Bamboo: Right of access by the data subject
GDPR 第 15 条において、個人は自身に関連するどの個人データが処理されているか、およびその処理の正当性を把握する権利を有します。GDPR では、要求に応じ、この情報を個人に提供するするための正当な手順を踏む必要があります。製品内に保存されている個人データへのアクセス権を個人に提供する必要があるかどうか、およびその処理の妥当性はケースバイケースで異なり、判断を行う際には弁護士に意見を求めることをおすすめします。製品を通じて処理された個人データへのアクセス権を個人に提供する義務があると判断された場合、特定のアトラシアン製品でこれを行う方法について、以降の手順をご確認ください。
説明
Personal Data (PD) for a specific user can be spread across multiple components of Bamboo. In this article, we'll detail how to locate and access this data, and we'll also provide workarounds for you, to ensure that you can access all personal data for a specific user if required.
Below is a list of key data held by Bamboo versions 6.5 and above, in a default configuration:
Where Bamboo can store PD | Storage Location | Accessible Via | Purpose & additional information | |
---|---|---|---|---|
1 | Username for authentication purpose | データベース |
|
|
2 | ユーザー権限 | データベース |
|
|
3 | Repository commit author | データベース |
|
|
4 | Result comments author | データベース |
|
|
5 | User responsible | データベース |
|
|
6 | Favorite builds | データベース |
|
|
7 | Approver of deployment version | データベース |
|
|
8 | Lucene Documents | ファイルシステム |
|
|
9 | アーティファクト | ファイルシステム |
|
|
10 | アプリケーション ログ
| ファイルシステム |
|
|
11 | Agent logs
| ファイルシステム |
|
|
12 | Build logs | ファイルシステム |
|
|
13 | 監査ログ | データベース |
|
|
14 | バックアップ | ファイルシステム |
|
|
15 | Support Zips | ファイルシステム |
|
|
16 | Emails | データベース Mail Server Client Systems |
|
|
17 | IM | データベース IM Server Client Systems |
|
|
18 | アバター | External Systems (Gravatar) |
|
|
19 | User Profile | データベース |
|
|
20 | Application Cache | メモリ ファイルシステム |
|
|
21 | Plugins / Integrations | データベース ファイルシステム その他 |
|
|
22 | Group names | データベース 外部ディレクトリ |
|
|
23 | ダッシュボード | データベース |
|
|
24 | Bamboo reports | データベース |
|
|
バージョンの互換性
All workarounds are compatible with Bamboo 6.5 and later.
回避策
Steps presented below should be repeated after any new PD is found as any PD can be used to discover more PD.
PD in "structured" data
Obtain PD from a User profile
はじめる前に
You must have global administrator permission to be able to manage users in Bamboo applications.
- Select > User Management.
- ページの一番上にあるフィルターを使用してユーザー一覧からユーザーを探します。
- Access the user details.
- Store data from "User details" section for later usage (e.g. in additional SQL queries on a database):
- ユーザ名
- 氏名
- メール
PD in "free-form text" data fields
Dealing with free-form text fields:
- You have to modify the provided SQL file - replace <OLD_VALUE> to the PD that you are searching for.
Execute script from the SQL file manually, table by table. Each table description should contain additional information on the purpose of the table
PD in Logs
An administrator can filter access logs by username for IP addresses
Bamboo - Right to be forgotten - Server logs
PD in backups
Note, some PD will remain in backup logs for the entireity of the time that the backup log is kept.
制限事項
- PD stored inside artifacts or attachments cannot be found using the above steps as we have no way of knowing what is stored inside each artifact or attachment file.
- Access to database is required
- Data could be stored inside third party plugins and not discovered via querying DB (plugin tables are not included in sql scripts provided on this page)
GDPR の第 25 条は、データ保護バイ デザイン・デフォルトの原則を定めています。これは広義的な原則であり、状況や処理対象の個人データのタイプに応じて意味や用途が異なります。この原則は各組織に対して固有であり、順守に必要となる対応内容を判断する際には弁護士に相談することをおすすめします。このような対応の例として、個人データの処理に使用する特定のサードパーティ アプリケーションが、個人データの入力時にプライバシーに配慮した既定設定になっているか、などが考えられます。以下は、特定のアトラシアン製品で利用できる、関連する設定および構成の概要と、制限事項についての説明です。