Sensible Daten speichern - Vereinsseite

gismo07 · 2. Mai 2016

Hallo,

ich bin gerade dabei für meinen Verein eine neue Homepage aufzubauen.
Natürlich verwende ich hierzu die aktuellste joomla Version.

Mit dieser wird zukünftig die gesamte Vereinsverwaltung betrieben.

Jedes Mitglied hat einen eigenen Account. Hierzu verwenden ich den Community Builder.
Es sollen verschiedene Daten in der Datenbank gespeichert werden.

Kopfschmerzen bereitet mir, dass auch die Bankdaten gespeichert werden sollen.

Wie kann ich diese sensiblen Daten sicher schützen?
Gibt es hierzu eine bewährte Herangehensweise?

Ich bin für jeden Rat dankbar

Indigo66 · 2. Mai 2016

Solche Daten müssten verschlüsselt abgelegt werden, so wie das Benutzerpasswort in Joomla.
Das kann imho keine Joomlaerweiterung von sich aus. Das müsstest Du Dir programmieren lassen und entsprechend den Core hacken.
Auch die Übermittlung der Daten muss verschlüsselt sein, wobei ein SSL-Zertifikat des Host das kleinste Problem ist.

IMHO ist das den Aufwand nicht wert und ich würde eine andere Lösung (Postweg) bez. Bankdaten suchen.

gismo07 · 2. Mai 2016

Progeammieren würde ich es selber das ist kein Problem.
Die Frage ist nur, ob jemand so was schon gemacht hat.

Aufwand gibt es auf jeden Fall...

Elwood · 2. Mai 2016

Zitat von gismo07

Die Frage ist nur, ob jemand so was schon gemacht hat

Vielleicht das hier:

https://www.kandanda.net/

flotte · 2. Mai 2016

Steht leider nirgendwo das die Daten verschlüsselt abgelegt werden.
Das ist ein must-have. Laß Dich auf nichts anderes ein.

gismo07 · 3. Mai 2016

Kandanda hab ich mir im Vorfeld schon angeschaut. Mir ist nicht ersichtlich ob dort die Daten verschlüsselt werden.

Was haltet ihr von folgendem Ansatz => MySQL Daten verschlüsselt ablegen?

bembelimen · 3. Mai 2016

Hallo,

Kandanda verschlüsselt die Daten nicht per Haus aus, es ist aber soweit alles so programmiert, damit man solch eine Funktion implementieren kann.

Die Frage, die sich eher stellt ist die Sinnhaftigkeit solch eines unternehmens...

Eine Verschlüsselung bedeutet, dass man einen (oder mehrere) Keys hat, mit der die Verschlüsselungsfunktion gefüttert werden. Mindestens einer dieser Keys (=> public/private) wird dabei geheim gehalten und dann zur Entschlüsselung genutzt.

Was bedeutet das für eine Mitgliederverwaltung? Angenommen, es wird eine solche Verschlüsselung implementiert, man verschlüsselt alle sensiblen Daten mit einem (oder mehreren) Key(s). Die erste Frage ist nun: wohin mit dem Key?
Möglichkeit 1: man muss jedesmal wenn man auf die Daten zugreifen will den Key angeben (=> Gefahr Keylogger). Ich glaube, darauf hat man wenig Lust, das bei jedem Klick zu machen, oder wenn man die Daten durchsuchen will, oder bearbeiten...
Möglichkeit 2: man speichert den Key irgendwo auf dem Server. Das hat bisschen was von: man baut sich einen Schutzbunker und legt dann den Wohnungsschlüssel vor der Tür unter einen Stein.

Zitat von flotte

Das ist ein must-have. Laß Dich auf nichts anderes ein.

Das ist eine Frage des Szenarios. Wenn Hacker Daten auslesen ist der Hack ja meistens gezielt. Hier hat man mit Möglichkeit 2 eh schon verloren. Möglichkeit 1 halte ich für unrealistisch, weil damit ist ein flüssiges arbeiten nicht möglich.

Somit bleibt nur Möglichkeit 3: keine sensiblen Daten ins Internet... (wobei fraglich ist, ob ein IBAN darunter fällt...)

firstlady · 3. Mai 2016

Mein IBAN steht auf jeder meiner Rechnungen - zusammen mit meinem vollen Namen .. und der Adresse ... im Klartext .. und jeder darf es benutzen um mir was zu überweisen

Lui_brempt · 3. Mai 2016

Die des vereins steht natürlich auch auf der HP und die freuen sich auch über Spenden.
Der Vorstand freut sich aber nicht mehr, wenn die Mitgliedsdaten von hackern abgegriffen werden. der muss dass dann nämlich seinen Mitgliedern gegenüber vertreten.
Bevor die Speicherung erfolgt sollten auch die Vereinsatzung und dieses ggf. ergänzenden Dinge wie Beitrags- und oder Datenschutzordnung genau geprüft werden, ob diese eine Verarbeitung der daten im Netz und elektronisch decken. Hier kann man sich unter Umständen viel Ärger und Diskussion in den Verein holen. Dies sollte gut vorbereitet sein.

Re:Later · 3. Mai 2016

Mal die Frage an TE eingeworfen, wozu Bankdaten von Vereinsmitgliedern überhaupt speichern? Was hat der Verein davon?
Arbeitsersparnis kanns ja nicht sein.

Für ggf. (stressige) Abwicklung von SEPA-Mandaten gehört das nebenbei lesbar ausschließlich in die Hände/Safe/Onlinebanking von Kassen/Kontenwarten und nicht in die Hände von Joomla-Administratoren oder -Programmierern.

Und wenns nur ein "Wir wollen das halt" ist, würde ich das verweigern.

UweS · 3. Mai 2016

Und dran denken (Aus eigener Erfahrung) > Datenschutzbeauftragten benennen, Datenschutzerklärung vom Mitglied unterschreiben lassen etc...

Aligator13 · 3. Mai 2016

Es gibt z.B. libsepa, eine Erweiterung zu PHP, welche es z.B. ermöglicht, SEPA-Lastschrift-Anweisungen zu generieren und zu exportieren. Diverse Rechnungsprogramme nutzen diese Möglichkeit, um größere Mengen von Lastschriften zu verarbeiten, was manuell kaum noch möglich wäre - der Sportverein, in dem ich tätig bin, hat mehrere tausend Mitglieder, bei denen alle 3 Monate Geld eingezogen wird. Manuell ist das kaum machbar.

Vielleicht ist das ja geplant. Sollte dies der Fall sein: Hier würde ich mit getrennten Systemen arbeiten.

Dies könnte z.B. folgendermaßen aussehen:

System A: Vereinswebseite mit Benutzerverwaltung über SSL-Verbindung
System B: Abrechnungssystem, eingeschränkt erreichbar (ggf. nur von der IP des Servers, auf dem die Joomla-Vereinswebseite installiert ist, ansonsten nur aus dem Netz des Vereins selbst - das kann man dann natürlich noch feiner ausarbeiten)

System A könnte hier die Eingaben des Nutzers über eine API ansteuern, welche nur einen Schreibzugriff erlaubt, nicht jedoch ein Lesezugriff. D.h. der Benutzer kann zwar neue SEPA-Daten eingeben, diese werden allerdings nicht in der Joomla-DB gespeichert, sondern direkt über die Schnittstelle geschrieben werden. Diese Funktion könnte beispielsweise nur das Schreiben von Daten erlauben, nicht aber das Lesen.

Vielleicht wäre das ein guter Ansatz, um das Problem der Datensicherheit zu lösen.

deGobbis · 3. Mai 2016

Bei aller Liebe zu Joomla!, ich glaube aber für deine Zwecke ist admidio besser geeignet.

gismo07 · 4. Mai 2016

Soweit ich weiß werden unsere Beiträge jährlich abgerechnet.
Mitgliederzahl beträgt so um die 200.

Also ich bin der Meinung, dass die Onlinespeicherung der Bankdaten (auch mit Mandatsreferenznummer) weder besonders viel Sinn noch Arbeitserleichterung bringen wird.
Haben wollen sie es aber... warum? Aus Gründen haha

Zu sagen ist noch, dass ich das Projekt ehrenamtlich (ohne Geld) mache, da ist mir eine Speicherung von sensiblen Daten echt zu heikel.
Vor allem weil es ja nicht wirklich sinnvoll ist.

Aber vielen Dank für eure Ratschläge, gerade das mit der Satzung wird noch ein richtig nettes Thema.

Elwood · 4. Mai 2016

Moin,

als ich damals für unseren Reitverein tätig war, haben wir eine Vereinsverwaltung unserer Sparkasse verwendet.
Dazu gibt es einen Hompagebaukasten mit integrierter Community: https://www.s-verein.de/

Damals habe ich mich noch nicht mit Joomla beschäftigt. Daher weiß ich nicht, ob man sie mit Joomla kombinieren kann.
Vielleicht die Einbindung über iframe/wrapper.

Und ob es sowas bei eurem Kreditinstitut gibt.

courtino · 8. Mai 2016

Hallo gismo07, im Prinzip mache ich das gleiche wie du - Sportverein Seite verwalten über Joomla zusätzlich mache ich die gesamte Vereinsverwaltung der Mitglieder (1200) mit Abbuchung teilw. monatl. bei neuen Mitgliedern und Meldung an den BLSV die ganze Vereinsverwaltung mache ich mit VAB von Schäfer, bekommen wir kostenlos über die Raiffeinsenbank da das unsere Hausbank ist. ist einfach man kann alles damit verwalten und du hast nicht dein oben beschriebenes Problem.
Wenn das ganze deine Hausbank nicht unterstützt kann man ja es auch selbst erwerben. Ich hoffe ich habe dir etwas geholfen
gruß courtino aus dem tiefen süden

Tags