[Koha-bugs] [Bug 21190] GDPR: Log successful/unsuccessful login attempts [part 1]

bugzilla-daemon at bugs.koha-community.org bugzilla-daemon at bugs.koha-community.org
Tue Apr 7 11:41:39 CEST 2020 

https://bugs.koha-community.org/bugzilla3/show_bug.cgi?id=21190

--- Comment #72 from Jonathan Druart <jonathan.druart at bugs.koha-community.org> ---
To me, the relevant part of the document
(https://dre.pt/application/conteudo/114937034) is page 1429:

"""
Capacidade de monitorização, registo e análise de toda a atividade de acessos
de modo a procurar ameaças prováveis.


Deve ser guardado registo de atividade (log) de todas as ações que um
utiliza-dor efetue sobre dados pessoais, independentemente do seu perfil e
função.Obrigatório.

[1] Todos os registos de atividade (log) devem ser armazenados apenas em modo
de leitura, devendo, com uma periodicidade máxima de 1 mês, ser englo-bados 
num  único  bloco  de  registos  e  assinado  digitalmente  (garantia  de 
integridade).Obrigatório.

[2] Deve ser guardado registo de atividade (log) de todos os acessos e
tentativas falhadas de acesso, obedecendo aos requisitos
anteriores.Obrigatório.

Garantir que os registos de atividade provenientes dos diversos subsistemas
(Sistemas Operativos, aplicações, browsers, Sistema de Gestão de Base de Dados
— SGBD, etc.) são inequivocamente associados à sua origem.Obrigatório.

Os registos de atividade (log) devem conter, no mínimo, o endereço de acesso
(IP e Porto), Host, HASH da conta do utilizador que efetuou a ação, ação
efe-tuada (CRUD), Tipo de Dado Pessoal onde a ação foi efetuada,
data/hora/mi-nuto/segundo (TimeStamp) da ação, alteração efetuada sobre o dado
pessoal.Obrigatório.
"""

Trying a translation of the block [1] that we need here:
"""
All logs should be stored in read-only mode and kept for a maximum of 1 month.
"""
But I do not understand the second part (Vitor, could you help? "ser
englo-bados  num  único  bloco  de  registos  e  assinado  digitalmente")

Block [2]:
"""
Must bbe kept all activity log of all accesses and failed access attempts must
be saved, in compliance with the previous requirements.
"""

So I think we must comply with the "maximum of 1 month". What about having a
new switch to cleanup_database to get a module-name and action-name parameter
for --logs? Or maybe we already deal with this part on a separate bug report?

-- 
You are receiving this mail because:
You are watching all bug changes.

More information about the Koha-bugs mailing list