-
@wklinger @CNIL @StripeFrance C’est exactement ce que la CNIL a dit. Et elle a considéré que laisser des factures contenant nom/prénom/adresse et peut-être des coordonnées bancaires n’était pas « adaptable » à partir du moment où il n’y avait pas d’authentification.Permalink On twitter.com
♻️ 1 Retweets
Mood 0
-
@wklinger @CNIL @StripeFrance En particulier tu peux mettre l’entropie que tu veux dans l’URL, sans authentification client n’importe qui ayant par exemple accès au mail t’envoyant le lien de la facture a aussi accès à tes données personnelles.Permalink On twitter.com
♻️ 1 Retweets
Mood 0
-
@wklinger @CNIL @StripeFrance L’entropie protège uniquement d’un bruteforce par un tiers complètement extérieur. La problématique de la CNIL est plus large et concerne l’accès à la donnée par une personne autre que celle dont il est question dans la facture.Permalink On twitter.com
Mood 0
-
@wklinger @CNIL @StripeFrance Ça intègre donc aussi des personnes proches à très proche. Ton conjoint, tes enfants, ton patron… ou l’hébergeur de ton mail.On twitter.com
Mood 0
-
@wklinger @CNIL @StripeFrance Et dans ces cas-là, il est alors réellement impossible de faire autrement pour se mettre en conformité que de restreindre l’accès à ce document par une authentification qui ne doit pas se trouver dans l’email/contenu/URL en question.Permalink On twitter.com
Mood 0
-
@wklinger @CNIL @StripeFrance Charge ensuite à l’entreprise en question de décider ce qu’elle souhaite comme authentification, mais sans passer par l’authentification cliente standard, j’ai vraiment du mal à voir comment se rendre conforme.Permalink On twitter.com
Mood 0