Postbox für Kunden

Transcend · 02. Dez 2023

Hallo alle miteinander,

ich habe zwar schon im Forum gesucht bin jedoch nicht ganz fündig geworden.

Kurz zu meinem "Wunsch"

Ich stelle monatlich ca 1000 Kundenrechnungen aus und möchte dies gerne im Sinne von Dienstleitungen meinen Kunden anders zur Verfügung stellen.
Gibt es eine Möglichkeit mit der NAS eine art Postbox für Kunden einzurichten? Sprich der Kunde meldet sich an sieht nur sein Ordner bzw hat nur Zugriff auf seine Ordner wie Rechnungen und andere Dokumente ohne das ich Ihm Zugang zur Nas Oberfläche ermögliche?

Danke schonmal im Vorraus.

Anzeige · 02. Dez 2023

Hallo Transcend,

Bücher und Hardware zum Thema gibt es bei Amazon: Postbox für Kunden

sky63 · 02. Dez 2023

Sofern du deine Rechnungen nicht für IT-DienstLeistungen stellst, darauf lässt aber die Frage nicht schließen, willst du das nicht wirklich. Jeder Zugriff von außen erfordert mehr als das einfache Bereitstellen insbesondere wenn bei Fehlkonfiguration oder Mißbrauch Kundendaten in falsche Hände geraten können.

gruss,
sky

Thorfinn · 02. Dez 2023

Willkommen im Forum.

Natürlich geht das.
Nennt sich ftp server. Sollte man heute mindestens als sftp server machen. Das ist Technik aus mitte-90er Jahre.
Den DSM Zugang verhinderst du indem du den Port an der Firewall nicht aufmachst.
Wieviele von deinen 1000 Kunden werden sftp verstehen? Wie lange wird es dauern bis dein ftp Server unter einer DNS Attacke zusammenbricht?

Ein https webserver den du mit z.B. Joombla oder WordPress fütterst und der die kundenspezifische Inhalte aus einer SQL Datenbank holt wäre da probate Mittel der Wahl der 2010er. In den 2020ern solltest du darüber nachdenken ob du deinen Kunden nicht anbieten willst, dass sich mittels ihrer e-ID anmelden. Dann müssen sie sich nicht noch ein Password merken.

w00dcu11er · 02. Dez 2023

Warum nicht via Synology Drive?
Aber 1.000 Freigaben generieren ist auch nicht so ohne ...

Wie hast du bis jetzt immer gemacht? Stapelverarbeitung / Serienfunktion in welcher Form?

ottosykora · 02. Dez 2023

Transcend schrieb:
Sprich der Kunde meldet sich an sieht nur sein Ordner bzw hat nur Zugriff auf seine Ordner wie Rechnungen und andere Dokumente ohne das ich Ihm Zugang zur Nas Oberfläche ermögliche?

ja, wir betreiben etwas in dieser Richtung vielleicht. Gewisse Leute können sich bei der Filestation anmelden, haben aber keine Zugriff auf DSM selber.
Das ist aber so zu sagen intern, also nichts mit Kunden und Datenschutz und solchen Sachen

Thonav · 02. Dez 2023

Wie schon oben genannt - aus meiner Sicht ist das zu fragil und nur mit sehr großem Aufwand zu betreiben. Von dem Geschrei, wenn mal irgendwas vertauscht ist, ganz zu schweigen...

ctrlaltdelete · 02. Dez 2023

@Transcend mit welcher Software erstellst du die Rechnungen und wie kommen sie im Moment zu den Kunden?

Transcend · 03. Dez 2023

Erstmal vielen Dank.

Die Idee kam mir da ich gesehen habe das man sowas mit foxDox machen kann. Ich betreibe 4 Apotheken und aktuell läuft etwa 90 % der Rechnungsstellung per Post und 10 per Email.

Aber danke für ein Einschätzung ich werde versuchen mich da mal um was anderes zu kümmern da die Rechnungsstellung dramatisch zunimmt.

maxblank · 03. Dez 2023

Der avisierte „Standard“ für elektronische Rechnungsübermittlung richtet sich offiziell nach der „XRechnung“.

Wenn das sauber implementiert wird, läuft das mit vielen ERP-Systemen rund und erleichtert dann Vieles. Aber bis es mal soweit ist….

Ich könnte euch dazu einige Storys erzählen, aber mein Blutdruck.

https://de.m.wikipedia.org/wiki/XRechnung

NSFH · 03. Dez 2023

Nur weil man Daten im Internet bereitstellen will kann man das nicht gleich verteufeln. dafür sind die Kisten nun mal da.

Kenne so ein Problem und kann dazu folgendes sagen:
- Sicherheitstechnisch optimal wäre VPN, aber hier müssten bei den Unternehmen eine entsprechende Einrichtung vorgenommen werden. Da werden garantiert einige dran scheitern. Den Zugriff selbst könnte man dann mit dem unten beschriebenen WebDav durchführen.
- SFTP kommt nicht in Frage, schon weil der verwendete Port in vielen Unternehmen von der Firewall geblockt wird. Die Unternehmen benötigen dann auch eine passende Software dafür.
- Synology Drive ist Overkill und unpraktisch, weil dafür die Unternehmen Drive auf ihren Systemen installieren müssten UND wegen einer Datei richtet man kein System ein, welches konzipiert wurde um auf grosse Datenmengen zuzugreifen.
- Bleibt eigentlich nur WebDav, denn hier reicht ein einfacher Eintrag unter Windows um eine sichere Verbindung herzustellen.

Für WebDav müsste man:
Für jeden Klient ein eigenes Konto anlegen
Für jeden Klient eine eigene Netzwerkfreigabe anlegen auf die nur dieser Zugriff hat. Würde da ein Zugang kompromittiert trifft es nicht die anderen.
Eine SubDomain mit Zertifikat einrichten, über welche die Syno im Internet ansprechbar ist
Den Zugriff von Aussen über den ReverseProxy der Syno erlauben.
Im Router Port 443 auf die Syno umlenken

Soetwas habe ich schon seit Jahren in verschiedensten Unternehmen mit externen Nutzern im dreistelligen Bereich laufen und es klappt zuverlässig, ist für den Anwender einfach und transparent.

sky63 · 03. Dez 2023

Ich bleib mal dabei. "Schuster bleib bei deinen Leisten". Betreibed du deine Apotheken und hol dir für IT, insbesondere wenn es um Kundendaten geht, einen Fachmann. Bevor du irgend etwas technisches hier herausbekommen und ausprobieren willst beschäftige dich aich mal mit der DSGVO und dem BDSG(neu).

Gruss,
sky

Stationary · 03. Dez 2023

Ich fing oben an zu lesen und beim ersten Post dachte ich nur: DSGVO compliance…bei @sky63 habe ich das Stichwort dann gefunden. Wenn Du nicht an so etwas in Konkurs gehen willst, dann laß‘ es lieber sein.

Die DSGVO droht mit einer Geldbuße von bis zu 20 Millionen EUR oder bis zu 4 % des weltweit erwirtschafteten Jahresumsatzes im vorangegangenen Geschäftsjahr. Angewendet wird der Wert, der höher ist.

NSFH · 03. Dez 2023

Was für ein Bullshit!
Mal zu Ende denken. Um wieviel sicherer ist der Versand von Rechnungen per Mail? Um es kurz zu beantworten: Null Komma Null!
Es spricht weder aus Sicht DSGVO noch aus Sicht IT-Sicherheit allgemein etwas gegen die Nutzung von Freigaben via WebDav.
Die Androhung 4% des Umsatzes als Strafe greift bei Verstössen, wenn diese zu einem Schaden führen.
Eine einzelne Rechnung, wenn diese Freigabe auf welche Art und Weise auch immer kompromittiert wurde, ist noch kein Fall für die DSGVO.
Ausserdem muss auch der Inhalt der übermittelten Daten berücksichtigt werden und da greift die DSGVO bei einer Rechnung ganz sicher nicht.
Hier müsste schon der gesamte Server kompromittiert werden, aber das wird kaum via WebDav passieren.
Bei so viel Blödsinn und Halbwissen wie er hier geschrieben wird stellen sich einem echt die Nackenhaare hoch!

sky63 · 03. Dez 2023

Stationary · 03. Dez 2023

Aus den Informationen für Apotheker (vom entsprechenden Verband):

Die DSGVO ist auch für Apotheken relevant

Von der DSGVO sind auch Apotheken betroffen, da sie eine Reihe sensibler personenbezogener Daten verarbeiten – also Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispiele sind Daten wie Name, Alter und Adresse von Patienten, aber auch Informationen zu Medikation und Behandlungsdauer. Das bedeutet, dass Sie ganz besonders auf den Datenschutz und die IT-Sicherheit zu achten haben und viele Apotheken beispielsweise einen Datenschutzbeauftragten benennen müssen.
Die rechtliche Position ist klar: Sie als Leiter einer Apotheke sind für die korrekte Umsetzung der Datenschutzgrundverordnung und damit für die Datenverarbeitung verantwortlich. Bei möglichen Verstößen können Sie haftbar gemacht werden und müssen mit Bußgeldern rechnen, die bis zu 4 % Ihres Jahresumsatzes betragen können. Zudem drohen berufsrechtliche Konsequenzen.

(die fetten Markierungen waren schon im Original…). Wer war das eigentlich, der hier kürzlich den freundlichen Umgangston im Forum gelobt hat?

Eine Rechnung enthält mindestens Namen, Adresse und Medikamentation der betreffenden Person. Bei Apothekenrechnungen, die ich bisher per Post bekommen habe, war auch der Name des verordnenden Arztes verzeichnet. Also, noch mal alle zusammen: was für ein bullshit…

NSFH · 03. Dez 2023

Stimmt, absoluter Bullshit, freundlich ausgedrückt.
Die DSGVO gilt erst mal für jeden der irgendwelche Inhalte über das Internet erreichbar macht und hat nichts speziell mit Apotheken zu tun.
Dazu "müsste" jedes Unternehmen ein eigenes Konzept gem DSGVO vorlegen (können). In diesem Konzept lässt sich der von mir beschriebene Weg problemlos darstellen und ist IT-sicherheitstechnisch verantwortbar. Das zu beschreibende Restrisiko im Konzept ist zu benennen und die letztendliche Verantwortung für die Einhaltung liegt immer beim Betreiber des Dienstes.
Ausserdem habe ich geschrieben, dass es auf den Inhalt der Daten ankommt. Adressdaten sind keine Patientendaten und eine Datenbank liegt hier auch nicht vor. Da laberst du irgendwas vom Namen des Arztes und und und. Wo hat der TE beschrieben was in der Rechnung steht?
Als Drittes wären mit einem sauber konfigurierten WebDav Zugang und nutzerspezifischen Einschränkungen beim Zugriff auf Freigaben im NAS alle Voraussetzungen erfüllt um so ein System zu betreiben, auch DSGVO konform, und nur darum geht es.
Mit dem Totschlagargument DSGVO kann man natürlich argumentieren.....wenn man keine Ahnung hat oder im Folgenden meint unbedingt recht behalten zu müssen.
Es spricht also überhaupt nichts dagegen diese Lösung zu verwenden! Wenn dem so wäre hätte nicht nur ich meinen Laden schon längst zumachen müssen.

Jetzt hast du noch die Option zu belegen, dass eine derartige Umsetzung wie von mir beschrieben nicht den IT-Sicherheitsanforderungen und der DSGVO entspricht.
Ich bin gespannt!

Thonav · 03. Dez 2023

Ich denke aber es macht durchaus Sinn, dass sich der Threadersteller mit einer qualifizierten Stelle hinsichtlich abstimmt. Viele Punkte sind hier nicht kommuniziert und da halte ich es für angemessen, diese in einem anderen Umfeld als in einem Synology Forum zu besprechen.

sky63 · 03. Dez 2023

Die DSGVO gilt grundsätzlich für die Verarbeitung personenbezogener oder personenbeziehbarer Daten, im übrigen völlig unabhängig davon ob in einer Datenbank einer Excel-Tabelle als Datei oder Mail. Und wenn allein der Name kein personenbezogenes Datum ist.....

ctrlaltdelete · 03. Dez 2023

Und sogar ausgedruckt.

Stationary · 03. Dez 2023

@NSFH welche genaue Störung im Umgang mit anderen Menschen hast Du eigentlich? Auf dem Niveau, auf dem Du hier schreibst, schaffst Du es bestenfalls auf die „ignore list“.

Nur als Anmerkung. Der TE betreibt Apotheken und Apothekenrechnungen habe ich bisher bereits zur Genüge gesehen. Und auch ein Apothekenfachverband wird sicherlich eine grundsätzliche Idee haben, welche Daten in Apotheken anfallen. Ist aber alles nur…bullshit. Und mir ist meine Zeit zu schade.