PEOPLE: Spender:innen-Daten vertraulich hinterlegen (W7)

[mlue00]

Als Administrator:in der GLP wünsche ich mir eine neue Rolle, welche als einzigen die Spender:innen-Gruppen und Rollen sehen kann, damit der Datenschutz gewährleistet werden kann.

Neu sollen die Gruppen der Spender:innen geheim und nur für Personen mit der Spendenverwalter:in-Rolle sichtbar sein. Das gilt beispielsweise für den cercle d'avenir.

Tech-Spec

• Spender:innen-Gruppen sind nur für Spendenverwalter:innen sichtbar
• Es gibt Spendenverwalter:innen auf dem Layer GLP Schweiz
• Es gibt Spendenverwalter:innen auf Sublayer und Subgruppen der GLP Schweiz
• Neue Spendenverwalter:innen aller Layer und Gruppen werden durch bestehende Admins des Layers GLP Schweiz bestimmt (analog zu der aktuellen Vergabe der Adminrechte)
• Für alle anderen sind die Gruppen und Rollen der Spender:innen unsichtbar. Auch auf betreffenden Personenprofilen sind diese nicht zu sehen. Die Spender:innen sehen sich gegenseitig ebenfalls nicht.
• Siehe auch Spendenverwaltung Cevi

ToDo

• [x] Auf jeder Ebene eine Gruppenart Spender mit Gruppenart Spender (permissions: []) anlegen
• [x] Neue Spendenverwalter:innen-Rolle erstellen (Spendenverwalter)
• [x] Spender:innen für alle Gruppen und Rollen mit Ausnahme der Spendenverwalter:innen-Rolle unsichtbar machen
  • [x] PersonReadables
  • [x] Rolle ist auch nicht für Filter verfügbar
  • [x] Rolle ist nicht auf People#show sichtbar
  • [x] Rolle ist nicht in Rollenliste von API (überall, wo RoleSerializer referenziert wird)
  • [x] Im PaperTrail verstecken (sowohl das Hinzufügen wie das Entfernen)
• [x] Spendenverwalter:innen-Rolle nur durch Spendenverwalter:innen des Layers GLP Schweiz verteilbar
  • [x] RoleAbility
• [ ] initiale Spendenverwalter:in-Rolle vergeben
• [x] Specs schreiben
• [x] Mit angemessener Rolle "durchklicken"
  • [x] Spender
  • [x] Spendenverwalter
  • [x] normales Mitglied, das weder noch ist
• [ ] Übersetzungen
• [x] CHANGELOG-Eintrag unter "unreleased" unten hinzufügen

[TheWalkingLeek]

Gibt es aktuell schon Spender? Ich habe gar keine Gruppe/Rolle gefunden welche das darstellen könnte.. Wenn man die auch noch erstellen muss gerne mit Beschrieb wo und mit welchen Rechten ergänzen :)

[olibrian]

Aktuell gibt es keine Daten welche migriert werden müssen. Nach der Umstellung wird der Kunde entsprechende Gruppen anlegen und Personen ergänzen.

[TheWalkingLeek]

Es gibt bereits einen feature branch: https://github.com/hitobito/hitobito_glp/tree/feature/33_hide_donor_data Gruppen & Rollenart Spender ist bereits hinzugefügt

[sampmueller]

Hallo zusammen Ich komme leider zum Schluss, dass dieses Feature zu einem grossen Teil nicht wie beschrieben umgesetzt wurde. Könntet Ihr bitte nochmals die Spezifikationen durchgehen und sicherstellen, dass sie umgesetzt wurden? Aktuell sehe ich keinen Sinn in einem Testbericht oder weiterem Testen.

[sampmueller]

"Du erhältst bis morgen Abend unsere Schätzung für die Umsetzung der unsichtbaren Gruppen (W7)."

Merci, danach schaue ich wie gesagt bei uns intern, wie wir weiterfahren, und gebe Euch so schnell wie möglich Bescheid.

"Wenn du uns das Ok gibst beginnen wir mit deren Umsetzung. Zeitgleich können wir dann die weiteren Anpassungen für das Issue W7 vornehmen. Diese sind: Hinzufügen von neuen Spender:innen auf Sublayer ermöglichen. (Analog Anpassung Admins)"

Korrekt, auf allen Sublayern.

"Erstellen von neuen Spenderverwalter:innen soll nur für Spendenverwalter:innen der Ebene GLP Schweiz möglich sein. (Analog Anpassung Admins)"

Richtig, oder anders gesagt: analog aktueller Ist-Zustand bei unseren Admins.

"Vereinfachte Ansicht für Spender:innen aktivieren, wie jene bei den Sympatisant:innen und Mitglieder"

Ja, wer nur eine, zwei oder alle drei von diesen Rollen hat (Spender:in, Sympathisant:in, Mitglied), soll die vereinfachte Ansicht sehen, wenn er/sie sich einloggt.

[carlobeltrame]

Zur späteren Referenz, hier die Liste von bisher erkannten Änderungen, die nötig sind um gewisse Gruppen (in diesem Fall Spendergruppen) für Unberechtigte komplett unsichtbar zu machen. Bisher ist in hitobito die komplette Gruppenstruktur (nicht aber die Personen darin) immer für alle sichtbar, darum die hohe Anzahl an nötigen Änderungen. Es ist zudem zu erwarten, dass in Zukunft weitere nötige Änderungen auftauchen, um die Spendergruppen an weiteren Orten unsichtbar zu machen. Wenn solche versteckte Gruppen implementiert werden, muss auch in Zukunft bei Erweiterungen am generischen hitobito Core immer daran gedacht werden, dass diese Erweiterung nicht kaputt geht und die geheimen Gruppen auch nicht durch neue Features irgendwo sichtbar werden. Darum erhöht sich mit diesem Feature auch der regelmässige Wartungsaufwand.

Erkannte nötige Änderungen (vermutlich nicht abschliessende Liste):

• Zugriff auf Spendergruppen für Unberechtigte via Berechtigungssystem ausschliessen
• Spendergruppen in linker Haupt-Navigation für Unberechtigte ausblenden
• Spendergruppen in Liste der Untergruppen einer Gruppe (auf dem Info-Tab) für Unberechtigte ausblenden
• Spendergruppen für Unberechtigte aus der globalen Suche ausschliessen
• Spendergruppen für Unberechtigte bei der Auswahl / Suche von Gruppen/Rollen als Abo-Abonnenten ausschliessen
• Spendergruppen und deren Anlässe für Unberechtigte bei der Auswahl von Anlässen als Abo-Abonnenten ausschliessen
• Spendergruppen für Unberechtigte bei der Rollenauswahl in Personenfiltern ausschliessen
• Spendergruppen für Unberechtigte aus bestehenden gespeicherten Personenfiltern ausschliessen
• Anlässe von Spendergruppen für Unberechtigte in der "Anlässe"-Ansicht im linken Hauptmenü ausschliessen
• Spendergruppen für Unberechtigte bei den Auswahlmöglichkeiten im Gruppe-verschieben-Dialog ausschliessen
• Spendergruppen für Unberechtigte bei den Auswahlmöglichkeiten im Gruppe-fusionieren-Dialog ausschliessen
• Spendergruppen für Unberechtigte bei den Auswahlmöglichkeiten in den Multiselect-Rollen-Dialogen ausschliessen
• Anlässe von Spendergruppen für Unberechtigte im Multiselect "Zu Anlass hinzufügen"-Dialog ausschliessen
• Spender für Unberechtigte beim Duplikats-Feature ausschliessen
• Zugriffsanfragen überprüfen sodass nie ein Name einer Spendergruppe exponiert wird
• Logs aus Spendergruppen für Unberechtigte aus dem Gruppen-Log entfernen
• Gruppen-Notizen auf Spendergruppen für Unberechtigte aus den zusammengezogenen Gruppen-Notizen auf der übergeordneten Gruppe ausschliessen
• Gelöschte Spender-Gruppen für Unberechtigte aus der Anzeige von gelöschten Untergruppen ausschliessen
• In der Ansicht "Ohne Rollen" sicherstellen dass Unberechtigte keine ehemaligen Spender sehen können
• Bei Gruppen-Kalendern für Unberechtigte die Auswahl von Spendergruppen ausschliessen
• In der alten JSON API für Unberechtigte den Zugriff auf Spendergruppen verhindern
• In der neuen JSON API für Unberechtigte den Zugriff auf Spendergruppen verhindern
• Bei OAuth-Applikationen mit with_roles oder openid Scope sicherstellen, dass keine Spendergruppen oder -rollen exponiert werden

[sampmueller]

Zur späteren Referenz, hier die Liste von bisher erkannten Änderungen, die nötig sind um gewisse Gruppen (in diesem Fall Spendergruppen) für Unberechtigte komplett unsichtbar zu machen. Bisher ist in hitobito die komplette Gruppenstruktur (nicht aber die Personen darin) immer für alle sichtbar, darum die hohe Anzahl an nötigen Änderungen. Es ist zudem zu erwarten, dass in Zukunft weitere nötige Änderungen auftauchen, um die Spendergruppen an weiteren Orten unsichtbar zu machen. Wenn solche versteckte Gruppen implementiert werden, muss auch in Zukunft bei Erweiterungen am generischen hitobito Core immer daran gedacht werden, dass diese Erweiterung nicht kaputt geht und die geheimen Gruppen auch nicht durch neue Features irgendwo sichtbar werden. Darum erhöht sich mit diesem Feature auch der regelmässige Wartungsaufwand.

Erkannte nötige Änderungen (vermutlich nicht abschliessende Liste):

• Zugriff auf Spendergruppen für Unberechtigte via Berechtigungssystem ausschliessen
• Spendergruppen in linker Haupt-Navigation für Unberechtigte ausblenden
• Spendergruppen in Liste der Untergruppen einer Gruppe (auf dem Info-Tab) für Unberechtigte ausblenden
• Spendergruppen für Unberechtigte aus der globalen Suche ausschliessen
• Spendergruppen für Unberechtigte bei der Auswahl / Suche von Gruppen/Rollen als Abo-Abonnenten ausschliessen
• Spendergruppen und deren Anlässe für Unberechtigte bei der Auswahl von Anlässen als Abo-Abonnenten ausschliessen
• Spendergruppen für Unberechtigte bei der Rollenauswahl in Personenfiltern ausschliessen
• Spendergruppen für Unberechtigte aus bestehenden gespeicherten Personenfiltern ausschliessen
• Anlässe von Spendergruppen für Unberechtigte in der "Anlässe"-Ansicht im linken Hauptmenü ausschliessen
• Spendergruppen für Unberechtigte bei den Auswahlmöglichkeiten im Gruppe-verschieben-Dialog ausschliessen
• Spendergruppen für Unberechtigte bei den Auswahlmöglichkeiten im Gruppe-fusionieren-Dialog ausschliessen
• Spendergruppen für Unberechtigte bei den Auswahlmöglichkeiten in den Multiselect-Rollen-Dialogen ausschliessen
• Anlässe von Spendergruppen für Unberechtigte im Multiselect "Zu Anlass hinzufügen"-Dialog ausschliessen
• Spender für Unberechtigte beim Duplikats-Feature ausschliessen
• Zugriffsanfragen überprüfen sodass nie ein Name einer Spendergruppe exponiert wird
• Logs aus Spendergruppen für Unberechtigte aus dem Gruppen-Log entfernen
• Gruppen-Notizen auf Spendergruppen für Unberechtigte aus den zusammengezogenen Gruppen-Notizen auf der übergeordneten Gruppe ausschliessen
• Gelöschte Spender-Gruppen für Unberechtigte aus der Anzeige von gelöschten Untergruppen ausschliessen
• In der Ansicht "Ohne Rollen" sicherstellen dass Unberechtigte keine ehemaligen Spender sehen können
• Bei Gruppen-Kalendern für Unberechtigte die Auswahl von Spendergruppen ausschliessen
• In der alten JSON API für Unberechtigte den Zugriff auf Spendergruppen verhindern
• In der neuen JSON API für Unberechtigte den Zugriff auf Spendergruppen verhindern
• Bei OAuth-Applikationen mit with_roles oder openid Scope sicherstellen, dass keine Spendergruppen oder -rollen exponiert werden

Vielen Dank nochmals für die Einschätzung des Aufwands! Wie mit Micha per Mail besprochen: Bitte nur an den oben aufgeführten Punkten arbeiten, nichts von den im Zitat genannten Arbeiten zum Verbergen von Spender:innen-Gruppen umsetzen.