CPR-tjek - findes det CPR-nummer i Damark?

Ikke uden adgang til CPR registret.

Du kan checke for formatet dddddd-dddd og du kan checke om foerste del er an valid dato.

Jeg ved ikke, om dette er et issue - men du skal lige huske, at det kræver en speciel tilladelse, hvis du gemmer CPR-numre i en database.

Jep! noget med sikkerheden på databasen! Spørg registertilsynet, det er hjælpsommer mennesker, men du får ikke lov til at gå på kompromi.

Du kan også checke om det er et valid cpr-nummer med modulus-11 testen.

Men det fortæller jo ikke noget om, om nummeret er i brug.

modulus-11 testen duer ikke laengere - de er begyndt at uddele CPR numre som ikke
overholder den

hehe.... Så har jeg noget software der skal ændres ;-)

http://cpr.dk/cpr/site.aspx?p=108&t=visartikel&Articleid=4347

hmm, jeg vidste slet ikke at man skulle spørge om lov for at gemme CPR .. hvad kan sikkerheden fx gå ud på, som er ekstra?

Tror I det er okay hvis jeg kun gør flg.:

Jeg skal bruge det til at "aktivere" kontoer, så hvis jeg ikke lægger det i en database, men blot tjekker det? altså:
dddddd-dddd
og så har jeg variablen $gender .. så kan jeg tjekke om det er valid dato, om det køn CPR-nr. ville tilhøre = $gender og så kan jeg tjekke formatet ?
og hvis det altsammen er opfyldt lægger jeg bare "aktiveret"="ja" ind i tabellen?
Altså intet CPR-nr. gemt?

HVis CPR ikke skal gemme kan det da være lige meget med at tjekke om det er indtastet rigtigt! eller? og evt. bare nøjes med at bede dem indtaste det sidste tal? eller alle de sidte 4! Du skal jo lige huske på at folk kan "sniffe" de data der sendes mellem server og client. og sendes der adr og CPR i samme POST ja så kan snifferen ganske gode data at gå videre med...

Bare et lille hint...

nu kan man jo bruge HTTPS

Med hensyn til at gemme CPR numre i databasen, så læs:
  http://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/Persondatalovspjece/Persondatalovspjece.htm

Udddrag:

I den offentlige sektor må man bruge personnummeret med henblik på en entydig identifikation eller som journalnummer.

I den private sektor er anvendelsen af personnummeret mere begrænset. Virksomheder m.v. må som hovedregel kun behandle personnummeret, når det følger af en lov, eller hvis den registrerede har givet udtrykkeligt samtykke hertil, og det tjener saglige formål.

Det følger eksempelvis af skattelovgivningen, at en privat virksomhed, der skal foretage indberetning til skattemyndighederne af oplysninger om løn og renter, skal oplyse den registreredes personnummer.

Der gælder særlige regler om private virksomheders videregivelse af personnummeret. Dette må normalt kun ske, hvis det følger af lovgivningen, hvis den registrerede har givet sit udtrykkelige samtykke, eller hvis en offentlig myndighed kræver det, f.eks. af regnskabsmæssige grunde.

Jeg mener ikke at loven stiller specifikke krav til hvordan CPR numre skal opbevares, men
de skal opbevares "sikkert".

Er det så sikkert nok, hvis man gemmer CPR-numrene i en mysqldatabase, hvor man bruger https hver gang, man henter/indsætter det?

(jeg vil antage at I matcher kriterierne for at I maa bruge CPR numre)

Kryptering af transport af CPR numre er et must.

Se:
http://www.datatilsynet.dk/nyheder/seneste-nyheder/artikel/datatilsynets-krav-og-anbefalinger-i-forbindelse-med-overfoersel-af-personoplysninger-via-internettet/

Som sagt er der ikke mange faste regler, men jeg vil ikke vurdere brug af HTTPS ved
transport som vaerende tilstraekkeligt. Der skal yderligere tiltag til.

Gemt i en separat tabel i et krypteret felt er oplagt. Bemaerk at den kryptering
mere beskytter backups end mod hacking, da applikationen jo stadig skal have
adgang til data.

Kun adgang til den tabel via andet brugernavn end de normale data. Beskytter delvist
mos huller i den generelle applikation saasom SQL injection.

Bedst at encapsulate adgangen via en service eller et modul som kun tillader
meget begraensede funktioner - f.eks. kun GetOne ikke GetAll. Og lad endelig
den service / modul dobbelt checke authentication igen. Den service / modul kan
naturligvis ikke tilgaaes udefra direkte.

Der er sikkert flere mulige tiltag. Dette var bare nogle af de mest oplagte.

hmm, ja ok :) .. takker for svar, men det bliver droppet :) .. gør det bare til at folk skal være aktiverede for at se visse info :)

smid svar! :)
Jeg deler point i mellem jer :)

svar