Blog

Témata:
22. 12. 2024
Bezpečnost Kryptografie
Řízení oprávnění

Řízení oprávnění k přístupu

AAA, tedy autentizace (ověření), autorizace (přidělení oprávnění) a accounting (účtování, lépe asi poskytovaných služeb). Kryptografie se věnuje hlavně autentizaci, ale poskytuje informace pro autorizaci. U některých autentizačních algoritmů je problém odlišit autentizační a autorizační část, protože jeden server ověřuje identitu a může dále poskytovat i informace o oprávněních.

Řízení přístupu k informacím

Kryptografie zajišťuje ochranu uložených nebo transportovaných dat, jejich integritu, autenticitu a neodmítnutelnost. Může být silným nástrojem i při autentizaci. Neřeší ale autorizaci, tedy přidělení oprávnění k přístupu. Dokáže pouze autorizaci podpořit další vrstvou ochranných mechanismů, ať se jedná o odmítnutí přístupu (negaci dostupnosti v případě neznalosti hesla), anonymizaci údajů nebo anonymizované zpracování, zpracování šifrovaných dat … bylo by možné najít i další příklady. Řízení oprávnění je ale tak trochu samostatná disciplína.
První formalizace řízení oprávnění vznikly v „počítačovém dávnověku“. Dnes používáme potomky těchto technologií, ne vždy je ale používáme správně. Proto je vhodné uvést klady a zápory těchto technologií, včetně příkladů, kde selhávají. Zároveň se jedná o jakési osvěžení základních znalostí na toto téma.

MAC (Mandatory Access Control / povinná kontrola přístupu)

Tato zkratka mi často evokuje kontrolu integrity (jedna ze zkratek je taktéž MAC), proto je nutné znát kontext užití. Vlastní řízení přístupu využívá systém návěští, tedy bezpečnostních popisků pro každý zdroj nebo jednotlivce. Takové návěští by se mělo skládat ze dvou částí, z klasifikace a příslušnosti. Klasifikace dat určuje omezení přístupu, tedy jak citlivá tato data jsou. Ekvivalentem pro uživatele je prověrka, tedy pro jak citlivé data mohou získat přístup. Příslušnost potom u uživatelů nebo dat ukazuje na způsob použití (omezení dosahu). Data mohou náležet do určitého projektu, skupiny nebo oddělení, uživatelé je možné zařadit do podobných mezí. Přístup je v tomto případě udělen jen a pouze v případě, kdy jsou splněny následující podmínky:
- Uživatel a data mají stejnou úroveň klasifikace
- Uživatel a data mají stejnou příslušnost
Na základě uvedeného restriktivního postupu je evidentní místo vzniku, tedy zpravodajská a vojenská komunita. Přesto je vhodné některá data chránit podobně restriktivním způsobem, na druhou stranu tento postup má svoje evidentní výhody a nevýhody. Mezi výhody patří vynutitelnost, tedy uvedená pravidla není možné změnit. Další výhodou je kompartmentalizace, tedy omezené vystavení každého zdroje jenom omezené skupině, toto omezení dokáže být výrazně přesnější než u hierarchické dědičnosti práv.
Takové řešení má ale i svoje nevýhody. První z nich je omezení komunikace a spolupráce, které může být kontraproduktivní, zvlášť u dynamických kolektivů. Pokud je vyžadována intenzivní spolupráce různých oddělení, může tento přístup vyžadovat úsilí navíc. Dále, vytváření a údržbu návěští zpravidla řídí specializovaná organizační struktura. Ta musí mít z principu podstatně vyšší oprávnění, protože musí tato data řídit.

DAC (Discretionary Access Control / diskreční řízení přístupu)

Řízení přístupu je založeno na ACL (Access Control List), tedy seznamech oprávnění. Ty jsou nastavovány vlastníkem zdroje, což může být správce systému (zdrojů) nebo autorem. Uvedené tabulky párují oprávnění ke zdrojům pro jednotlivé uživatele nebo uživatelské zdroje. Výhodou tohoto přístupu je extrémní jednoduchost nastavení a reakční rychlost systému (vlastník může nastavovat oprávnění pro jím poskytovaná data). Nevýhodou je nutnost procházet větší množství záznamů, kde některé z nich mohou a jiné nemusí mít přístupová práva. Následně je otázkou, jak budou uvedené kolize vyhodnocovány. Další nevýhodou je obtížné zjišťování přístupových oprávnění k jednotlivým zdrojům. Přesto se jedná o jeden z nejčastěji používaných systémů pro řízení přístupu.

RBAC (Role-based Access Control / řízení přístupu založené na roli)

Jedná se o řízení oprávnění na základě rolí, jinak řečeno, na základě vykonávané práce, pozice či role, nebo na základě příslušnosti k určité skupině uživatelů. Jedná se o oblíbený způsob, jak implementovat zásadu nejmenších potřebných oprávnění (LUA). Nasazení potřebuje odpovídající analýzu přístupů potřebných pro jednotlivé pozice a určení oprávnění pro přístupy k jednotlivým setům dat.
Výhodou je extrémní flexibilita. Uvedenou pružností se míní možnost přiřazení uživatelů k více rolím, využitím dědičnosti oprávnění v rámci hierarchie, definicím vztahů mezi rolemi, snadnou údržbou, centralizovanou politikou a omezováním možných střetů oprávnění. Nevýhodou je naproti tomu nutnost analýzy vztahů a povinností. Problémem se může stát přiřazování velkého množství překrývajících se rolí k uživateli, což může vést i k opomenutí při omezování přístupových oprávnění u daného uživatele. Na základě rozsahu pak může dojít k nutnosti vyvažování granularity řízení přístupu vůči celkové náročnosti správy.
Mimo uvedené základní metody se dále používají postupy, odvozené od těchto tří základních. Hrubé přiblížení je přibližně následující:

Context-based access control (CBAC)

Tato metoda se používá zpravidla na firewallech, kde na základě vlastností komunikace řídí schvalování nebo zamítání přístupu. V jednodušším případě se řeší, zda se jedná o schválený nebo neschválený komunikační protokol. Složitější systémy dokážou tento komunikační protokol analyzovat a schválit pouze pokud odpovídá standardní formě komunikace (pokud je správný kontext).

Graph-based access control (GBAC)

Jedná se o málo známou metodu, která je používána pouze v omezené skupině produktů. Při nastavování oprávnění se vytváří hierarchie společnosti spolu s grafem závislostí a oprávnění mezi uživateli. Na základě uvedených dat je poté možnost se systému dotazovat, zda uživatel může získat oprávnění přístupu k daným zdrojům.

Lattice-based access control (LBAC)

Uvedený přístup je založen na tvorbě matice oprávnění a jejich vzájemných interakcí, tedy vztahů mezi jednotlivými objekty. Uvedené vztahy následně dovolují definovat potřebná oprávnění. Jedná se o dobrý postup pro situaci, kdy ve standardní struktuře organizace vznikají specifické nezávislé úkolové skupiny, např. u projektů. Jedná se o systém, který má do jisté míry podobný přístup jako MAC, může mít v některých případech opodstatnění, jedná se ale o přístup extrémně složitý.

Organization-based access control (OrBAC)

Organizační schéma do jisté míry rozšiřuje původní RBAC a kombinuje ho s GBAC. Veškeré vztahy tak vycházejí z hierarchické struktury organizace.

Relationship-based access control (ReBAC)

Politika založená na vztazích mezi uživatelem a dokumentem vyžaduje definovat tento vztah, např. uživatel je autor dokumentu, pracuje na projektu popsaném v tomto projektu a podobně. Do jisté míry je možné uvedený vztah připodobnit k MAC, kde návěští je nahrazeno vztahem.

Rule-set-based access control (RSBAC)

Tento model je založen na vyhodnocování určitých pravidel a je hodně podobný např. struktuře oprávnění v rámci SeLINUX. Výhodou takového modelu je schopnost ovlivnit přidělování oprávnění v případě kolizí různých přidělení práv. Takový model je sice pružný, na druhou stranu vyžaduje značné úsilí pro implementaci.

ABAC/PBAC/CBAC (Attribute Based Access Control, Policy Based Access Control nebo Claim Based Access Control)

Jedná se o systémy řízení oprávnění, založené na definici atributů dat a politik. Politiky zajišťují přístup na základě vyhodnocování pravidel nad uvedenými atributy. Protože pravidla i atributy mohou poskytovat komplexní možnosti, je možné díky těmto technologiím navrhnout velice složité metody řízení přístupu. Při rozsáhlých nastaveních je tak nutné použít nějaké popisné schéma, které dovolí snadnější metody řízení. Asi nejznámější uvedenou metodou je popisné schéma nazývané XACML.

XACML (eXtensible Access Control Markup Language)

Jedná se o systém vyhodnocování atributů popsaný ve formátu XML. Vlastní zápis pravidel využívá vlastností jazyka Alfa (Axiomatic Language for Authorization). V současnosti je snahou výrobců používat na webových portálech a cloudových úložištích definici oprávnění právě pomocí XACML. Jeho ekvivalentem je další obdobný systém s názvem NGAC, principy jsou prakticky totožné.

Slabiny nasazení

Existují ještě další metody, které by si zasloužili popsat, ale možnost jejich nasazení je vždy určitým způsobem omezená. Obecným problémem všech těchto systémů jsou slabiny při řízení ochrany informací za okrajových podmínek, které ale mohou být pro daný systém řízení kamenem úrazu. Ty největší komplikace je možné shrnout do následujících bodů:


- Tvorba informací
Problém zde vyvstává díky tvorbě těchto informací na základě znalostní a zkušenostní báze konkrétních osob, které nemusí projít sítem pro řízení přístupu, tedy nemají odpovídající oprávnění. Buď jej jim tedy oprávnění poskytnuto, nebo zamítnuto a to i s dopadem na celý princip řízení přístupu k datům. Příkladem je seznámení se dotyčné osoby s daty na vyšší úrovní klasifikace nebo mimo rámec jejich oprávnění, to může mít vliv na ochranu konkrétního projektu.


- Přidělování oprávnění
Přidělování oprávnění může vyžadovat přístup k datům a jejich klasifikaci nezávislou skupinou osob. V tuto chvíli hrozí možnost, že se seznámí s údaji, které jsou mimo jejich prověření nebo oprávnění. Pokud se nejedná o nezávislou skupinu osob ale o vlastníka dat, závisí úroveň nastavení oprávnění hlavně na znalostech a zkušenostech této osoby.


- Řetězené přidělování oprávnění
Problém zřetězeného přidělování oprávnění hrozí nejenom v případě použití jednoho, ale i v případě použití kombinace několika způsobů řízení přístupu. Jako příklad je možné použít situaci, ke které dochází relativně často. Data mohou být uložená a zpracovávaná jedním systémem. Výstupy tohoto systému jdou do druhého, zpravidla s odlišnou klasifikací dat nebo jsou odlišně klasifikované pouze zpracovaná data. Navíc, často se v druhém systému mohou kombinovat data z prvního systému s dalšími zdroji. Výsledný problém vzniká z několika příčin. Buď v průběhu zpracování dojde ke ztrátě informací o klasifikaci dat, případně data nejsou reklasifikovaná, nebo spolu s kombinací dalších vstupů je možné získat data o stejné, případně vyšší klasifikaci než byla data původní. Díky tomu uživatel, který nemá přístup k datům v prvním systému, může získat podstatně cennější data v systému druhém.


- Kolize oprávnění
Jedná se o problematiku kolizí dvou a více přístupových oprávnění ke zdroji, kde každé z uvedených oprávnění poskytuje různé hodnoty oprávnění pro daného uživatele. Výsledný stav pak komplikuje vyhodnocování a je obtížné určit, které z těchto hodnot mají přednost. Naštěstí se zpravidla jedná o řízení přístupu metodou, kdy jsou standardně všechna práva omezena a povolují se pouze některá oprávnění, přesto je nutné si na uvedené situace dávat pozor.


- Data science / de-anonymizace dat
Uživatel může má přístup k datům s nízkou klasifikací, ale kombinací s dalšími daty může obnovit původní data s vyšší klasifikací nebo data, ke kterým nemá přístup. Jedná se o variantu problému podobného zřetězenému přidělování oprávnění. Řešením jako v předchozím případě je použití kurátorů dat a anonymizace výstupů způsobem, kdy se dotyčnému uživateli ztíží nebo znemožní jejich vytěžení (online modely, nikoliv pasivní model anonymizující data). Přesto, že se jedná o jednoduchý popis, řešení takového problému je extrémně náročné. Často znamená pochopení kontextu situace a dat, tedy i seznámení se s jejich obsahem.


- Kopie dat
Uživatel (případně aplikace pod právy uživatele) nebo správce mohou vytvořit kopie dat, tato data ale nemusí nést informace o přidělených oprávněních, nebo může vlastník dat přijít o databázi přístupových oprávnění. To vede ke dvěma situacím, kdy v první může k těmto datům přistupovat libovolná osoba, v druhém žádná. První příklad nastává v případě insider threat, exfiltrace dat ale i nevhodných metod zálohování, ke druhému může dojít například při útoku ransomware.


Závěr

V případě výběru systému je nutné znát i možnosti v oblasti volby autentizačních mechanismů, u nich je nutné dobře zvážit možnosti v oblasti řízení oprávnění uživatelů. Tyto mechanismy mají svoje omezení, proto je nutné se zamyslet, jakým způsobem oprávnění přidělovat. Alternativou je přejít na technologie, které budou oprávnění přidělovat požadovaným způsobem. Samozřejmě, nelze zapomínat na ochranu informací pomocí pravidel pro řízení přístupu po celou dobu jejich životního cyklu, klasifikace těchto informací je pak „jenom“ jejich další rozměr.

Reference:

  1. TSEC - Trusted Computer System Evaluation Criteria (Orange Book)
    Zdroj: https://www.nist.gov/
  2. BiBa - Integrity Consideration for Secure Computer Systems
    Zdroj: https://www.ucdavis.edu/
  3. BellLaPadula - Secure Computer Systems: Mathematical Foundations
    Zdroj: http://www.albany.edu/
  4. NIST - The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments
    Zdroj: http://www.nist.gov/
  5. NIST Role Based Access Control
    Zdroj: http://www.nist.gov/
  6. NIST Atribute Based Access Control (ABAC) Definition and Considerations
    Zdroj: http://www.nist.gov/
  7. OASIS eXtensible Access Control Markup Language (XACML) Version 3.0
    Zdroj: http://www.oasis-open.org/

Autor článku:

Jan Dušátko
Jan Dušátko

Jan Dušátko se počítačům a počítačové bezpečnosti věnuje již skoro čtvrt století. V oblasti kryptografie spolupracoval s předními odborníky např. s Vlastimilem Klímou, či Tomášem Rosou. V tuto chvíli pracuje jako bezpečnostní konzultant, jeho hlavní náplní jsou témata související s kryptografií, bezpečností, e-mailovou komunikací a linuxovými systémy.

Podobné články

Sdílení souborů protokolem SMB a kryptografie
16. 9. 2024
Sdílení souborů protokolem SMB a kryptografie
Sdílení souborů protokolem NFS a kryptografie
17. 9. 2024
Sdílení souborů protokolem NFS a kryptografie
Algoritmy odolné kvantovým počítačům
27. 9. 2024
Algoritmy odolné kvantovým počítačům
Ukládání hesel pomocí Crypt interface
8. 10. 2024
Ukládání hesel pomocí Crypt interface
logo

Vaše výuková platforma pro kryptografii
a bezpečnost.

Jan Dušátko
info@cryptosession.cz
+420 602 427 840

Pod Harfou 938/58
190 00, Praha 9

IČ: 43479766
DIČ: CZ 7208253041

Bankovní spojení:
78-7768770207/0100

© 2025 Cryptosession.cz Design: Lukáš Kejha, Development: Karel Tropp

1. Úvodní ustanovení

1.1. Tyto všeobecné obchodní podmínky jsou, není-li ve smlouvě písemně dohodnuto jinak, nedílnou součástí všech smluv týkajících školení, pořádaných nebo poskytovaných školitelem, Jan Dušátko, IČ 434 797 66, DIČ 7208253041, se sídlem Pod Harfou 938/58, Praha 9, zapsané u Úřadu městské části Praha 9 (dále jen „školitel“).
1.2. Smluvními stranami ve všeobecných obchodních podmínkách jsou míněni školitel a objednatel, kdy objednatel může být zároveň zprostředkovatelem smluvního vztahu.
1.3. Záležitosti, které nejsou upravené těmito obchodními podmínkami, se řeší podle Občanského zákoníků, tj. zákon č. 89/2012 Sb.

2. Vznik smlouvy přihlášením ke kurzu

2.1. Přihláškou se rozumí jednostranný úkon objednatele adresovaný školiteli prostřednictvím datové schránky s identifikací euxesuf, e-mailu na adresu register@cryptosession.cz nebo register@cryptosession.info, internetových stránek cryptosession.cz, cryptosession.info nebo kontaktním telefonem +420 602 427 840.
2.2. Odesláním přihlášky objednatel souhlasí s těmito všeobecnými podmínkami a prohlašuje, že se s nimi seznámil.
2.3. Přihláška se považuje za přijatou momentem potvrzení (stadnardně do 2 pracovních dní) školitelem nebo zprostředkovatelem. Toto potvrzení je zasláno do datové schránky nebo na kontaktní e-mail.
2.4. Standardní doba pro přihlášení je nejpozději 14 pracovních dní před konáním vzdělávací akce, pokud není uvedeno jinak. V případě fyzické nepodnikající osoby musí být objednávka alespoň 28 pracovních dní před konáním vzdělávací akce.
2.5. Na jednu přihláškou lze přihlásit i více než jednoho účastníka.
2.6. Pokud je více než 10 účastníků od jednoho objednatele, je možné se domluvit na školení v místě sídla zprostředkovatele nebo objednatele.
2.7. Přihlášky jsou přijímány a zpracovávány v pořadí, v jakém došly poskytovateli. Poskytovatel neprodleně informuje objednatele o všech skutečnostech. Těmi se míní naplnění kapacity, příliš nízký počet účastníků, nebo jiný závažný důvod, jako je nemoc lektora nebo zásah vyšší moci. Objednateli bude v tomto případě nabídnut nový termín, případně účast na jiné vzdělávací akci. V případě, že objednatel nebude s přesunutím či účastí na jiné nabídnuté vzdělávací akci souhlasit, poskytovatel mu vrátí účastnický poplatek. Nedostatečný účastníků je oznámen objednateli alespoň 14 dní před začátkem plánovaného termínu.
2.8. Smlouva mezi poskytovatelem a objednatelem vzniká odesláním potvrzení poskytovatelem objednateli.
2.9. Smlouvu lze změnit nebo zrušit pouze za splnění zákonných předpokladů a pouze písemně.

3. Zánik smlouvy zrušením přihlášky

3.1. Přihláška může být objednatelem zrušena pomocí e-mailu, nebo pomocí datové schránky.
3.2. Zákazník má právo stornovat svoji přihlášku na kurz 14 dní před konáním kurzu bez jakýchkoliv poplatků. Pokud se jedná o kratší dobu, dochází k následné změně. V intervalu 7-13 dní je účtován administrativní poplatek 10%, storno účasti v kratším intervalu než 7 dní pak poplatek 25%. V případě storna přihlášky nebo objednávky ze strany zákazníka je nabízena možnost účasti zákazníka v náhradním termínu bez dalšího poplatku. Právo na zrušení přihlášky zaniká realizací objednaného školení.
3.3. Při zrušení přihlášky školitelem náleží objednateli plná náhrada za neuskutečněnou akci.
3.4. Objednatel má právo žádat náhradní termín nebo náhradní školení. V takovém případě bude objednatel informován o všech otevřených kurzech. Náhradní termín si nelze vymáhat ani vynucovat, závisí na aktuální dostupnosti kurzu. Pokud má náhradní školení nižší cenu, objednatel doplatí rozdíl. Pokud má náhradní školení nižší cenu, školitel vrátí rozdíl cen školení objednateli.

4. Cena a platební podmínky

4.1. Odesláním přihlášky objednatel akceptuje smluvní cenu (dále jen účastnický poplatek) uvedenou u daného kurzu.
4.2. V případě více účastníků přihlášených jednou přihláškou je možná sleva.
4.3. Účastnický poplatek musí být uhrazen na bankovní účet společnosti vedený u Komerční banky č. 78-7768770207/0100. Při platbě je nutné uvést variabilní symbol, který je uveden na faktuře, odeslané objednateli školitelem.
4.4. Účastnický poplatek zahrnuje náklady poskytovatele včetně školicích materiálů. Poskytovatel je plátce DPH.
4.5. Účastnický poplatek je objednatel povinen uhradit do 14 pracovních dní od přijetí faktury, pokud nebylo samostatnou smlouvou uvedeno jinak.
4.6. Pokud se přihlášená osoba neúčastní školení a nedošlo k jiné domluvě, je její neúčast považována za storno příhlášku v intervalu kratším než 7 dní, tj. školiteli náleží odměna ve výši 25% z ceny kurzu. Přeplatek je vrácen do 14 dní na platební účet odesílatele, ze kterého byly prostředky odeslány. Platba na jiné číslo účtu není možná.
4.7. Nejdéle do 5 pracovních dní od začátku školení bude školitelem vystavena faktura, která bude dle dohody odeslána e-mailem nebo datovou schránkou.

5. Podmínky školení

5.1. Školitel je povinnen informovat objednatele 14 dní dopředu o místě a času školení, včetně termínu zahájení a ukončení denního programu.
5.2. Pokud objednatel není studentem kurzu, je povinnen zajistit distribuci těchto informací koncovým účastníkům. Za nesplnění těchto podmínek školitel nenese odpovědnost.
5.2. Standardně školení probíhá v čase od 9:00 do 17:00 na předem určeném místě.
5.3. Školitel může být dle aktuálních podmínek k dispozici od 8:00 do 9:00 a následně od 17:00 do 18:00 pro dotazy účastníků.
5.4. Na konci školení je koncovým uživatelům předán certifikát o absolovování.
5.5. Na konci školení koncoví uživatelé vyhodnocují přístup lektora a mají se vyjádřit k ohodnocení jeho prezentace, způsobu přednesení a ohodnotit významn poskytnutých informací.

6. Reklamace

6.1. Pokud je účastník hrubě nespokojen s průběhem kurzu, je školitel o této informaci vyrozuměn.
6.2. Důvody nespokojenosti jsou ten samý den zapsány do protokolu ve dvou kopiích. Jedna je předána objednateli a jednu má školitel.
6.3. Vyjádření k reklamaci bude podáno e-mailem do dvou týdnů. Následně do jednoho týdne bude domluven způsob řešení.
6.4. Nespokojenost zákazníka může být důvodem k rozvázání další spolupráce, nebo finanční kompenzaci až do výše ceny školení po odečtení nákladů.

7. Autorská práva k poskytnutým materiálům

7.1. Školicí materiály poskytnuté školitelem v rámci konání školení splňují znaky autorského díla dle zákona č. 121/2000 Sb.
7.2. Žádný ze školicích materiálů ani jeho část nesmí být bez předchozího písemného souhlasu školitele jakýmkoli způsobem dále zpracovávána, rozmnožována, rozšiřována nebo využívána k dalším prezentacím nebo školením.

8. Zodpovědnost

8.1. Školitel nepřebírá odpovědnost za nedostatky ve službách kterékoliv třetí strany, kterou využívá při školeních.
8.2. Školitel nepřebírá odpovědnost za zranění, škody a ztráty, vzniklé účastníkům vzdělávacích akcí, nebo které byly účastníky způsobeny. Takové náklady, způsobené uvedenými okolnostmi, ponese výhradně účastník vzdělávací akce.

9. Platnost podmínek

9.1 Tyto všeobecné obchodní podmínky jsou platné a účinné od 1. října 2024.

Informace o sběru a zpravování osobních údajů

Zpracovatel Jan Dušátko (dále jen „Správce“), dle nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „Nařízení“) zpracovává osobní údaje. Dále jsou rozepsané jednotlivé osobní údaje, které jsou součástí zpracování při konkrétních aktivitách u této webové prezentace a v rámci obchodního styku.
Přestože je sběr dat všudypřítomný, provoz tohoto webu si zakládá na právu na soukromí každého uživatele. Z uvedeného důvodu sběr informací o uživatelích probíhá v naprosto nezbytné míře a to jen v případě, kdy se uživatel rozhodne kontaktovat provozovatele. Jakýkoliv další sběr a zpracování dat považujeme za neetický.

Informace o záznamech přístupu na webovou prezentaci

Tento web nesbírá žádné cookies. Stránka nepoužívá ani žádné analytické scripty třetích stran (sociální sítě, cloud provideři). Z těchto důvodů je také nabízena volba pro zobrazení mapy formou odkazu, kde primárním zdrojem je OpenStreet a alternativy pak často používané Mapy společnosti Seznam, a.s., případně Google Maps společnosti Google LLC Inc. Využití jakéhokoliv z těchto zdrojů je zcela na libovůli uživatelů těchto stránek. Správce nenese odpovědnost za sběr dat realizovaný těmito společnostmi, neposkytuje jim data o uživatelích a na sběru dat nespolupracuje.
Logování přístupů probíhá pouze na úrovni systému, důvodem je identifikace případných technických nebo bezpečnostních problémů. Dalšími důvody jsou přehledové statistiky přístupů. V této oblasti se nesbírají ani nesledují žádné konkrétní údaje a všechny záznamy o přístupech jsou po třech měsících mazány.

Informace o kontaktování provozovatele stránek

Formulář pro kontaktování provozovatele stránek (správce) obsahuje následující osobní údaje: jméno, příjmení, e-mail. Tyto údaje jsou určeny jen a pouze pro tuto komunikaci, odpovídající oslovení uživatele a jsou udržovány po dobu nezbytnou k naplnění účelu, maximálně pak po dobu jednoho roku, pokud si uživatel neurčí jinak.

Informace o objednávkovém formuláři

Pro případ zájmu o objednávku formulář obsahuje více údajů, tj. jméno, příjmení, e-mail a kontaktní údaje na organizaci. Tyto údaje jsou určeny jen a pouze pro tuto komunikaci, odpovídající oslovení uživatele a jsou udržovány po dobu jednoho roku, pokud si uživatel neurčí jinak. V případě, kdy na základě této objednávky dojde k uzavření obchodního vztahu, budou nadále správcem udržovány pouze informace vyžadované českými zákony na základě obchodních vztahů (název a adresa společnosti, číslo bankovního účtu, typ kurzu a jeho cena).

Informace o dokumentu o absolovování kurzu

V rámci kurzu je vydán zpracovatelem dokument o absolovování kurzu. Tento dokument obsahuje následující údaje: jméno a příjmení studenta, název a datum absolovování kurzu a jméno zaměstnavatele. Uvedené informace se následně používají pro tvorbu lineárního stromu hashí (nemodifikovatelný záznam). Tato databáze obsahuje pouze informace o poskytnutých jménech a názvech společností, které mohou a a nemusí odpovídat realitě a je udržován zpracovatelem pro případné opětovné vystavení nebo ověření vydání dokumentu.

Práva subjektu osobních údajů

Zákazník nebo návštěvník tohoto webu má možnost požádat o informace o zpracování osobních údajů, právo požadovat přístup k osobním údajům, případně právo požádat o opravu nebo výmaz veškerých dat, které by o něm byly vedeny. V případě výmazu tento požadavek není možné splnit pouze pokud se nejedná o data nezbytně nutná v rámci obchodního styku. Zákazník nebo návštěvník webu má dále právo na vysvětlení týkající se zpracování jeho osobních údajů, pokud tento zjistí nebo se domnívá, že zpracování je prováděno v rozporu s ochranou jeho soukromého a osobního života nebo v rozporu s platnými právními předpisy a právo požadovat odstranění takto vzniklého stavu a zajištění nápravy.
Zákazník/návštěvník tohoto webu dále může požadovat omezení zpracování nebo vznést námitku proti zpracování údajů a má právo kdykoliv písemně svůj souhlas se zpracováním osobních údajů odvolat, aniž by tím byla dotčena zákonnost jejich zpracování předcházející takovému odvolání. Pro tyto účel slouží kontaktní e-mail adresa support@cryptosession.cz
Zákazník/návštěvník má právo podat stížnost proti zpracování osobních údajů u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů.

404

Nemohu nalézt vámi požadovanou stránku, nebo to někdo přehnal se šifrováním.

Váš požadavek nemohu nalézt