Postbox für Kunden

Transcend

Benutzer
Mitglied seit
02. Dez 2023
Beiträge
3
Punkte für Reaktionen
5
Punkte
53
Hallo alle miteinander,

ich habe zwar schon im Forum gesucht bin jedoch nicht ganz fündig geworden.

Kurz zu meinem "Wunsch"

Ich stelle monatlich ca 1000 Kundenrechnungen aus und möchte dies gerne im Sinne von Dienstleitungen meinen Kunden anders zur Verfügung stellen.
Gibt es eine Möglichkeit mit der NAS eine art Postbox für Kunden einzurichten? Sprich der Kunde meldet sich an sieht nur sein Ordner bzw hat nur Zugriff auf seine Ordner wie Rechnungen und andere Dokumente ohne das ich Ihm Zugang zur Nas Oberfläche ermögliche?

Danke schonmal im Vorraus.
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Sofern du deine Rechnungen nicht für IT-DienstLeistungen stellst, darauf lässt aber die Frage nicht schließen, willst du das nicht wirklich. Jeder Zugriff von außen erfordert mehr als das einfache Bereitstellen insbesondere wenn bei Fehlkonfiguration oder Mißbrauch Kundendaten in falsche Hände geraten können.

gruss,
sky
 
  • Like
Reaktionen: 66er

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.752
Punkte für Reaktionen
423
Punkte
103
Willkommen im Forum.

Natürlich geht das.
Nennt sich ftp server. Sollte man heute mindestens als sftp server machen. Das ist Technik aus mitte-90er Jahre.
Den DSM Zugang verhinderst du indem du den Port an der Firewall nicht aufmachst.
Wieviele von deinen 1000 Kunden werden sftp verstehen? Wie lange wird es dauern bis dein ftp Server unter einer DNS Attacke zusammenbricht?

Ein https webserver den du mit z.B. Joombla oder WordPress fütterst und der die kundenspezifische Inhalte aus einer SQL Datenbank holt wäre da probate Mittel der Wahl der 2010er. In den 2020ern solltest du darüber nachdenken ob du deinen Kunden nicht anbieten willst, dass sich mittels ihrer e-ID anmelden. Dann müssen sie sich nicht noch ein Password merken.
 

w00dcu11er

Benutzer
Sehr erfahren
Mitglied seit
16. Sep 2022
Beiträge
864
Punkte für Reaktionen
300
Punkte
89
Warum nicht via Synology Drive?
Aber 1.000 Freigaben generieren ist auch nicht so ohne ...

Wie hast du bis jetzt immer gemacht? Stapelverarbeitung / Serienfunktion in welcher Form?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.874
Punkte für Reaktionen
1.153
Punkte
288
Sprich der Kunde meldet sich an sieht nur sein Ordner bzw hat nur Zugriff auf seine Ordner wie Rechnungen und andere Dokumente ohne das ich Ihm Zugang zur Nas Oberfläche ermögliche?
ja, wir betreiben etwas in dieser Richtung vielleicht. Gewisse Leute können sich bei der Filestation anmelden, haben aber keine Zugriff auf DSM selber.
Das ist aber so zu sagen intern, also nichts mit Kunden und Datenschutz und solchen Sachen
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Wie schon oben genannt - aus meiner Sicht ist das zu fragil und nur mit sehr großem Aufwand zu betreiben. Von dem Geschrei, wenn mal irgendwas vertauscht ist, ganz zu schweigen...
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.648
Punkte für Reaktionen
5.820
Punkte
524
@Transcend mit welcher Software erstellst du die Rechnungen und wie kommen sie im Moment zu den Kunden?
 

Transcend

Benutzer
Mitglied seit
02. Dez 2023
Beiträge
3
Punkte für Reaktionen
5
Punkte
53
Erstmal vielen Dank.

Die Idee kam mir da ich gesehen habe das man sowas mit foxDox machen kann. Ich betreibe 4 Apotheken und aktuell läuft etwa 90 % der Rechnungsstellung per Post und 10 per Email.

Aber danke für ein Einschätzung ich werde versuchen mich da mal um was anderes zu kümmern da die Rechnungsstellung dramatisch zunimmt.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.159
Punkte für Reaktionen
2.177
Punkte
289
Der avisierte „Standard“ für elektronische Rechnungsübermittlung richtet sich offiziell nach der „XRechnung“.

Wenn das sauber implementiert wird, läuft das mit vielen ERP-Systemen rund und erleichtert dann Vieles. Aber bis es mal soweit ist….

Ich könnte euch dazu einige Storys erzählen, aber mein Blutdruck. 😂

https://de.m.wikipedia.org/wiki/XRechnung
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Nur weil man Daten im Internet bereitstellen will kann man das nicht gleich verteufeln. dafür sind die Kisten nun mal da.

Kenne so ein Problem und kann dazu folgendes sagen:
- Sicherheitstechnisch optimal wäre VPN, aber hier müssten bei den Unternehmen eine entsprechende Einrichtung vorgenommen werden. Da werden garantiert einige dran scheitern. Den Zugriff selbst könnte man dann mit dem unten beschriebenen WebDav durchführen.
- SFTP kommt nicht in Frage, schon weil der verwendete Port in vielen Unternehmen von der Firewall geblockt wird. Die Unternehmen benötigen dann auch eine passende Software dafür.
- Synology Drive ist Overkill und unpraktisch, weil dafür die Unternehmen Drive auf ihren Systemen installieren müssten UND wegen einer Datei richtet man kein System ein, welches konzipiert wurde um auf grosse Datenmengen zuzugreifen.
- Bleibt eigentlich nur WebDav, denn hier reicht ein einfacher Eintrag unter Windows um eine sichere Verbindung herzustellen.

Für WebDav müsste man:
Für jeden Klient ein eigenes Konto anlegen
Für jeden Klient eine eigene Netzwerkfreigabe anlegen auf die nur dieser Zugriff hat. Würde da ein Zugang kompromittiert trifft es nicht die anderen.
Eine SubDomain mit Zertifikat einrichten, über welche die Syno im Internet ansprechbar ist
Den Zugriff von Aussen über den ReverseProxy der Syno erlauben.
Im Router Port 443 auf die Syno umlenken

Soetwas habe ich schon seit Jahren in verschiedensten Unternehmen mit externen Nutzern im dreistelligen Bereich laufen und es klappt zuverlässig, ist für den Anwender einfach und transparent.
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Ich bleib mal dabei. "Schuster bleib bei deinen Leisten". Betreibed du deine Apotheken und hol dir für IT, insbesondere wenn es um Kundendaten geht, einen Fachmann. Bevor du irgend etwas technisches hier herausbekommen und ausprobieren willst beschäftige dich aich mal mit der DSGVO und dem BDSG(neu).

Gruss,
sky
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.942
Punkte für Reaktionen
1.265
Punkte
194
Ich fing oben an zu lesen und beim ersten Post dachte ich nur: DSGVO compliance…bei @sky63 habe ich das Stichwort dann gefunden. Wenn Du nicht an so etwas in Konkurs gehen willst, dann laß‘ es lieber sein.

Die DSGVO droht mit einer Geldbuße von bis zu 20 Millionen EUR oder bis zu 4 % des weltweit erwirtschafteten Jahresumsatzes im vorangegangenen Geschäftsjahr. Angewendet wird der Wert, der höher ist.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Was für ein Bullshit!
Mal zu Ende denken. Um wieviel sicherer ist der Versand von Rechnungen per Mail? Um es kurz zu beantworten: Null Komma Null!
Es spricht weder aus Sicht DSGVO noch aus Sicht IT-Sicherheit allgemein etwas gegen die Nutzung von Freigaben via WebDav.
Die Androhung 4% des Umsatzes als Strafe greift bei Verstössen, wenn diese zu einem Schaden führen.
Eine einzelne Rechnung, wenn diese Freigabe auf welche Art und Weise auch immer kompromittiert wurde, ist noch kein Fall für die DSGVO.
Ausserdem muss auch der Inhalt der übermittelten Daten berücksichtigt werden und da greift die DSGVO bei einer Rechnung ganz sicher nicht.
Hier müsste schon der gesamte Server kompromittiert werden, aber das wird kaum via WebDav passieren.
Bei so viel Blödsinn und Halbwissen wie er hier geschrieben wird stellen sich einem echt die Nackenhaare hoch!
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.942
Punkte für Reaktionen
1.265
Punkte
194
Aus den Informationen für Apotheker (vom entsprechenden Verband):

Die DSGVO ist auch für Apotheken relevant​


Von der DSGVO sind auch Apotheken betroffen, da sie eine Reihe sensibler personenbezogener Daten verarbeiten – also Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispiele sind Daten wie Name, Alter und Adresse von Patienten, aber auch Informationen zu Medikation und Behandlungsdauer. Das bedeutet, dass Sie ganz besonders auf den Datenschutz und die IT-Sicherheit zu achten haben und viele Apotheken beispielsweise einen Datenschutzbeauftragten benennen müssen.
Die rechtliche Position ist klar: Sie als Leiter einer Apotheke sind für die korrekte Umsetzung der Datenschutzgrundverordnung und damit für die Datenverarbeitung verantwortlich. Bei möglichen Verstößen können Sie haftbar gemacht werden und müssen mit Bußgeldern rechnen, die bis zu 4 % Ihres Jahresumsatzes betragen können. Zudem drohen berufsrechtliche Konsequenzen.


(die fetten Markierungen waren schon im Original…). Wer war das eigentlich, der hier kürzlich den freundlichen Umgangston im Forum gelobt hat?

Eine Rechnung enthält mindestens Namen, Adresse und Medikamentation der betreffenden Person. Bei Apothekenrechnungen, die ich bisher per Post bekommen habe, war auch der Name des verordnenden Arztes verzeichnet. Also, noch mal alle zusammen: was für ein bullshit…
 
Zuletzt bearbeitet:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Stimmt, absoluter Bullshit, freundlich ausgedrückt.
Die DSGVO gilt erst mal für jeden der irgendwelche Inhalte über das Internet erreichbar macht und hat nichts speziell mit Apotheken zu tun.
Dazu "müsste" jedes Unternehmen ein eigenes Konzept gem DSGVO vorlegen (können). In diesem Konzept lässt sich der von mir beschriebene Weg problemlos darstellen und ist IT-sicherheitstechnisch verantwortbar. Das zu beschreibende Restrisiko im Konzept ist zu benennen und die letztendliche Verantwortung für die Einhaltung liegt immer beim Betreiber des Dienstes.
Ausserdem habe ich geschrieben, dass es auf den Inhalt der Daten ankommt. Adressdaten sind keine Patientendaten und eine Datenbank liegt hier auch nicht vor. Da laberst du irgendwas vom Namen des Arztes und und und. Wo hat der TE beschrieben was in der Rechnung steht?
Als Drittes wären mit einem sauber konfigurierten WebDav Zugang und nutzerspezifischen Einschränkungen beim Zugriff auf Freigaben im NAS alle Voraussetzungen erfüllt um so ein System zu betreiben, auch DSGVO konform, und nur darum geht es.
Mit dem Totschlagargument DSGVO kann man natürlich argumentieren.....wenn man keine Ahnung hat oder im Folgenden meint unbedingt recht behalten zu müssen.
Es spricht also überhaupt nichts dagegen diese Lösung zu verwenden! Wenn dem so wäre hätte nicht nur ich meinen Laden schon längst zumachen müssen.

Jetzt hast du noch die Option zu belegen, dass eine derartige Umsetzung wie von mir beschrieben nicht den IT-Sicherheitsanforderungen und der DSGVO entspricht.
Ich bin gespannt!
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Ich denke aber es macht durchaus Sinn, dass sich der Threadersteller mit einer qualifizierten Stelle hinsichtlich abstimmt. Viele Punkte sind hier nicht kommuniziert und da halte ich es für angemessen, diese in einem anderen Umfeld als in einem Synology Forum zu besprechen.
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Die DSGVO gilt grundsätzlich für die Verarbeitung personenbezogener oder personenbeziehbarer Daten, im übrigen völlig unabhängig davon ob in einer Datenbank einer Excel-Tabelle als Datei oder Mail. Und wenn allein der Name kein personenbezogenes Datum ist.....
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.648
Punkte für Reaktionen
5.820
Punkte
524
Und sogar ausgedruckt.
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.942
Punkte für Reaktionen
1.265
Punkte
194
@NSFH welche genaue Störung im Umgang mit anderen Menschen hast Du eigentlich? Auf dem Niveau, auf dem Du hier schreibst, schaffst Du es bestenfalls auf die „ignore list“.

Nur als Anmerkung. Der TE betreibt Apotheken und Apothekenrechnungen habe ich bisher bereits zur Genüge gesehen. Und auch ein Apothekenfachverband wird sicherlich eine grundsätzliche Idee haben, welche Daten in Apotheken anfallen. Ist aber alles nur…bullshit. Und mir ist meine Zeit zu schade.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat