Utveckling av en webbapplikation med säkerhet i fokus

Olofsson, Oskar

January 2017

Web applications are a form of computer software running in the browser. They have many advantages, one of them is that they do not need to be installed on each computer. However, they also impose a higher security requirement, as communication is via the Internet. The project on which the report is based on aims to develop a web application for vacation management for employees at the company CGI in Sundsvall. Previously the employees used an Excel docu- ment to handle vacation applications. In the beginning of the work a require- ment specification was designed, some features requested where that the web application should be synchronized with their existing account systems, consi- dering of current laws in PUL and GDPR, categorization of vacations, and abili- ty to generate reports. In addition to the development, the safety of the techno- logies and tools chosen is evaluated. The work process began by investigating and selecting which tools would be used. Thereafter, the application developed according to agile principles. The evaluation was performed by comparing the features of the web application with those in the requirements specification, and evaluating the security of the application through investigating information about the security of the tools gathered through relevant literature. The hope was to compile an overall picture of how the web application corresponds to the requirements and how secure it is. In addition, there has been an ethical review based on the data stored and the consequences that an attack would have. After the evaluation, it was found that web application in principle fulfilled all requi- rements, but that certain security aspects could be improved. / Webbapplikationer är en form av datorprogram som körs i en webbläsare. Web- bapplikationer har många fördelar, en av dessa är att de inte behöver installeras på varje dator. Samtidigt medför de också ett högre krav på säkerheten eftersom kommunikationen sker via internet. Examensarbetet som rapporten baseras på går ut på att utveckla en webbapplikation för ledighetshantering på företaget CGI i Sundsvall. Tidigare har personalen på kontoret använt sig av ett Excel- dokument för att hantera ledighetsansökningar. Arbetet inleddes med att en kravspecifikation utformades, några funktioner som efterfrågades var att web- bapplikationen skulle synkroniseras med deras befintliga kontosystem, ta ställ- ning till rådande lagar i PUL och GDPR, kategorisering av ledigheter och möj- lighet att generera rapporter. Utöver utvecklingen ska säkerheten i teknikerna och verktygen som valts utvärderas. Arbetsprocessen inleddes med att undersö- ka och välja ut vilka verktyg som skulle användas. Därefter utvecklades appli- kationen enligt agila principer. Utvärderingen utfördes genom att jämföra funk- tionerna i webbapplikationen med de i kravspecifikationen och undersöka sä- kerheten i applikationen genom att undersöka information om säkerheten i verktygen som samlats via relevant litteratur. Förhoppningen var att samman- ställa en helhetsbild över hur webbapplikationen motsvarar de krav som ställdes och hur säker den är. Dessutom har det gjorts en etisk granskning utifrån det data som lagras, och vilka konsekvenser ett intrång skulle medföra. Efter utvär- deringen konstaterades att webbapplikationen uppfyllde i princip alla krav, men att vissa säkerhetsaspekter kan förbättras.

CGI

PUL

GDPR

CGI

PUL

GDPR

Software Engineering

Programvaruteknik

Konsumenters skydd på den digitala marknaden : En analys av hur konsumenters personliga integritet skyddas på internet / Consumer protection on the digital market : An analysis of how the personal integrity of consumers are being protected on the internet

Blomberg, Pontus, Åhman, Marcus

January 2018

No description available.

GDPR

Personuppgifter

PuL

Law

Juridik

Personuppgifter på Internet - en fråga om laglighet och lämplighet : Bör Karlstads kommun publicera nämndprotokoll beträffande bygglov på Internet?

Björn, Victoria, Nicklasson, Martin

January 2008

No description available.

PuL

Personuppgifter

lämpligt

LAW/JURISPRUDENCE

RÄTTSVETENSKAP/JURIDIK

Personuppgifter på Internet - en fråga om laglighet och lämplighet : Bör Karlstads kommun publicera nämndprotokoll beträffande bygglov på Internet?

Björn, Victoria, Nicklasson, Martin

January 2008

No description available.

PuL

Personuppgifter

lämpligt

LAW/JURISPRUDENCE

RÄTTSVETENSKAP/JURIDIK

Die koreanischen neuen Religionen im Kontext der Religionsgeschichte Koreas : dargestellt und analysiert am Beispiel der wichtigsten vier neuen Religionen, Chondo-gyo, Chungsan-gyo, Taejong-gyo und Wonbul-gyo /

Kim, Nam-Hui,

January 2006

Dissertation--Philosophische Fakultät--Saarbrücken--Universität des Saarlandes, 2005. / Bibliogr. p. 241-252.

Den nya Dataskyddsförordningen : Om småföretagares compliance med GDPR

Olofsson, Annelie

January 2018

På grund av brister i lagstiftningen beslöt Europaparlamentet och EU:s ministerråd år 2016 att en ny förordning rörande hantering av personuppgifter skulle råda i Europeiska unionen från och med den 25 maj 2018. Denna förordning kallas GDPR och kommer ersätta PUL. Förordningen innehåller bland annat krav på principer som måste följas vid behandling av personuppgifter, de rättsliga grunder som användas för laglig personuppgiftsbehandling så som samtycke från den registrerade samt redogörelse för de olika ansvarsrollernars skyldigheter. GDPR kommer innebära att Datainspektionen får ett utökat uppdrag som bland annat kan resultera i utdömandet av höga sanktioner om behandlingen inte utförs i enlighet med förordningen. Uppsatsen fastställer gällande rätt vid behandling av personuppgifter efter GDPR, samt undersöker hur företag kan förbereda sig inför förändringen och hur många småföretag som faktiskt är förberedda en månad innan införandet. För att besvara syftet har i första hand en rättsdogmatisk metod använts. Denna har kompletterats med en kvalitativ undersökning. Den nya förordningen kommer att påverka alla företag, därav måste alla småföretag sätta in sig i de nya reglerna och undersöka hur de hanterar personuppgifter och hur de ska gå till väga för att hanteringen ska vara laglig. Två olika undersökningar presenteras, dels en undersökning utförd av Visma två månader innan GDPR träder i kraft, dels undersökning inom ramen för denna uppsats utförd en månad innan införandet av förordningen. Båda studierna pekar på att många småföretagare är dåligt förberedda och resultatet från den undersökning som utförts inom ramen för uppsatsen visar att många företag inte har satt sig in i de nya reglerna.

GDPR

Datskyddsförordningen

Småföretagares compliance

PUL

Law

Juridik

Behandling av personuppgifter i anställningsförhållanden - samtycke, rättslig skyldighet eller intresseavvägning? / Treatment of personal data in employment relationships

Tysk, Andreas

January 2017

No description available.

GDPR

PUL

kollektivavtal

personuppgifter

anställningsförhållanden.

Law

Juridik

Dataskyddsförordningens organisatoriska påverkan på privata bolag / The General Data Protection Regulation organizational impact on private companies

Pettersson, Li

January 2017

Idag regleras personuppgiftsbehandlingar i Sverige främst genom Dataskyddsdirektivet och personuppgiftslagen. I takt med den omfattande användningen och utvecklingen av internet, av såväl privatpersoner som företag, krävs en uppdatering kring dataskydd för personuppgifter.Personuppgifter lagras hos företag i enorma mängder och skyddet för den personliga integriteten anses inte längre vara lika stort, varför en Dataskyddsförordning har utformats som en gemensam reglering i EU. Uppsatsen är en framläggning av hur privata bolag påverkas av de kommande förändringarna med huvudfokus på ansvar, roller, förberedelser, planering samt vilka sanktioner bolag står inför om reglerna inte efterlevs. I Dataskyddsförordningen utnämns ett flertal befattningar med skilda roller inomorganisationen. Dessa är personuppgiftsansvarig, personuppgiftsbiträde samtdataskyddsombud. I och med den nya regleringen har varje befattning ett utökat ansvareftersom att reglerna skärps. Med Dataskyddsförordningen kommer nya regler som kräver förberedelser samt planering för att artiklarna ska kunna efterlevas den dag ikraftträdandet sker. Exempel här är incidentrapportering som kräver tydliga rutiner för att verksamheten ska fungera. För att organisationer ska förstå allvaret, i och med de höga sanktionsavgifterna bolaget kan påföras, krävs att ledningen tar implementeringen på allvar och upprättar en analys samt en genomtänkt plan för arbetet. Det kan konstateras att Dataskyddsförordningen leder till ett omfattande arbete för varje organisation där rollerna behöver tydliggöras, i vissa fall behöver nya roller utses. Samtidigtbehöver kompetens finnas och det krävs stor planering i varje verksamhet för att reglerna ska efterlevas. Implementeringsarbetet behöver sättas igång direkt för att allt ska vara i sin ordning till den dag Dataskyddsförordningen träder i kraft. Dataskyddsförordningen är ett komplext regelverk. Osäkerheter kring Dataskyddsförordningens reglering kommer dock troligtvis att minska när Europeiska dataskyddsstyrelsen och Datainspektionen utfärdar fler tydliggöranden samt genom svensk utredning. Övergripande i hela bolaget gäller samma regler med vissa undantag, men viktigt är att anpassa och föra implementeringsarbetet utifrån den egna specifika verksamheten.

Dataskyddsförordning

PuL

General Data Protection Regulation

Law

Juridik

Privacy in the next generation Internet. Data proection in the context of European Union policy

Escudero-Pascual, Alberto

January 2002

With the growth in social, political and economic importanceof the Internet, it has been recognized that the underlyingtechnology of the next generation Internet must not only meetthe many technical challenges but must also meet the socialexpectations of such a pervasive technology. As evidence ofthe strategic importance of the development of the Internet,the European Union has adopted a communication to the Counciland the European Parliament focusing on the next generationInternet and the priorities for action in migrating to the newInternet protocol IPv6 andalso a new Directive (2002/58/EC) on'processing of personal data and protection of privacy in theelectronic communication sector'. The Data Protection Directiveis part of a package of proposals for initiatives which willform the future regulatory framework for electroniccommunications networks and services. The new Directive aims toadapt and update the existing Data ProtectionTelecommunications Directive (97/66/EC) to take account oftechnological developments. However, it is not well undersoodhow this policy and the underlying Internet technology can bebrought into alignment. This dissertation builds upon the results of my earlierlicentiate thesis by identifying three specific, timely, andimportant privacy areas in the next generation Internet: uniqueidentifiers and observability, privacy enhanced location basedservices, and legal aspects of data traffic. Each of the three areas identified are explored in the eightpublished papers that form this dissertation. The paperspresent recommendations to technical standarization bodies andregulators concerning the next generation Internet so that thistechnology and its deployment can meet the specific legalobligations of the new European Union data protectiondirective.

location privacy

IPv6

data protection

mobile internet

PUL

Privacy in the next generation Internet. Data proection in the context of European Union policy

Escudero-Pascual, Alberto

January 2002

<p>With the growth in social, political and economic importanceof the Internet, it has been recognized that the underlyingtechnology of the next generation Internet must not only meetthe many technical challenges but must also meet the socialexpectations of such a pervasive technology. As evidence ofthe strategic importance of the development of the Internet,the European Union has adopted a communication to the Counciland the European Parliament focusing on the next generationInternet and the priorities for action in migrating to the newInternet protocol IPv6 andalso a new Directive (2002/58/EC) on'processing of personal data and protection of privacy in theelectronic communication sector'. The Data Protection Directiveis part of a package of proposals for initiatives which willform the future regulatory framework for electroniccommunications networks and services. The new Directive aims toadapt and update the existing Data ProtectionTelecommunications Directive (97/66/EC) to take account oftechnological developments. However, it is not well undersoodhow this policy and the underlying Internet technology can bebrought into alignment.</p><p>This dissertation builds upon the results of my earlierlicentiate thesis by identifying three specific, timely, andimportant privacy areas in the next generation Internet: uniqueidentifiers and observability, privacy enhanced location basedservices, and legal aspects of data traffic.</p><p>Each of the three areas identified are explored in the eightpublished papers that form this dissertation. The paperspresent recommendations to technical standarization bodies andregulators concerning the next generation Internet so that thistechnology and its deployment can meet the specific legalobligations of the new European Union data protectiondirective.</p>

location privacy

IPv6

data protection

mobile internet

PUL