzienniku Zdrowia są przechowywane jedynie na urządzeniu użytkownika, a dane podawane w triażu tj. samoocenie są przekazywane w sposób zanonimizowany do Infermedica, która nie przechowuje tych danych oraz nie może zidentyfikować kto wysłał zapytanie). | |
Wyjątek stanowi dana osobowa - adres IP pozwalający na identyfikację posiadacza telefonu. Zgodnie z https://maruta.pl/pl/baza-wiedzy/379-status-prawny-adresow-ip-z-punktu-widzenia-zasad-ochrony-danych-osobowych-cz-ii oraz https://archiwum.giodo.gov.pl/pl/319/2258 adres IP który pozwala na identyfikację osoby jest daną osobową. Obecnie system razem z danymi wysyłanymi na serwer - Temp ID - również osób nie zdiagnozowanych pozytywnie - wysyła adres IP który pozwala na identyfikajcę posiadacza telefonu i może być użyty do odtworzenia sieci kontatów (czas, długość trwania) osoby zdiagnozowanej jako chora. Po połączeniu z bazą danych lokalizacji osób chorych uzyskaną przez stronę rządową, pozwala to na dokładną lokalizację położenia osób nie zdiagnozowanych jako chore. |
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
how does this relate to: https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html ?@potiuk
**5) Jak zapewniono, że informacje o osobach niezakażonych nie będą ujawniane?** | ||
|
||
Aplikacja zbiera anonimowe dane urządzeń ale nie wysyła ich na serwer bez pozwolenia użytkownika. Dane można wysłać dopiero po potwierdzeniu zmiany statusu wynikającej z medycznego testu na Covid-19. Innymi słowy ani Ministerstwo Cyfryzacji, ani Główny Inspektor Sanitarny a nawet operatorzy systemu ProteGO Safe nie wiedzą z jakimi dokładnie użytkownikami zetknęli się zdrowi użytkownicy aplikacji. | ||
|
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
Wyjątek stanowi sytuacja opisana powyżej, w której zarówno tożsamość, jak i lokalizacja osób zdrowych może być uzyskana z danych wysyłane przez zarówno osoby zdrowe, jak i chore jak opisano powyżej. |
|
||
**9) Jakie argumenty przeważyły za wyborem skoncentrowanego modelu gromadzenia danych?** | ||
|
||
Jak wskazano powyżej dane gromadzone są na urządzeniach użytkowników. Przetwarzanie danych otrzymanych od użytkowników z pozytywnym wynikiem testu na Covid-19 są przetwarzane centralnie. Nie jest to zatem klasyczny model centralny a raczej rozwiązanie hybrydowe. Głównym powodem wyboru tego modelu jest większa pewność co do prawidłowości danych i minimalizuje szanse na wystąpienie tzw. _fałszywych pozytywów_. Dodatkowo oczywiście maksymalnie zabezpieczamy prywatność zdrowych osób - ich dane nigdy nie opuszczą ich urządzeń. To rozwiązanie łączy zalety ochrony prywatności modelu zdecentralizowanego z większą wiarygodnością statusu _potencjalnych kontaktów_ z modelu centralnego. Umożliwia to również ciągłe doskonalenie algorytmów szacowania ryzyka bez konieczności częstych aktualizacji aplikacji. |
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
Jak wskazano powyżej dane gromadzone są na urządzeniach użytkowników. Przetwarzanie danych otrzymanych od użytkowników z pozytywnym wynikiem testu na Covid-19 są przetwarzane centralnie. Nie jest to zatem klasyczny model centralny a raczej rozwiązanie hybrydowe. Głównym powodem wyboru tego modelu jest większa pewność co do prawidłowości danych i minimalizuje szanse na wystąpienie tzw. _fałszywych pozytywów_. Dodatkowo oczywiście maksymalnie zabezpieczamy prywatność zdrowych osób - ich dane nigdy nie opuszczą ich urządzeń. To rozwiązanie łączy zalety ochrony prywatności modelu zdecentralizowanego z większą wiarygodnością statusu _potencjalnych kontaktów_ z modelu centralnego. Umożliwia to również ciągłe doskonalenie algorytmów szacowania ryzyka bez konieczności częstych aktualizacji aplikacji. | |
Jak wskazano powyżej dane gromadzone są na urządzeniach użytkowników. Przetwarzanie danych otrzymanych od użytkowników z pozytywnym wynikiem testu na Covid-19 są przetwarzane centralnie. Nie jest to zatem klasyczny model centralny a raczej rozwiązanie hybrydowe. Głównym powodem wyboru tego modelu jest większa pewność co do prawidłowości danych i minimalizuje szanse na wystąpienie tzw. _fałszywych pozytywów_. Dodatkowo oczywiście maksymalnie zabezpieczamy prywatność zdrowych osób - ich dane nigdy nie opuszczą ich urządzeń. Wyjątkiem jest publikowanie danych o kontaktach z osobami zdrowymi (tempId) i możliwość ich połączenia z adresami IP tych osób, jak opisano wyżej, Umożliwia to również ciągłe doskonalenie algorytmów szacowania ryzyka bez konieczności częstych aktualizacji aplikacji. |
|
||
**10) Czy użytkownik może wyłączyć, skasować dane w każdej chwili?** | ||
|
||
Tak. Aplikacja umożliwia usunięcie wszystkich danych do niej wprowadzonych. |
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
Tak. Aplikacja umożliwia usunięcie wszystkich danych do niej wprowadzonych. | |
Tak jeśli chodzi o dane przechowywyane w aplikacji. Aplikacja umożliwia usunięcie wszystkich danych do niej wprowadzonych. Nie ma możliwości "na żądanie" skasowania danych o nas przechowywanych na serwerze, które zostały przesłane przez osoby chore, które były by z nami choćby w krtkim i przelotnym kontakcie. |
|
||
**12) Jakie dane i kiedy są przesyłane na serwer? Kto utrzymuje ten serwer? Kto ma dostęp do danych na serwerze? Komu są przekazywane? Jak długo będą przechowywane? Czy są zanonimizowane?** | ||
|
||
Na serwer mogą zostać przesłane jedynie dane zgromadzone przez osoby zweryfikowane przez Centrum Kontaktu. Jest to tymczasowe TempID aplikacji oraz analogicznie tymczasowe TempID aplikacji innych użytkowników, modele urządzeń i siła ich sygnału (parafrazując: anonimowe dane dotyczące historii wykrytych przez aplikację spotkań innych użytkowników aplikacji oraz pomocniczo modele urządzeń do ewentualnej korekty danych na podstawie charakterystyk modułu bluetooth znanych modeli). Serwer backend jest utrzymywany przez Ministerstwo Cyfryzacji. |
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
Na serwer mogą zostać przesłane jedynie dane zgromadzone przez osoby zweryfikowane przez Centrum Kontaktu. Jest to tymczasowe TempID aplikacji oraz analogicznie tymczasowe TempID aplikacji innych użytkowników, modele urządzeń i siła ich sygnału (parafrazując: anonimowe dane dotyczące historii wykrytych przez aplikację spotkań innych użytkowników aplikacji oraz pomocniczo modele urządzeń do ewentualnej korekty danych na podstawie charakterystyk modułu bluetooth znanych modeli). Serwer backend jest utrzymywany przez Ministerstwo Cyfryzacji. | |
Na serwer mogą zostać przesłane jedynie dane zgromadzone przez osoby zweryfikowane przez Centrum Kontaktu. Jest to tymczasowe TempID aplikacji oraz analogicznie tymczasowe TempID aplikacji innych użytkowników, modele urządzeń i siła ich sygnału (parafrazując: anonimowe dane dotyczące historii wykrytych przez aplikację spotkań innych użytkowników aplikacji oraz pomocniczo modele urządzeń do ewentualnej korekty danych na podstawie charakterystyk modułu bluetooth znanych modeli). Serwer backend jest utrzymywany przez Ministerstwo Cyfryzacji. | |
Dane te są "psudonimizowane", korzystając z histori żądań wysłanych przez innych (nie zdiagnozowanych pozytywnie) użytkowników aplikacji. Ministerstwo Cyfryzacji może zde-anonimizować dane i odtworzyć kontakty między poszczególnymi osobami, |
Decentralizacja: | ||
1) Co do zasady dane przechowywane są na urządzeniach użytkowników. Wszystkie informacje dotyczące zdrowia (wpisy w Dzienniku Zdrowia), a także historia spotkanych urządzeń (Temp ID) są przechowywane na urządzeniach użytkowników. Na serwer zewnętrzny (API Infermedica) przekazywana jest anonimowa informacja związana z triażem (samooceną stanu zdrowia/ Test Oceny Ryzyka). | ||
2) Dane wprowadzane do ProteGO Safe umożliwiają zachowanie anonimowości użytkowników. Oprócz instalacji aplikacji użytkownik podaje jedynie swoją nazwę, która może być dowolna i jej jedyny cel to komfort użytkownika. Nie jest konieczna rejestracja, ani podawanie jakichkolwiek danych identyfikujących. |
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
2) Dane wprowadzane do ProteGO Safe umożliwiają zachowanie anonimowości użytkowników. Oprócz instalacji aplikacji użytkownik podaje jedynie swoją nazwę, która może być dowolna i jej jedyny cel to komfort użytkownika. Nie jest konieczna rejestracja, ani podawanie jakichkolwiek danych identyfikujących. | |
2) Dane wprowadzane do ProteGO Safe umożliwiają zachowanie częściowej anonimowości użytkowników. Oprócz instalacji aplikacji użytkownik podaje jedynie swoją nazwę, która może być dowolna i jej jedyny cel to komfort użytkownika. Nie jest konieczna rejestracja, ani podawanie jakichkolwiek danych identyfikujących. |
1) Co do zasady dane przechowywane są na urządzeniach użytkowników. Wszystkie informacje dotyczące zdrowia (wpisy w Dzienniku Zdrowia), a także historia spotkanych urządzeń (Temp ID) są przechowywane na urządzeniach użytkowników. Na serwer zewnętrzny (API Infermedica) przekazywana jest anonimowa informacja związana z triażem (samooceną stanu zdrowia/ Test Oceny Ryzyka). | ||
2) Dane wprowadzane do ProteGO Safe umożliwiają zachowanie anonimowości użytkowników. Oprócz instalacji aplikacji użytkownik podaje jedynie swoją nazwę, która może być dowolna i jej jedyny cel to komfort użytkownika. Nie jest konieczna rejestracja, ani podawanie jakichkolwiek danych identyfikujących. | ||
3) Tylko osoby zweryfikowane medycznie jako chore na COVID-19 będą mogły wysłać swoje dane na serwer (wymagany kontakt ze strony Centrum Kontaktu - warunek niezbędny) aby można było wysłać ostrzeżenie dla innych użytkowników. |
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
3) Tylko osoby zweryfikowane medycznie jako chore na COVID-19 będą mogły wysłać swoje dane na serwer (wymagany kontakt ze strony Centrum Kontaktu - warunek niezbędny) aby można było wysłać ostrzeżenie dla innych użytkowników. | |
3) Tylko osoby zweryfikowane medycznie jako chore na COVID-19 będą mogły wysłać dane swoje ale również historię kontaktów wszystkich osób, z którymi choćby przez chwilę się kontaktowały, na serwer (wymagany kontakt ze strony Centrum Kontaktu - warunek niezbędny) aby można było wysłać ostrzeżenie dla innych użytkowników. |
tmp/FAQ.md
Outdated
@@ -0,0 +1,61 @@ | |||
# FAQ |
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
To chyba skomitowaliście przez przypadek. Polecam dodanie katalogu tmp do .gitignore.
tmp/LICENSE
Outdated
@@ -0,0 +1,674 @@ | |||
GNU GENERAL PUBLIC LICENSE |
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
To chyba skomitowaliście przez przypadek. Polecam dodanie katalogu tmp do .gitignore.
tmp/README.md
Outdated
@@ -0,0 +1,148 @@ | |||
# Aplikacja ProteGO Safe |
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
To chyba skomitowaliście przez przypadek. Polecam dodanie katalogu tmp do .gitignore.
|
||
**13) Jakie zastosowano zabezpieczenia aplikacji? Co zapewnia, że aplikacja jest bezpieczna, a osoby niepożądane nie uzyskają dostępu do danych?** | ||
|
||
ProteGO Safe to dostępna publicznie w internecie aplikacja uruchamiająca się wyłącznie lokalnie w pamięci urządzenia użytkownika. Tam też składuje wszystkie dane. Niezależnie od tego publiczna strona dostarczająca użytkownikowi taki program, jest zabezpieczona przed zapisem przez niepowołane osoby oraz chroniona przez wiodący system anty DDoS i WAF firmy Cloudflare. Hostingiem który dostarcza treści chronione przez Cloudflare jest nowoczesna usługa Firebase Hosting firmy Google. Zabezpieczamy również cały proces wytwarzania aplikacji web i natywnych aplikacji mobilnych kontrolując listę osób z uprawnieniami do ostatecznej publikacji nowych wersji. Kod źródłowy aplikacji jest sprawdzany przez skanery korzystające z publicznych baz danych podatności oprogramowania i jego komponentów. W procesie korzystamy również z metody peer review i publicznego audytu społecznego otwartego kodu aplikacji poprzez platformę GitHub. |
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
ProteGO Safe to dostępna publicznie w internecie aplikacja uruchamiająca się wyłącznie lokalnie w pamięci urządzenia użytkownika. Tam też składuje wszystkie dane. Niezależnie od tego publiczna strona dostarczająca użytkownikowi taki program, jest zabezpieczona przed zapisem przez niepowołane osoby oraz chroniona przez wiodący system anty DDoS i WAF firmy Cloudflare. Hostingiem który dostarcza treści chronione przez Cloudflare jest nowoczesna usługa Firebase Hosting firmy Google. Zabezpieczamy również cały proces wytwarzania aplikacji web i natywnych aplikacji mobilnych kontrolując listę osób z uprawnieniami do ostatecznej publikacji nowych wersji. Kod źródłowy aplikacji jest sprawdzany przez skanery korzystające z publicznych baz danych podatności oprogramowania i jego komponentów. W procesie korzystamy również z metody peer review i publicznego audytu społecznego otwartego kodu aplikacji poprzez platformę GitHub. | |
ProteGO Safe to dostępna publicznie w internecie aplikacja uruchamiająca się wyłącznie lokalnie w pamięci urządzenia użytkownika. Tam też składuje wszystkie dane. Niezależnie od tego publiczna strona dostarczająca użytkownikowi taki program, jest zabezpieczona przed zapisem przez niepowołane osoby oraz chroniona przez wiodący system anty DDoS i WAF firmy Cloudflare. Cloudflare jednocześnie blokuje ruch przy próbach korzystania z narzędzi umożliwające zachwanie prywatności (https://blog.cloudflare.com/cloudflare-onion-service/) więc jego użycie wymusza używanie adresów IP które umożliwiają identyfikację posiadacza telefonu. | |
Hostingiem który dostarcza treści chronione przez Cloudflare jest nowoczesna usługa Firebase Hosting firmy Google. Zabezpieczamy również cały proces wytwarzania aplikacji web i natywnych aplikacji mobilnych kontrolując listę osób z uprawnieniami do ostatecznej publikacji nowych wersji. Kod źródłowy aplikacji jest sprawdzany przez skanery korzystające z publicznych baz danych podatności oprogramowania i jego komponentów. W procesie korzystamy również z metody peer review i publicznego audytu społecznego otwartego kodu aplikacji poprzez platformę GitHub. |
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
Mozemy wyciagnac te zmiany na branch lub osobny PR i je przedyskutowac?
Z repozytorium korzysta ministerstwo cyfryzacji i nalegaja by opublikowac tresci przygotowane w oryginalym PR. @potiuk
|
||
**3) Jakie zastosowano zabezpieczenia, aby zapewnić, że nie dojdzie do zbierania danych osób na dużą skalę teraz i w przyszłości?** | ||
|
||
Nie przetwarzamy danych szczególnej kategorii (wszystkie dane zapisywane w Dzienniku Zdrowia są przechowywane jedynie na urządzeniu użytkownika, a dane podawane w triażu tj. samoocenie są przekazywane w sposób zanonimizowany do Infermedica, która nie przechowuje tych danych oraz nie może zidentyfikować kto wysłał zapytanie). |
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
how does this relate to: https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html ?@potiuk
nie widzę powodu dla którego niepełne a miejscami nieprawdziwe dane miały by być opublikowane mimo nalegań ministerstwa. Myślę, że to dobre miejsce do dyskusji |
how does this relate to: https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html ?@potiuk Nie wiem czemu po angielsku, ale spoko. It has nothing to do with hipaa. I know hippa. My company was involved in developing medical devices. This answer is just answering the original question "3) Jakie zastosowano zabezpieczenia, aby zapewnić, że nie dojdzie do zbierania danych osób na dużą skalę teraz i w przyszłości?** " Which is "What protections are introduced to make sure that there is no colloection of data of users now and in the future?" There was no hippa mentioned at all in the question. Nor whether it is about "medical" or "highly sensitive" data. The question was about "user's data". My comment to the answer answers it. |
No description provided.