Sicherheit: Reduktion der sichtbaren Felder bei Lesezugriff

[patrickuhlmann]

Als Betreiber möchte ich zwar eine gewisse Sichtbarkeit von Personen ermöglichen, um den Austausch und eine effiziente Zusammenarbeit zu fördern. Allerdings sind dafür nicht alle Felder relevant.

Neu sollen für Personen, welche keinen Schreibzugriff auf eine Person haben (z. B. weil sie Lesen Gruppe oder Baum haben oder das Attribut contact data) weniger Felder sichtbar sein als früher.

Situation heute (Contact Data)

Im unstenstehenden Beispiel wie ein AL der Abteilung X einen AL der Abteilung Y sieht.

Listenansicht (aus Sicht anderer AL)

Personenansicht (aus Sicht anderer AL)

Situation heute (Lesen Gruppe)

Im unstenstehenden Beispiel wie ein Teilnehmer der Abteilung X in der Gruppe Y einen anderen Teilnehmer in der Abteilung X in der Gruppe Y sieht.

Listenansicht (aus Sicht anderer TN)

Personenansicht (aus Sicht anderer TN)

Tech-Spec

Lesen Baum/Lesen Gruppe

• Listenansicht (für Lesen Baum und Lesen Gruppe)
  • Angezeigt werden: Name, Vorname, Jungschiname, Firma, Rollen (solche mit contact data), Haupt E-Mail (und solche die als öffentlich markiert sind), Telefonnummern (nur solche die als öffentlich markiert sind).
  • Die Adrese wird nicht mehr angezeigt.
• Personenansicht (für Lesen Baum und Lesen Gruppe)
  • Angezeigt werden: Name, Vorname, Jungschiname, Firma, Haupt E-Mail (und solche die als öffentlich markiert sind), Telefonnummern (nur solche die als öffentlich markiert sind), Social Media (nur solche die als öffentlich markiert sind).
  • Die Adresse wird nicht mehr angezeigt.
  • Es wird nicht mehr angzeigt mit wem man im gleichen Haushalt wohnt.
  • Es werden nicht mehr angezeigt: Titel, Eintrittsdatum, AHV-Nummer alt, Anrede Eltern, Name Eltern, Mitgliederkarte Nummer, Nationalität, Anrede, Korrespondenzsprache, Kanton, Konfession, Zusätzliche Angaben
  • Folgende Register werden nicht mehr angezeigt: Abos, Nachrichten, Mitarbeiter/-innen

ContactData

• Listenansicht (für ContactData)
  • Angezeigt werden: Name, Vorname, Jungschiname, Firma, Rollen (solche mit contact data), Haupt E-Mail (und solche die als öffentlich markiert sind), Telefonnummern (nur solche die als öffentlich markiert sind).
  • Die Adrese wird nicht mehr angezeigt.
• Person (für ContactData)
  • Angezeigt werden: Name, Vorname, Jungschiname, Firma, Haupt E-Mail (und solche die als öffentlich markiert sind), Telefonnummern (nur solche die als öffentlich markiert sind), Social Media (nur solche die als öffentlich markiert sind).
  • Die Adresse wird nicht mehr angezeigt.
  • Es wird nicht mehr angzeigt mit wem man im gleichen Haushalt wohnt.
  • Folgende Register werden nicht mehr angezeigt: Mitarbeiter/-innen

Noch zu verfeinern

• Verhalten Listenansicht Spalten ein- und ausblenden -> was kann eingeblendet werden?
• Verhalten Export, wer kann Export nutzen -> was wird angezeigt?
• Verhalten Anlässe und Kurse
• Verhalten Abos -> z. B. erstellen von Adresslisten für Versände? durchdenken
• Verhalten API
• Überlegen betreffend Arbeit Geschäftsstelle und Seki -> reichen die Felder aus um Versände etc. zu administrieren. Durchdenken
• Gibt es noch andere Orte wo ausgeblendete Felder angezeigt werden, z. B. Suche?

ToDo

[ ] Umsetzen gemäss Tech Spec

[nchiapol]

Ich hatte eben einen Gedanken: "Die Adresse wird nicht mehr angezeigt." ist ok, wenn es sich bei den Kontakten um andere Leiter handelt. Es ist aber möglicherweise ein Problem wenn es sich um Externe Adressen/Geschäftskontakte handelt. Dort ist möglicherweise nur die Adresse vorhanden und relevant und es ist unklar, ob dort alle relevanten Personen _full rechte besitzen.

[patrickuhlmann]

Ich hatte eben einen Gedanken: "Die Adresse wird nicht mehr angezeigt." ist ok, wenn es sich bei den Kontakten um andere Leiter handelt. Es ist aber möglicherweise ein Problem wenn es sich um Externe Adressen/Geschäftskontakte handelt. Dort ist möglicherweise nur die Adresse vorhanden und relevant und es ist unklar, ob dort alle relevanten Personen _full rechte besitzen.

Das könnte möglich sein aber sollte dann die (organisatorische) Lösung nicht sein das die relevanten Personen in solchen Gruppen als Adressverwalter eingetragen werden?

Was ich mich eher frage ist ob es bei Abos funktioniert die breit per Post versendet werden sollen. Beispielsweise eine Verbandszeitschrift die an alle Leiter (und andere Personen gehen soll).

[nchiapol]

Ich glaube die Situation ist in beiden Fällen die gleiche. Es kann sein, dass jemand ein "Adressbuch" mit Kontakten erstellt und andere diese Kontakte sehen aber nicht bearbeiten sollen. Z.B. eine Liste von Geschäften mit Cevi-Rabatt.

Es liessen sich sicher jeweils organisatorische Lösungen für diese Fälle finden. Ich glaube aber, dass die Einschränkung bei der Post-Adresse vor allem mühsame ist und wenig Nutzen bringt. Wenn eine einzelne Adresse sensitiv ist, sollte sie wohl gar nicht in der DB erfasst werden - und wenn jemand nicht verantwortungsvoll mit Post-Adressen umgeht sollte er auch keinen Zugriff auf Telefonnummern oder E-Mail haben...

[patrickuhlmann]

Ein Fall der ebenfalls beschrieben werden sollte ist wenn in einem Anlass/Kurs die Option "Teilnehmende können sich gegenseitig in der Teilnehmerliste sehen" gesetzt ist.