Dosažení shody s GDPR pomocí Ozeki SMS Gateway

Obecné nařízení o ochraně osobních údajů (GDPR), účinné od 25. května 2018, je komplexní nařízení Evropské unie, které upravuje zpracování osobních údajů. Pro podniky používající SMPP API s Ozeki SMS Gateway k odesílání a přijímání SMS zpráv je zajištění shody s GDPR klíčové pro ochranu uživatelských údajů a vyhnutí se pokutám. Ozeki SMS Gateway, výkonný on-premise softwarový SMS gateway, podporuje robustní SMS řešení, ale jeho použití musí být v souladu s principy GDPR, aby bylo zajištěno zákonné zpracování údajů. Tento článek poskytuje podrobný návod, jak dosáhnout shody s GDPR při používání Ozeki SMS Gateway, včetně ochrany údajů, správy souhlasu, zabezpečených konfigurací a osvědčených postupů pro uživatele SMPP API.

Porozumění GDPR a jeho relevance pro Ozeki SMS Gateway

GDPR se vztahuje na všechny organizace zpracovávající osobní údaje jednotlivců v EU, bez ohledu na umístění organizace. V kontextu Ozeki SMS Gateway zahrnují osobní údaje telefonní čísla, obsah zpráv a podrobnosti o doručení, které jsou zpracovávány při odesílání nebo přijímání SMS zpráv. GDPR stanovuje šest zákonných základů pro zpracování osobních údajů, přičemž souhlas a oprávněný zájem jsou nejrelevantnější pro SMS aplikace. Dále Nařízení o soukromí a elektronických komunikacích (PECR) doplňuje GDPR regulací elektronických komunikací, jako je SMS marketing, vyžadující výslovný souhlas nebo měkký opt-in pro marketingové zprávy. Ozeki SMS Gateway jako on-premise řešení poskytuje uživatelům plnou kontrolu nad údaji, což usnadňuje implementaci postupů v souladu s GDPR ve srovnání s cloudovými alternativami. Tento článek popisuje kroky k zajištění shody při využití možností SMPP API od Ozeki.

Klíčové principy GDPR pro uživatele Ozeki SMS Gateway

Shoda s GDPR závisí na dodržování jeho základních principů. Při používání Ozeki SMS Gateway se tyto principy promítají do konkrétních akcí:

  • Zákonnost, spravedlnost a transparentnost: Zpracovávejte osobní údaje legálně, spravedlivě a transparentně. Informujte uživatele o tom, jak jsou jejich telefonní čísla a údaje zpráv využívány.
  • Omezení účelu: Používejte údaje pouze pro účely, pro které byly shromážděny (např. odesílání SMS notifikací nebo marketingových zpráv).
  • Minimalizace údajů: Shromažďujte pouze údaje nezbytné pro vaši SMS aplikaci (např. telefonní čísla a minimální metadata).
  • Přesnost: Zajistěte, aby telefonní čísla a související údaje byly přesné a aktuální.
  • Omezení uložení: Uchovávejte osobní údaje pouze po dobu nezbytnou (např. odstraňte zastaralá telefonní čísla nebo zprávy o doručení).
  • Integrita a důvěrnost: Zabezpečte údaje proti neoprávněnému přístupu nebo porušení pomocí šifrování a řízení přístupu.
  • Odpovědnost: Udržujte záznamy o činnostech zpracování údajů a prokazujte shodu prostřednictvím politik a dokumentace.

Postup pro dosažení shody s GDPR pomocí Ozeki SMS Gateway

Chcete-li zajistit shodu s GDPR při používání Ozeki SMS Gateway, postupujte podle těchto kroků pro konfiguraci systému, správu dat a implementaci osvědčených postupů.

1. Získejte výslovný souhlas pro SMS komunikaci

GDPR vyžaduje právní základ pro zpracování osobních údajů, přičemž souhlas je primárním základem pro SMS marketing. U neobchodních SMS (např. transakčních oznámení) může platit oprávněný zájem, ale pro jasnost je stále preferován souhlas.

  • Implementujte mechanismy pro přihlášení: Získejte výslovný souhlas před odesláním SMS zpráv. Použijte nezaškrtnutá políčka pro přihlášení nebo proces dvojitého přihlášení (např. odeslání potvrzovací SMS s odkazem na ověření souhlasu). Například zahrňte formulář pro přihlášení na svém webu: „Souhlasím s přijímáním SMS oznámení od [Vaše společnost].“
  • Měkké přihlášení pro stávající zákazníky: Podle PECR je měkké přihlášení přípustné pro stávající zákazníky, pokud jste získali jejich telefonní číslo během prodeje, nabízíte podobné produkty/služby a poskytujete možnost odhlášení v každé zprávě. Nakonfigurujte Ozeki SMS Gateway tak, aby obsahoval instrukci pro odhlášení (např. „Odpovězte STOP pro odhlášení“) v marketingových SMS.
  • Dokumentujte souhlas: Použijte integraci databáze Ozeki k uložení záznamů o souhlasu. Například nakonfigurujte databázovou tabulku (např. ozekimessagein) k zaznamenání časových razítek a podrobností o přihlášení.

Konfigurace v Ozeki: V konzoli pro správu Ozeki SMS Gateway vytvořte databázového uživatele pro zaznamenávání příchozích odpovědí na přihlášení. Použijte SQL dotaz jako:

INSERT INTO consent_log (phone_number, consent_status, timestamp)
VALUES ('+1234567890', 'opt-in', '2025-05-27 04:29:00');

Tím zajistíte ověřitelný záznam o souhlasu, který je klíčový pro audity GDPR.

2. Zabezpečte ukládání a zpracování dat

Ozeki SMS Gateway ukládá data lokálně, což uživatelům poskytuje kontrolu nad bezpečnostními opatřeními. GDPR vyžaduje robustní ochranu osobních údajů, jako jsou telefonní čísla a obsah zpráv.

  • Povolte šifrování: Použijte SMPPS (SMPP přes SSL/TLS), pokud je podporováno vaším SMSC, pro šifrování dat při přenosu. V Ozeki nakonfigurujte připojení SMPP klienta tak, aby používalo SSL, zadáním zabezpečeného portu (např. 9501) a povolením SSL na kartě „Pokročilé“.
  • Zabezpečte server: Nainstalujte Ozeki SMS Gateway na zabezpečený server s omezeným přístupem. Použijte silná hesla pro administrátorský účet (výchozí: „admin/abc123“) a ihned po instalaci je změňte. Povolte pravidla firewallu, aby k webovému rozhraní měly přístup pouze specifické IP adresy (výchozí: http://127.0.0.1:9501).
  • Zabezpečení databáze: Pokud ukládáte zprávy nebo zprávy o doručení do databáze, šifrujte databázi a omezte přístup. Například použijte MySQL s ENCRYPTION pro citlivé tabulky jako ozekimessageout.
  • Odstraňte bezpečnostní nedostatky: Starší verze Ozeki SMS Gateway (až do verze 4.17.6) měly nedostatky, jako jsou rizika smazání souborů a nebezpečné zpracování XML. Aktualizujte na nejnovější verzi (Ozeki 10 SMS Gateway), abyste tato rizika minimalizovali a zajistili shodu s bezpečnostními požadavky GDPR.
    • [](https://www.cvedetails.com/vulnerability-list/vendor_id-5662/product_id-86732/Ozeki-Ozeki-Ng-Sms-Gateway.html)

Konfigurace v Ozeki: V nabídce „Upravit/Předvolby serveru“ povolte „Klientskou konektivitu“ s zabezpečeným portem (např. 443) a omezte přístup na důvěryhodné IP adresy. Pro zabezpečení databáze nakonfigurujte připojovací řetězec bez nebezpečných argumentů jako ENABLE_LOCAL_INFILE.

3. Implementujte minimalizaci dat a politiky uchovávání

GDPR ukládá povinnost shromažďovat pouze nezbytná data a uchovávat je po co nejkratší dobu.

  • Minimalizujte shromažďování dat: Nakonfigurujte Ozeki tak, aby ukládal pouze nezbytná pole (např. telefonní číslo, text zprávy a stav doručení). Vyhněte se ukládání nepotřebných metadat v deliver_sm PDU.
  • Nastavte limity uchovávání: Ozeki SMS Gateway standardně ukládá referenční ID zpráv po dobu jednoho týdne, aby odpovídala zprávám o doručení. Upravte toto období v nabídce „Upravit/Předvolby serveru“ tak, aby odpovídalo vaší politice uchovávání (např. 30 dní pro marketingové kampaně). Odstraňte zastaralé záznamy pomocí automatizovaných SQL skriptů, jako je:
DELETE FROM ozekimessagein WHERE timestamp < DATE_SUB(NOW(), INTERVAL 30 DAY);

Konfigurace v Ozeki: Na kartě „Pokročilé“ v „Předvolbách serveru“ zakažte „Kopírovat zprávy o doručení pro uživatele“, pokud to není nutné, a nakonfigurujte automatické mazání zpráv, aby nedocházelo k neomezenému ukládání.

4. Poskytněte mechanismy pro odhlášení

GDPR vyžaduje, aby uživatelé mohli snadno odvolat souhlas. U SMS to znamená poskytnout jasnou možnost odhlášení.

  • Zahrňte instrukce pro odhlášení: Přidejte „Odpovězte STOP pro odhlášení“ k marketingovým SMS. Ozeki SMS Gateway může zpracovat příchozí zprávy o odhlášení (např. přes deliver_sm PDU) a aktualizovat databázi.
  • Automatizujte zpracování odhlášení: Nakonfigurujte databázového uživatele v Ozeki tak, aby detekoval zprávy „STOP“ a aktualizoval stav souhlasu. Například:
UPDATE consent_log SET consent_status = 'opt-out'
WHERE phone_number = '+1234567890' AND msg = 'STOP';

Konfigurace v Ozeki: V nastavení SMPP klienta povolte „Logování komunikačních událostí“, abyste mohli sledovat zprávy o odhlášení a zajistit jejich včasné zpracování.

5. Udržujte záznamy o zpracovatelských činnostech

GDPR vyžaduje, aby organizace dokumentovaly činnosti zpracování dat, včetně účelu, kategorií dat a bezpečnostních opatření.

  • Logujte SMPP PDU: Povolte logování v Ozeki SMS Gateway pro sledování bind_transceiver, enquire_link a deliver_sm PDU pro účely auditu.
  • Vytvořte registr zpracování dat: Dokumentujte, jak Ozeki zpracovává telefonní čísla, obsah zpráv a zprávy o doručení. Zahrňte podrobnosti jako:
    • Účel: SMS oznámení nebo marketing.
    • Kategorie dat: Telefonní čísla, text zprávy, časová razítka.
    • Doba uchovávání: Nakonfigurováno v Ozeki (např. 30 dní).
    • Bezpečnostní opatření: SMPPS, šifrovaná databáze, omezený přístup.

Konfigurace v Ozeki: Použijte panel „Události“ k exportu logů pro účely auditu shody. Integrujte s databází pro systematické ukládání záznamů o zpracování.

6. Zpracujte práva subjektů údajů

GDPR poskytuje jednotlivcům práva, jako je přístup, oprava, výmaz a přenositelnost dat. Ozeki SMS Gateway tato práva podporuje prostřednictvím integrace databáze a uživatelského rozhraní.

  • Právo na přístup: Umožněte uživatelům požadovat jejich uložená data (např. telefonní čísla a stav souhlasu) prostřednictvím databázového dotazu.
  • Právo na opravu: Umožněte uživatelům aktualizovat jejich telefonní čísla zpracováním příchozích SMS nebo webových požadavků.
  • Právo na výmaz: Na požádání smažte uživatelská data pomocí SQL příkazů, jako je:
DELETE FROM consent_log WHERE phone_number = '+1234567890';
  • Právo na přenositelnost: Exportujte uživatelská data ve strukturovaném formátu (např. CSV) z databáze Ozeki pro přenos k jinému poskytovateli.

Konfigurace v Ozeki: Použijte konfiguraci „Databázového uživatele“ pro efektivní zpracování žádostí subjektů údajů, abyste zajistili, že odpovědi budou dokončeny v rámci 30denní lhůty GDPR.

7. Provádějte pravidelné bezpečnostní audity

GDPR vyžaduje průběžné hodnocení bezpečnostních opatření. Lokální povaha Ozeki SMS Gateway umožňuje přizpůsobené bezpečnostní postupy.

  • Aktualizujte software: Pravidelně aktualizujte Ozeki SMS Gateway, abyste odstranili nedostatky. Zkontrolujte ozeki-sms-gateway.com pro nejnovější verzi.
  • Penetrační testování: Provádějte pravidelné bezpečnostní audity k identifikaci rizik, jako jsou chyby v cestě nebo XSS nedostatky hlášené ve starších verzích.
    • [](https://www.cvedetails.com/vulnerability-list/vendor_id-5662/product_id-86732/Ozeki-Ozeki-Ng-Sms-Gateway.html)
  • Monitorujte logy: Kontrolujte komunikační logy Ozeki, abyste detekovali neoprávněný přístup nebo anomálie v provozu SMPP PDU.

Konfigurace v Ozeki: Povolte podrobné logování na kartě „Pokročilé“ a naplánujte pravidelné kontroly panelu „Události“, abyste zajistili shodu.

Osvědčené postupy pro dodržování GDPR s Ozeki SMS Gateway

Pro maximalizaci souladu s GDPR doporučujeme následující osvědčené postupy:

  • Používejte dvojité potvrzení (Double Opt-In): Implementujte proces dvojitého potvrzení pro SMS marketing, abyste zajistili výslovný souhlas. Po počátečním přihlášení odešlete potvrzovací SMS vyžadující odpověď (např. „ANO“).
  • Transparentní zásady ochrany osobních údajů: Zveřejněte jasné zásady ochrany osobních údajů, které popisují, jak Ozeki SMS Gateway zpracovává data, včetně účelů, dob uchování a práv uživatelů. Odkaz na tyto zásady uveďte v SMS zprávách nebo přihlašovacích formulářích.
  • Zálohujte bezpečně: Pravidelně zálohujte datový adresář Ozeki (C:\Program Files\Ozeki\Data) a šifrujte zálohy, abyste předešli úniku dat. Postupujte podle průvodce zálohováním Ozeki pro osvědčené postupy.
    • [](https://ozeki-sms-gateway.com/p_1047-how-to-backup-ozeki-sms-gateway.html)
  • Školte zaměstnance: Vzdělávejte zaměstnance o požadavcích GDPR a konfiguraci Ozeki, aby nedocházelo k nesprávnému zacházení s osobními údaji.
  • Monitorujte soulad SMSC: Ujistěte se, že váš poskytovatel SMS služeb splňuje GDPR, protože zpracovává data vaším jménem. Vyžádejte si jejich Dohodu o zpracování údajů (DPA).

Řešení specifických výzev Ozeki

Starší verze Ozeki SMS Gateway (až do verze 4.17.6) měly bezpečnostní nedostatky, jako je CSV injekce a nebezpečné zacházení se soubory, které by mohly ohrozit soulad s GDPR. Pro jejich zmírnění:

  • Aktualizujte na Ozeki 10 SMS Gateway, která nabízí vylepšené bezpečnostní funkce a dlouhodobou podporu až do roku 2035.
    • [](http://ozeki-sms-gateway.com/)
  • Deaktivujte nepoužívané moduly (např. RSS na SMS), abyste snížili riziko útoků.
  • Ověřujte všechny vstupní soubory (např. import kontaktů), abyste předešli injekčním útokům.

Závěr

Dosažení souladu s GDPR při používání Ozeki SMS Gateway vyžaduje kombinaci správné konfigurace, bezpečného zacházení s daty a dodržování principů GDPR. Získáním výslovného souhlasu, zabezpečením dat šifrováním a řízením přístupu, minimalizací sběru dat a vedením podrobných záznamů mohou uživatelé SMPP API využívat výkonné funkce Ozeki při dodržování předpisů EU. Pravidelné aktualizace, bezpečnostní audity a školení zaměstnanců dále zajišťují robustní soulad. Pro další pokyny se obraťte na dokumentaci Ozeki nebo kontaktujte jejich podporu na info@ozeki.hu. Dodržováním těchto kroků mohou podniky s důvěrou používat Ozeki SMS Gateway pro bezpečnou a GDPR-kompatibilní SMS komunikaci.

Reference:

More information