Kiinnitetty keskustelu

Elisa Viihde API Info



Näytä ensimmäinen kirjoitus
Tämä keskustelu on suljettu, eikä sitä voi kommentoida.

415 kommenttia

Käyttäjätaso 5
Tuonne on upotettu sen verran hyvin kyytiin "kehittäjä maksaa" ja "avustamaan korvauksetta" klausaaleja, että sopimusta kirjoittanut ei ole selvästikkään osannut huomioida, että kyseessä on yksityishenkilölle kohdistettu sopimus. Auditointivaateet (ulkopuolinen?) ja näistä koituvien kustannusten joko osittainen tai täysimääräinen maksuvelvollisuus, joka kerta kun joku (myös Elisan asiakas) pyytää auditointia. Tämäkin viittaa b2b sopimusajatteluun.

Kuten arra kommentoi, niin kohtuuttomat ehdot eivät päde, mutta niiden perusteella voidaan vääntää kallista tuomioistuinaikaa hyvänlaisesti. Ei se paljoa lämmitä, jos lopulta kierrosten jälkeen todetaan etteivät päde, mutta oikeudenkäyntikulut jää maksettavaksi.

Täytyy ottaa lasi viskiä ja lukea jokaista pilkkua ja pistettä myöten tuo lappu. Näyttää siltä, että ne lakiopin tunnit kaupallisessa koulutuksessa eivät olleet turhia.

Voin olla pessimisti, mutta ilman pientä pessimismiä ja tervettä epäluuloa en olisi päässyt tähän asti elämässä...

Monta kysymystä jää auki tai ainakin mietityttämään.
Käyttäjätaso 2
Papru ei onneksi meille asti ehtinyt juhannustani pilaamaan.

Minua on alusta asti askarruttanut seuraava:

- minulla on apikey
- teen jonkun softan ja julkaisen sen lähdekoodeineen
- sitten joku nappaa apikeyn ja tekee oman softansa, joka sitten tekee jotain ikävää

Jotenkin tuntuu että ihan loppuun asti ajatus ei kanna?
Käyttäjätaso 4
Käytännössä joudut tekemään koodin niin, että apikey tulee tarvittaessa muuttujasta. Ja julkaiset koodin ilman api-keytä kommentoimalla kohdan, jossa muuttujaan asetetaan api-key..

-edit- Itse asiassa tästähän tuli mieleen helppo ratkaisu, jolla tuo elisan ehtolitanjan ongelmilta välttyy. Tehkää apuohjelma, joka lukee käyttäjätunnuksen ohessa API keyn init tiedoistosta.. ja sitten init tiedostossa tietenkään ole noita (tunnus, salasana, apikey). Ja readme:ssä ohje hakea Elisalta API-key ohjelman käyttöä varten.. ja käsittelemään API-keytä kuin käyttäjätunnusta ja salasanaa salaisena vain itsellään.

Elisa ehkä saattaa tukehtua noihin pyyntöihin, joka pakottanee heidät sitten miettimään jotain vähän järkevämpää ja vähemmän uhkaavan sävyistä sopimusta... 😉 Tai esimerkiksi tekemään "amatööri apikeyn" jota voivat kaikki yksityishenkilöt käyttää (firmat sitten käyttöehdoilla ja sopimusehdoilla velvoittaa hankkimaan pro-api-key, johon pätee tuollaiset b2b ehdot)
Käyttäjätaso 5
ByteHeaven kirjoitti:

Käytännössä joudut tekemään koodin niin, että apikey tulee tarvittaessa muuttujasta. Ja julkaiset koodin ilman api-keytä kommentoimalla kohdan, jossa muuttujaan asetetaan api-key..



Oikeastaan ainoa ratkaisu on tuo, kun olen tässä pähkäillyt. Mitään salausta ei voi iskeä, kun koodit on julkisia. Tosin tiedän montakin, jotka ovat viimeisen 5v aikana säästäneet minun aikaa sillä, että ovat hakeneet lähdekoodit ja kääntäneet eViihteestä omassa koneessa toimivan version. Useasti syynä on ollut käyttisten päivittyminen ja siitä seuranneet yllätykset. Tämä ei sitten jatkossa ole enää mahdollinen, kun osa koodista ei ole repossa.
Käyttäjätaso 2
ByteHeaven kirjoitti:

Käytännössä joudut tekemään koodin niin, että apikey tulee tarvittaessa muuttujasta. Ja julkaiset koodin ilman api-keytä kommentoimalla kohdan, jossa muuttujaan asetetaan api-key..



Jolloin jokainen käyttäjä joutuu hakemaan oman apikeyn. Ja allekirjoittamaan oman GDPR-paprun 🙂
apikeyn kryptauskaan ei auta koska Fiddler ja muut debuggerit.
Käyttäjätaso 4
Esim. ViihdeHelperin kohdalla, koska on javascriptissä kirjoitettu, niin apikey on julkaistussa versiossakin luettavissa jos tietää mistä hakea.
Pääsen kyllä koko tämän ongelman ohi, koska selainlaajennus ajetaan elisaviihde-sivulla, niin pystyn lukemaan bearer authentication token suoraan window-oliosta.
Käyttäjätaso 4
st72 kirjoitti:


Jolloin jokainen käyttäjä joutuu hakemaan oman apikeyn. Ja allekirjoittamaan oman GDPR-paprun 🙂
apikeyn kryptauskaan ei auta koska Fiddler ja muut debuggerit.



Ehdinkin jo editoida viestiini tuon saman ajatuksen ja sen, että se ehkä olisi jopa hyvä ajatus ja pakottaisi Elisan miettimään ratkaisua uudelleen yksityishenkilö vs. firma välillä ja siitä, että näitä ehkä pitäisi käsitellä eri tavoin 🙂
Käyttäjätaso 4
Kun kyselin asiasta sain vastauksen että tällä hetkellä, autentikointi seuraa tätä mallia: https://tools.ietf.org/html/rfc6749#section-4.3

Huomautin että tämä ei kuitenkaan sovellu klienttipohjaisiin ratkaisuihin, ja vastauksena oli että se on tiedossa ja tämä malli vaatinee pienen remontin jossain vaiheessa.
Käyttäjätaso 5
asmandos kirjoitti:

Kun kyselin asiasta sain vastauksen että tällä hetkellä, autentikointi seuraa tätä mallia: https://tools.ietf.org/html/rfc6749#section-4.3

Huomautin että tämä ei kuitenkaan sovellu klienttipohjaisiin ratkaisuihin, ja vastauksena oli että se on tiedossa ja tämä malli vaatinee pienen remontin jossain vaiheessa.



Eli kirjoitamme vielä kerran softat uusiksi osittain?
Ihan käsittämätöntä toimintaa ja vielä huonompaa tiedottamista Elisalta. Muutama huomio:
1. Mitä tekemistä GDPR:llä on vanhan API:n kanssa? Kysytty monta kertaa, vastausta ei saatu.
2. "Tieto tuotiin julki heti kun se oli tarjolla" ja sitten muutamassa päivässä vanhasta API:sta sammutettiin valot. Niinkö nopeasti uusi API tehtiin, vai tiedettiinkö kupletin juoni kuitenkin jo paljon aiemmin, mutta valittiin radiohiljaisuus?
3. Täällä Elisan aloittamassa ketjussa käyttäjät joutuvat arpomaan asioita sen sijaan että tietoa jaettaisiin kunnolla Elisan toimesta.

"Ollaan pahoillaan" ei oikein auta eikä edes kuulosta uskottavalta, kun ilmiselvästi on toimittu vastoin asiakkaiden tarpeita. Onneksi ei ole enää määräaikainen Viihde itsellä. Menee vaihtoon pikapikaa, jos ViihdeHelper tai MediaManager ei ala pian toimia... sääli...
Käyttäjätaso 5
kiisseli kirjoitti:

"Tieto tuotiin julki heti kun se oli tarjolla" ja sitten muutamassa päivässä vanhasta API:sta sammutettiin valot.


Korjaan. Se sammutettiin 24 tunnin varoitusajalla. Kertoo kaiken. I rest my case.
Käyttäjätaso 4
Onko kukaan saanut vastauksia/kommentteja Elisalta liittyen GDPR-sopimukseen?
Käyttäjätaso 5
asmandos kirjoitti:

Onko kukaan saanut vastauksia/kommentteja Elisalta liittyen GDPR-sopimukseen?



Hiljaista on edelleenkin.
ssulti kirjoitti:

asmandos kirjoitti:

Onko kukaan saanut vastauksia/kommentteja Elisalta liittyen GDPR-sopimukseen?



Hiljaista on edelleenkin.


Mites eviihteen käy jos ja kun tohon GDPR-sopimukseen ei tule muutosta? Pystytkö sen jotenkin tekemään silleen että sun peräreikäs olis turvassa? Oli täällä muutamalla heebolla mun mielestä ihan hyvä idea miten sen sais turvallisesti päivitettyä.

ViihdeHelperin tarina taitaa olla pelattu jos tohon sopimukseen ei tule muutosta 😞 Näin ainakin ymmärsin asmandin viestistä blogissaan.
Käyttäjätaso 1
Juhannuksena tutkin api dokumentaatiota sekä python kirjastoa ja sehän oli ihan ok ja selvä. Plussana robot framework testipätkä jolla saa helposti tarkasteltua json vastaukset jne.

Sain parin illan leikkimisen jälkeen kodille päivitettyä Elisa viihde addon:n joka toimii paremmin kuin vanhalla api:lla.
En voi tai uskalla tuota jakaa GDPR-sopparin takia.
No nautin tekeleestä vain itse vaikka olisi kiva jakaa se muillekin.

Ihmeen kauan elisalta meni api-dokkarin ja esimerkkikoodin kanssa. Ne ei muuten ole ihan synkassa keskenään :?
Rellu kirjoitti:

Juhannuksena tutkin api dokumentaatiota sekä python kirjastoa ja sehän oli ihan ok ja selvä. Plussana robot framework testipätkä jolla saa helposti tarkasteltua json vastaukset jne.

Sain parin illan leikkimisen jälkeen kodille päivitettyä Elisa viihde addon:n joka toimii paremmin kuin vanhalla api:lla.
En voi tai uskalla tuota jakaa GDPR-sopparin takia.
No nautin tekeleestä vain itse vaikka olisi kiva jakaa se muillekin.

Ihmeen kauan elisalta meni api-dokkarin ja esimerkkikoodin kanssa. Ne ei muuten ole ihan synkassa keskenään :?


Kui vaikee semmone addoni o tehä 😃
Patomiäs kirjoitti:

Olemme pahoillamme että muutoksesta tiedotettiin viime tingassa 😞 Tieto tuotiin julki heti kun se oli tarjolla.

API on käytössä ihan käyttäjien omia toiminteita varten ja nyt siitä on siis uusi versio tarjolla, mille on tarjolla jopa tukea ja apua verrattuna aiempaan. Aloituksessa löytyy suora linkki tuohon Palstatiimin YV:seen, mitä kautta voidaan kehittäjille katsoa tietoa ja tukea tarjolle. ViihdeX ja muut eivät siis ole Elisan itsensä kehittämiä (tämä nyt vielä tarkennuksena) vaan kyseessä on ns. kolmannenosapuolen tarjoama palvelu.

Eli jos kiinnostuneita löytyy, niin Palstatiimille YV:tä ja katsotaan tuota apua ja tukea uuden API:n käyttöönottoon. Vastaamme noihin yhteydenottoihin mahdollisimman pian, mutta viivettä voi toisinaan valitettavasti olla etenkin viikonloppujen kohdalla.


En oikeen ymmärrä sitä että sovelluksen tekoa varten annetaan tarvittava apu mutta sitten kun sovelluksen haluisi jakaa muillekkin niin ensin odotellaan gdpr paperia viikkotolkulla ja sitten sieltä paljastuukin ettei yksityishenkilö sitä välttämättä uskalla jakaa. Mikä järki? Mä oikeasti toivon että tohon hommaan on tulossa joku muutos.
Käyttäjätaso 1
Jos joku nyt saa tehtyä Elisa viihde media managerin joka toimii niinkuin ennenkin VLC:n kanssa työpöydältä, niin minä kyllä voin sen pistää jakoon 🆒
Käyttäjätaso 5
aksu1999 kirjoitti:

Mites eviihteen käy jos ja kun tohon GDPR-sopimukseen ei tule muutosta? Pystytkö sen jotenkin tekemään silleen että sun peräreikäs olis turvassa? Oli täällä muutamalla heebolla mun mielestä ihan hyvä idea miten sen sais turvallisesti päivitettyä.



Ei ainoastaan GDPR hierrä, myös API dokumentaatio (tai oikeammin sen heikko laatu) ja itse APInan toimivuus tuottaa sen verran paljon tuskaa, että on harkinnassa miten tekee. Teknisesti varmaankin voitettavissa haasteet, mutta lakiteknisten nyanssien ja yritys-menttaliteetilla tehdyn vastuunsiirtoon tähtäävän sopimuksen vuoksi joudun edelleenkin odottamaan ja seuraamaan miten Elisa näihin kommentteihin reagoi. Jos ei reagoi, oma reaktio on, että tämä saattaa olla hyvinkin tässä.

Rellu kirjoitti:

Juhannuksena tutkin api dokumentaatiota sekä python kirjastoa ja sehän oli ihan ok ja selvä. Plussana robot framework testipätkä jolla saa helposti tarkasteltua json vastaukset jne.

Ihmeen kauan elisalta meni api-dokkarin ja esimerkkikoodin kanssa. Ne ei muuten ole ihan synkassa keskenään :?



Sepä se. Dokkari ja API, eikä esimerkit ole synkassa. Itse apissa on monessa kohtaa "magic numbereita" (v=n.n esimerkiksi), jotka näyttää vaikuttavan toimintaan isosti. Dokumentaatio on jätetty alle sen, jonka edes käsittäisi "pakollinen minimi". Nyt se dokumentti on tasolla, jonka olettaisin olevan siinä kohtaa kun kehittäjä unelmoi digitaalisen paperin reunaan mitä featureja voisi olla.

Saitko jotenkin haettua kansiokohtaiset tiedot, vai saako addonisi suoraan Elisaviihde.fi sivulta tietoja ilman tätä uutta apinaa?
Käyttäjätaso 1
Miten jonkin yksittäisen tietokoneessa/puhelimessa/tabletissa ajettavan sovelluksen kirjautumistiedot voivat olla jonkin GDPR-sopimuksen alaista tietoa? Käyttäjätietokantahan on kunkin palveluntarjoajan hallinnassa eikä millään sovelluksella pitäisi olla mitään pääsyä koko käyttäjätietokantaan. Tietokoneessa yksittäisen käyttäjän käytössä olevia sovelluksia, jotka tallentavat ko. käyttäjän kirjautumistiedot koneella, on olemassa pilvin pimein, eikä kenelläkään muulla ole tässä asiassa mitään ongelmaa.

Kertokaa nyt selvin sanoin, mikä teidän mielestänne tässä on sovelluskehittäjän ongelma? Kehittäjänäkään te ette saa sovelluksenne kaikkien käyttäjien(ne) tietoja käsiinne.
Käyttäjätaso 1
Plugari on tehty pythonilla niin pääsin helpommalla alkuun, koska Elisan esimerkki oli myös Pythonia.
Suosittelen kokeilemaan robot testiajoa. Tarviitte vaihtaa vain henkilökohtaisen api key tuohon xx.py tiedostoon. Robotin testitiedostoon taas käyttis ja salasana sekä joku olemassa oleva programid. Kun saatte robotin ajoista PASS kaikkiin kohtiin niin voi avata html tiedoston jossa json vastaukset sekä kyselyiden syntaksi.
json parseri auttaa näkemään mitä elisa api suoltaa ulos.
Itse käytän http://json.parser.online.fr/
Sieltä selviää helposti millainen syntaksi on. Visual studiolla ainakin tuo json-vastaus aukeaa kivasti omaan ikkunaan ja sen parserointi on ainakin c#:ssa helppoa.

Hakemistotiedot saa uuden apin kautta samoin kuin webbisivun kauttakin.

Jos python onnistuu niin kannattaa kokeilla esimerkkiohjelmaa. Sieltä puuttuu moni käsky mutta niiden lisäys menee dokumentaation avulla helposti.
Ohessa Hesarin asiallinen juttu GDPR:stä. Aika paljon euroja on heitetty kaivoon, kun on pelästytty varjoja. En keksinyt vielä selkeää yhteyttä, miten Elisa voisi saada yksityisen ihmisen korvausvastuuseen GDPR nojalla, sovellusten tekeminen ja jakaminen ei sinällään ole laitonta. Käyttäjätunnukset ja muut tiedot ovat joka tapauksessa Elisan hallussa.

Kopioin leipätekstin tähän, alimmaisena linkki alkuperäiseen artikkeliin. En tiedä, aukeaako se vain Hesarin tilaajille.

---

Konsultit ratsastivat EU:n tietosuoja-asetuksen uhkakuvilla – Tietosuojavaltuutetun mukaan jättimäisillä viranomaissanktioilla uhkailu oli täysin väärin

Suomalaiset yritykset käyttivät miljoonia EU:n tietosuoja-asetukseen varautumiseen. Kuluttajat saivat oikeuden, jota harva on toistaiseksi hyödyntänyt.

Samuli Pulkkinen HS

Julkaistu: 24.6. 2:00 , Päivitetty: 24.6. 15:39

Tietosuoja-asetusta valvova viranomainen Reijo Aarnio moittii konsulttifirmoja harhaan johtamisesta ja rahastuksesta.

Aarnion mukaan konsulttiyritykset pelottelivat asiakkaitaan liian raflaavasti tietosuoja-asetus gdpr:ään liittyvillä sanktioilla.

”-- viranomaisten sanktiomahdollisuudet kasvavat huomattavasti – seuraamusmaksut ulottuvat jopa 20 miljoonaan euroon tai 4 prosenttiin organisaation globaalista liikevaihdosta”, opastetaan esimerkiksi asianajotoimiston perustamalla Tietosuoja.info-sivulla.

Sama tieto hurjista maksimisanktioista toistui kevään aikana lukemattomien koulutusten kuvauksissa ja tietosuoja-asetuksesta kertovissa ohjeissa. Osassa myös kerrottiin, että summista sovelletaan sitä, kumpi vain on suurempi.

Niinpä asetuksen varalle koulutettiin niin taloyhtiöiden hallituksia kuin kyläyhdistysten ja järjestöjen aktiiveja. Käytännössä jokaisen yrityksen ja julkishallinnon toimijan tulee ottaa asetuksen tuomat muutokset huomioon ja useissa suurissa yrityksissä vaatimuksiin varauduttiin jopa vuosien mittaisilla projekteilla.

Euroopan laajuinen tietosuoja-asetus astui voimaan toukokuun lopussa.

Aarnio sanoo sanktiokeskustelun menneen väärille raiteille.

”Sanktiotoimivallan käyttö ei ole vielä valmis, mutta kyseessä on Euroopan laajuinen käytäntöjen harmonisointi, jolla halutaan estää esimerkiksi toimipaikkashoppailu sen perusteella, missä rikkeistä määrättäisiin pienempiä sanktioita. Sikäli superviranomaisen lätkimien neljän prosentin sanktioiden toitottaminen on totaalisen väärin.”

Rahallisten sanktioiden saaminen edellyttäisi Aarnion mukaan joka tapauksessa erittäin pitkän, yksitoistaportaisen asteikon täyttymistä. Voiko ajatella, että sanktioista puhumisen taustalla on myös rahastusta?

”Totta kai voi ajatella. Tällä uhalla ovat ratsastaneet konsultit ja koulutuspalveluiden tarjoajat ynnä muut toimijat. Meille on kantautunut myös korviin, että vastuuta on sopimuksia tehdessä yritetty vierittää alihankintaketjussa eteenpäin”, Aarnio sanoo.

”Asian ympärillä on liikkunut paljon hypetystä ja väärää tietoa ja varmasti on yritetty myös rahastaa tämän varjolla. Historia tulee sitten tuomitsemaan, miten tämän viestinnässä on onnistuttu”, hän lisää.

Konsulttien liiketoiminta kasvoi

Ainakin siltä osin viestintä on onnistunut, että konsulteilla on riittänyt töitä.

Isoista toimijoista esimerkiksi PricewaterhouseCoopersin (PwC) tietosuojaprojektien päällikkö Harri Leinonen kertoo yrityksen rekrytoineen lisää henkilökuntaa gdpr-projektien tarpeisiin.

Tietosuojaprojektien osuus liiketoiminnasta kasvoi viime vuonna merkittävästi ja melkein kaikki kasvusta tuli muiden riskienhallintaprojektien lisäksi.

Leinosen mukaan he ovat asiakkaille mahdollisista sanktioista maininneet, mutta eivät millään tavalla uhkailleet tai edes korostaneet niitä.

”Jos Suomen edeltävään lainsäädäntöön vertaa, tärkeimmät gdpr:n tuomat uudet asiat olivat osoitusvelvollisuus ja mahdollisuus sanktioihin, jos asiat hoitaa pitkään väärin.”

Tietosuoja.info-sivuston perustaneen asianajotoimisto Lukander Ruohola HTO:n osakas, varatuomari Tatu Kulmala sanoo olevansa asiassa ”täsmälleen samaa mieltä” tietosuojavaltuutetun kanssa.

”Sen tyyppistä kyllä on ollut ja erityyppisiä konsultteja on ollut liikkeellä, mutta meidän sivullamme asia on mielestäni tuotu asiallisesti esiin”, hän sanoo.

Sanktioista puhumiselle on hänestäkin silti ollut myös perusteita.

”Se on minusta saattanut asian sille tasolle, että yritysten johdossa on tiedostettu, miten tärkeää henkilötietojen asianmukainen käsittely on.”

Lukander Ruohola HTO:n asiakkaat alkoivat olla suurissa määrin liikkeellä pääosin tämän vuoden puolella.

”Isot yritykset olivat aktivoituneet jo aikaisemmin, PK-sektori heräsi vasta myöhemmin. Ja oli osa isoistakin yrityksistä liikkeellä vasta kalkkiviivoilla. Siinä vaiheessa moni organisaatio meni tukkoon, kun työtä tuli niin paljon.”

”Itselläni ei ole koskaan ollut näin paljon töitä kuin tänä keväänä. Tulee mieleen, että euron käyttöönotto oli edellinen näin laajalti näkynyt muutos, siinä mielessä mittakaava oli aivan valtava.”

Eivätkä suomalaiset toimijat ole tietoturva-asetuksen edessä yksin. Sama varautumisrumba on ollut käynnissä läpi Euroopan.

Ja koska asetus koskee kaikkia, jotka käsittelevät eurooppalaisten tietoja, siihen jouduttiin varautumaan myös Euroopan ulkopuolella. Useat yhdysvaltalaiset verkkoyritykset päätyivät toukokuussa lopettamaan palvelujensa tarjoamisen eurooppalaisille asiakkaille ennemmin kuin ottivat riskin huhuttujen miljoonasanktioiden lankeamisesta.

Asetukseen varauduttiin suurin summin

Arvioita summista, joita suomalaisyritykset ovat tietosuoja-asetukseen varautumiseen käyttäneet, ei juuri ole. Osin gdpr-projekteissa käytettyjä summia on myös vaikea erotella muusta tietoturvasta huolehtimisesta.

Kansainvälisiä arvioita esitteli Forbes toukokuisessa artikkelissaan, jonka mukaan suurimmat yritykset Yhdysvalloissa (Fortune 500) ja Britanniassa (FTSE 350) ovat käyttäneet tietosuoja-asetukseen valmistautumiseen yhteensä yli 7,5 miljardia euroa.

Konsulttiyritys Sia Partners puolestaan esitti tammikuussa arvion jopa 500 euron summasta yrityksen työntekijää kohden.

PwC:n Leinosen korviin summa kuulostaa kuitenkin liian suurelle.

”Näppituntuma on, että isommillakin asiakkailla kokonaisuudet jäivät pääsääntöisesti alle 100 000 euron suuruusluokkaan sisältäen asiakkaan omassa organisaatiossaan tekemän työn”, hän sanoo.

Suurista projekteista joka tapauksessa on kyse. Kaikissa suurissa yrityksissä, joista Helsingin Sanomat asiaa kysyi, gdpr-projektien kerrottiin kestäneen vähintään vuoden ajan. Usein koko henkilökunta on käynyt asiaa koskevan koulutuksen, jolloin käytetylle työajallekin kertyy hintaa.

Esimerkiksi Keskon tietosuojahanke alkoi toukokuussa 2016 ja hankkeeseen osallistui yli 200 asiantuntijaa seitsemässä eri toimintamaassa.

”Pääsääntöisesti hanke tehtiin omin voimin kouluttamalla ja käymällä läpi käytäntöjä ja ohjeita. Ulkopuolisia tahoja oli mukana muun muassa kehityspuolella ja tietojärjestelmien muokkaamisessa”, K-ryhmän kuluttajadatasta vastaava Minna Vakkilainen kertoo.

Vaikka sanktioiden uhka olisikin pienempi kuin annettiin ymmärtää, se ei välttämättä ollut pelkästään pahasta.

”Sanktiot saivat ehkä vakavoitumaan asian edessä. Ne eivät olleet peikko, mutta auttoivat asettamaan koko tekemiselle tärkeysasteen. Keskossa puhutaan vahvasti, että asiakkailla on oikeus tietoihinsa ja omaan yksityisyyteensä. Siihen nähden tietoturva-asetus on erittäin hyvä asia ja motiivi sen taustalla on oikein hyvä.”

Vain harva on ollut kiinnostunut uusista oikeuksistaan

Tietosuoja-asetuksen myötä mikä tahansa yritys tai organisaatio, jolla on mitä tahansa tallennettuja henkilötietoja, on velvollinen antamaan kysyjille heidän omat tietonsa.

Pyydettäessä se on myös tehtävä sellaisessa muodossa, että tiedot on siirrettävissä toisiin palveluihin. Monin paikoin tämä on edellyttänyt eri kokoisia muutoksia yritysten tietojärjestelmiin.

Osassa yrityksistä asiakkaat pääsevät suoraan lataamaan omat tietonsa verkkosivujen kautta, osassa pyyntöjen käsittely on enemmän tai vähemmän käsityötä.

Yrityksistä OP Ryhmä arvioi, etteivät tietopyynnöt asetuksen voimaantulon jälkeen ole lisääntyneet, S-ryhmään pyyntöjä on tullut jopa aiempaa vähemmän.

Keskon Vakkilainen arvioi tietopyyntöjä tulleen aiempaa enemmän, mutta oletettua maltillisemmin: kaiken kaikkiaan noin 200, kun rekisterissä on yli 3,6 miljoonan suomalaisen tiedot. Asiakkaat eivät ole siis rynnänneet hyödyntämään oikeuksiaan.

Osana asetusta yrityksillä on myös velvollisuus ilmoittaa havaituista tietoturvaloukkauksista tietosuojavaltuutetun toimistoon. Näitä ilmoituksia kertyi ensimmäisten 19 päivän aikana toista sataa.

”Etukäteen arviomme, että yhteydenottoja tulisi 1 300 vuodessa. Siihen verrattuna tuo on aika hurja määrä”, Aarnio sanoo.

”Tilannetta seurataan kesän mittaan ja vedetään sitten yhteen. Vielä ei ole esimerkiksi tietoa, ovatko yritykset informoineet asiakkaitaan kuten asetus edellyttää. Asetuksen kohta, joka velvoittaa ilmoitusten tekemiseen, näyttäisi kuitenkin osoittautuneen hyväksi.”

Sanktioilla pelotteluun viranomaiset eivät ole lähteneet, vaan niistä puhuminen on jäänyt yksityisille toimijoille.

”Meillä on ihan oma viestintä- ja tiedotusstrategiamme, emmekä ole lähteneet hypeen mukaan. Asiassa mennään kuin juna eteenpäin ja rakennetaan EU:n laajuiset käytännöt”, Aarnio sanoo.

”Tuntuu, että tähän hankkeeseen lähdettiin aika syvältä. Kansalaiset eivät tienneet omia oikeuksiaan eivätkä yritykset velvollisuuksiaan. Siinä mielessä tämä on ollut hyvä herätys kaikille.”
---
https://www.hs.fi/kotimaa/art-2000005730671.html
Käyttäjätaso 6
Kunniamerkki +3
API keyn maskeeraamiseen ei helppoa konstia oikeastaan ole, mutta tälle ei suoraan myöskään ole tarvetta. API key tarvitaan, jotta voimme tunnistaa kehittäjän joka sovelluksen on tehnyt. Tämä tarvitaan vain siihen, että meillä on henkilö johon voimme olla yhteydessä mikäli havaitaan epäilyttävää toimintaa. API key ei siis itsessään GDPR:n näkökulmasta tee kehittäjästä vastuullista avaimen kautta tapahtuvista transaktioista.

GDPR:n osalta muutenkin kehittäjän tulee lähinnä tunnistaa vain se, että hän käsittelee tietoja, jotka voivat sisältää henkilödataa ja sen vuoksi kehittäjän tulee käsitellä tietoja vastuullisesti. Vastuussa kehittäjä on siis vain omasta toiminnastaan.

Lisäksi nostaisin vielä huomiolle sen, että seuraamme kyllä tätä keskustelulankaa, eli tarvetta erillisille keskustelunavauksille täällä esitetyille asioille ei ole. Vastausten saaminen voi valitettavasti välillä kestää, kun ei ihan Palstatiimin omimpiin tehtäviin sidonnaista ole tämä API, mutta pyrimme kyllä selvittämään mikäli kysymyksiä herää. Itsessään API:n käytöstä emme siis myöskään osaa suorilta vastata, vaan siihen suosittelemmekin vertaistuen hyödyntämistä täällä Palstalla. Eli emme osaa sanoa että "miten juttu X toimii" tai "aiemmin X tapahtui kun kirjoitin [koodia], mutta miten se nyt tehdään" vaan näihin kannattaa hakea apuja täältä muilta kehittäjiltä 🙂
Patomiäs kirjoitti:

API keyn maskeeraamiseen ei helppoa konstia oikeastaan ole, mutta tälle ei suoraan myöskään ole tarvetta. API key tarvitaan, jotta voimme tunnistaa kehittäjän joka sovelluksen on tehnyt. Tämä tarvitaan vain siihen, että meillä on henkilö johon voimme olla yhteydessä mikäli havaitaan epäilyttävää toimintaa. API key ei siis itsessään GDPR:n näkökulmasta tee kehittäjästä vastuullista avaimen kautta tapahtuvista transaktioista.

GDPR:n osalta muutenkin kehittäjän tulee lähinnä tunnistaa vain se, että hän käsittelee tietoja, jotka voivat sisältää henkilödataa ja sen vuoksi kehittäjän tulee käsitellä tietoja vastuullisesti. Vastuussa kehittäjä on siis vain omasta toiminnastaan.

Lisäksi nostaisin vielä huomiolle sen, että seuraamme kyllä tätä keskustelulankaa, eli tarvetta erillisille keskustelunavauksille täällä esitetyille asioille ei ole. Vastausten saaminen voi valitettavasti välillä kestää, kun ei ihan Palstatiimin omimpiin tehtäviin sidonnaista ole tämä API, mutta pyrimme kyllä selvittämään mikäli kysymyksiä herää. Itsessään API:n käytöstä emme siis myöskään osaa suorilta vastata, vaan siihen suosittelemmekin vertaistuen hyödyntämistä täällä Palstalla. Eli emme osaa sanoa että "miten juttu X toimii" tai "aiemmin X tapahtui kun kirjoitin [koodia], mutta miten se nyt tehdään" vaan näihin kannattaa hakea apuja täältä muilta kehittäjiltä :)



Mitäs tää nyt sit meinaa? Voiko sovelluksen julkaista ilman et tulee kuraa niskaa..
Käyttäjätaso 1
Patomiäs kirjoitti:

API keyn maskeeraamiseen ei helppoa konstia oikeastaan ole, mutta tälle ei suoraan myöskään ole tarvetta. API key tarvitaan, jotta voimme tunnistaa kehittäjän joka sovelluksen on tehnyt. Tämä tarvitaan vain siihen, että meillä on henkilö johon voimme olla yhteydessä mikäli havaitaan epäilyttävää toimintaa. API key ei siis itsessään GDPR:n näkökulmasta tee kehittäjästä vastuullista avaimen kautta tapahtuvista transaktioista.


En itse tiedä tuosta API:sta mitään, mutta varmaankaan API:n kautta ei pääse käyttäjätietokantaan, joten se on Elisan hallussa oli jollakulla sitten API key tai ei.

Jos API key on sovelluskohtainen eikä käyttäjäkohtainen, itse en näkisi mitään estettä julkaista sovellusta jossa on mukana API key. Mitä tulee sovelluksen tallentamiin kirjautumistietoihin, jokainen hyvä koodari varmaan osaa tehdä riittävän vahvan salauksen noihin kirjautumistietoihin, jotta mikään malware ei pääse sovelluksen kautta Elisan rajapintaan ja siten aiheuttaa tilanne, joka olisi GDPR-sopimukseen kuuluva asia.