Pagina 1 di 2

[LEGGE] Documento Programmatico sulla Sicurezza (DPS)

MessaggioInviato: ven dic 17, 2004 10:19 am
da ValeriaVitolo
Un problema di fiducia...

Già, non vorrei proprio essere nei panni del "responsabile della privacy" che rischia reclusione fino a 2 anni e 125.000 euro di multa.... a dover scegliere fra mille prodotti e consulenti improvvisati che, alla fine, propongono "alghe per dimagrire....".

Alla fine chi ci rimette è solo l'utente finale: fa bene a fidarsi del negozio di pc abituale?


In estrema sintesi la legge sulla privacy
- tutela informazioni quali reddito, credo religioso, abitudini sessuali, salute, ecc.

- obbliga ad attuare le misure "IDONEE" affinchè:

1) nessuna persona (o programma) non autorizzato possa accedere alle informazioni riservate;

2) distruggere i dati riservati non più necessari (ad es. un cliente che cambia commercialista: il primo commercialista deve distruggere i dati relativi al vecchio cliente);

3) strumenti menzionati: crittografia, password, back up;

4) compilazione periodica di un documento programmatico della sicurezza (DPS).


Spesso sento in giro che la privacy è tutelata semplicemente con password e firewall.... ma ovviamente non è così. Anzi, vista la pena, non prenderei il problema sottogamba.

Quello che vorrei provare a fare è creare un ventaglio di soluzioni (a diversi livelli di complessità) che possa definitivamente risolvere i problemi sollevati dalla legge sulla privacy: http://www.camera.it/parlam/leggi/deleg ... 3196dl.htm


Se riterrete l'argomento interessante..... possiamo continuare insieme. [:-D]

fromtheflames: ho modificato il titolo per esplicare meglio il contenuto della discussione
thomas: metto in rilievo la discussione

MessaggioInviato: ven dic 17, 2004 10:40 am
da thomas
UHm... mi piace e devo anche dire che quel ruolo di responsabile della privacy dovrei ricoprilrlo io: proprio per questo pongo la prima domanda.
L'azieda che dovrei gestire è un laboratorio alimentare, che memorizzata dati riguardanti i propri clienti e fornitori: i dati sono al solo livello informativo, nulla di più, quindi ragione sociale, partita iva, telefono, indirizzi e cose del genere; poi teniamo traccia degli ordini effettuati dai clienti e ne memorizziamo i DDT e le fatture.

La domanda è: sono dati sensibili?

A mio avviso no, ma proprio perché la legge è, di per se, poco chiara, vorrei avere qualche informazione in più.

L'azienda oltretutto si serve di tecnologie informatiche come supporto al proprio archivio, quindi si parla di backup; ancora, l'azienda è collegata alla rete, quindi dispone di apparecchi volti alla protezione della rete interna (e di tutto il materiale sopra citato).

Il DPS mi sembra una buona idea, ma vai a capire chi e come deve strutturarlo!

MessaggioInviato: ven dic 17, 2004 11:19 am
da ValeriaVitolo
Mmmm....

Innanzitutto un paio di distinzioni, ovvero la legge distingue tra:

1) dati personali (quelli del tuo caso) e dati sensibili (reddito, credo, ecc.)

2) trattazione informatica (con pc) e manuale (.... senza pc).


Nel tuo caso credo occorra:

- uno sbarramento semplice: password di accesso, firewall e backup dati;

- tutti i documenti connessi al DPS:
- lettere di incarico;
- analisi dei rischi;
- nomina del titolare e del responsabile;
- formulazione del DPS (annuale).

Ovviamente se vuoi essere zelante potresti implementare un sistema di crittazione e decrittazione automatica dei file contenenti tali informazioni.

Credo sia tutto.

P.s. cosa deve contenere e come si compila il DPS è riportato schematicamente nell'allegato della legge (vedi link).
Credo sia abbastanza fattibile.....
Tuttavia puoi sempre demandare il compito al legale del laboratorio.

MessaggioInviato: ven dic 17, 2004 11:28 am
da thomas
Quindi ogni azienda, in pratica deve stilare il DPS...
Includo anche il mio elttricista di 60 anni? Accipicchia!

Ancora: l'azienda che mi fornisce il programma gestionale, che vincoli ha nei miei riguardi con il DPS? Credo sia logico ipotizzare che assieme al loro programma debbano stilare e fornire a me che sono loro cliente, la parte del documento che li vede partecipi (quella relativa al funzionamento del programma stesso).

MessaggioInviato: ven dic 17, 2004 1:11 pm
da ValeriaVitolo
Deve farlo chiunque tratti dati personali (ancor più dati sensibili).

comunque questo è il caso.... diciamo così BANALE ben altra storia sono i dati sensibili....




P.s. ricorda la pwd almeno 8 caratteri; ID e PWD non riconducibili alla persona.... (cioè PINCOPALLINO non avrà userid PINPALL).

Ciao.

MessaggioInviato: sab dic 18, 2004 10:03 am
da ValeriaVitolo
Passiamo ad esaminare i casi reali di maggiore complessità (datemi una manina però [!!!] ).

Viste gli obblighi della legge, vediamo il primo caso, il più semplice.

Caso 1: Un parroco ha l'archivio dei fedeli su un file Excel (o ACCESS sarebbe uguale), dove annota battezzati e cresimati, nome, cognome, ecc.
Il DATO SENSIBILE in questo caso c'è ed è il CREDO RELIGIOSO.

Ipotesi 1: il parroco è l'unico ad usare il pc, che è pure connesso ad internet.

Cosa deve fare il parroco per essere in regola con la legge (informaticamente parlando?)


P.s. Non credo che l'azienda che fornisca il sw di gestione abbia OBBLIGHI espliciti relativamente al DPS.

MessaggioInviato: sab dic 18, 2004 10:51 am
da thomas
ValeriaVitolo ha scritto:P.s. Non credo che l'azienda che fornisca il sw di gestione abbia OBBLIGHI espliciti relativamente al DPS.


Ti rispondo in merito a questo, perché credo che la mia software house sia la prima a dovermi garantire l'integrità e la riservatezza sui dati che manipola il suo programma, magari adottando tecniche ci crittazione documentate e descritte per bene...
Una sorta di certificazione (che ben presto arriverà anche per il software).


Poi una note generale: un recente decreto ha proprogato al 30 di settembre del 2005 (se non ricordo male) gli obblighi di legge in materia di privacy, per favorire l'adeguamento di tutti.

Per il parroco, la cosa è particolare secondo me: la realtà parroco non ha nulla a che vedere con l'azienda; io credo addirittura che i documenti redatti dal parroco o chi per esso, non siano in alcuna maniera ufficiali... è un mio sentore, nulla di certo.

Se così non fosse, allora anche mia madre che scrivere sui fogli i dati dei bambini che partecipano al catechismo, dovrebbe stilare il DPS...

MessaggioInviato: sab dic 18, 2004 11:44 am
da Rancid
fromtheflames ha scritto:Ti rispondo in merito a questo, perché credo che la mia software house sia la prima a dovermi garantire l'integrità e la riservatezza sui dati che manipola il suo programma, magari adottando tecniche ci crittazione documentate e descritte per bene...


mi sto informando ..interessa anche a me la cosa

MessaggioInviato: mar dic 21, 2004 11:50 am
da ValeriaVitolo
1. La proroga è fino a giugno 2005.

2. Il responsabile sei tu, quindi tu devi preoccuparti di usare gli strumenti giusti.... Se scegli un programma gestionale piuttosto che un altro è un tuo diritto ma anche un tuo ONERE.

3. Documenti ufficiali: non importa se siano ufficiali o no, quello che conta è tutelare i dati personali (ancor più i sensibili).

4. Per assurdo anche una lettera di Word con estremi SENSIBILI è un documento a rischio.....


Stavolta vorrei porla io una domandina:

Un'agenzia di assicurazioni ha una connessione VPN con il SERVER (VPN) dell'agenzia generale, ed una connessione ad Internet ADSL con IP statico.

La domanda è: questa soluzione è ASSOLUTAMENTE sicura?

[fischio]

MessaggioInviato: mar dic 21, 2004 12:26 pm
da thomas
ValeriaVitolo ha scritto:1. La proroga è fino a giugno 2005.

Chiedo venia.. è vero; mi sono confuso con la proroga per i ritardatari
ValeriaVitolo ha scritto:Stavolta vorrei porla io una domandina:

Un'agenzia di assicurazioni ha una connessione VPN con il SERVER (VPN) dell'agenzia generale, ed una connessione ad Internet ADSL con IP statico.

La domanda è: questa soluzione è ASSOLUTAMENTE sicura?

[fischio]

Se la si mette in questa maniera, chi può ritenersi sicuro?

Ovvero, si pretende la sicurezza quando neanche le reti governative sono sicure?
La "domanda di risposta" è: "ci siamo rimbecilliti?" (leggi con ironia)

Io credo che le misure minime di sicurezza siano router(gateway)+firewall, poi sta agli amministratori farli funzionare e ai produttori non prevedere bachi.
Se si vuole una rete sicura (leggi difficile ma non impossibile da bucare), allora compriamo per ogni azienda almeno 5 firewall in serie, di marche e modelli differenti... allora si che è un po' più complicato...

Secondo me questo documento non sarà altra che una stesura per bene di tutti i nostri (dei sistemisti) documenti interni...
Sarà invece dura mettere in testa agli utenti di cambiare le password ogni tanto e metterne sempre una diversa e astratta dal proprio essere, ricordandogli di non appendere un postit sul monitor/sotto la tastiera/nel cassetto con la password in bella vista... Secondo me questo è il punto cruciale.

Per quello che mi riguarda, tutto quello che posso in materia di sicurezza è fatto e documentato...

Quindi, quando ti riferisci alla VPN, se hai un firewall configurato ad entrambi i lati del tunnel, non di dovrebbero essere problemi.


Mi piacerebbe discutere anche dell'istruzione degli utenti: mica tutti hanno memoria per ricordarsi una password diversa ogni "quellichesono" mesi... insomma, hanno ben altre cose in mente da fare/ricordare..
Tanto vale comprare dei lettori di impronte digitali o di iride per l'accesso ai sistemi!!! O no?

(un pensierino sui lettori di impronte ce lo faccio!)

MessaggioInviato: mar dic 21, 2004 1:04 pm
da ValeriaVitolo
Un'agenzia di assicurazioni ha una connessione VPN con il SERVER (VPN) dell'agenzia generale, ed una connessione ad Internet ADSL con IP statico.
La domanda è: questa soluzione è ASSOLUTAMENTE sicura?


Quindi, quando ti riferisci alla VPN, se hai un firewall configurato ad entrambi i lati del tunnel, non di dovrebbero essere problemi.


Beh.... consentimi dal basso della mia inesperienza di dissentire.

L'anello debole della catena è la piccola agenzia.

Vediamo perché.

Postulato: la piccola agenzia non ha i mezzi dell'agenzia generale, quindi supporremo che userà (al massimo) un firewall software, un antivirus e che farà una scarsa manutenzione tecnica. L'agenzia non ha un collegamento esclusivo con l'AZIENDA MADRE, ma usa anche internet per navigare normalmente.

Prima considerazione: è vero che chi entra è autenticato, ma non sappiamo cosa (o chi) porta con sè....
Seconda: non sappiamo se qualche furbetto maschera il suo IP come l'IP statico della filiale per entrare indisturbato nell'agenzia generale...
ed accede a tutti i dati riservati!

Cioè se la filiale prende qualcosa, diciamo che compromette un po' anche la sicurezza della generale, pur supponendo (ma c'è davvero?) una crittazione dei pacchetti.

Per quanto riguarda la PRIVACY:
la risposta è assolutamente un NO secco, in quanto non basta una connessione VPN, crittata, aperta solo negli orari di ufficio ed alle informazioni riservate di pertinenza cioè solo quelle di quell'agenzia e non di altre(ehehhehe).....

E' un NO soprattutto perché i dati riservati (almeno quelli della filiale) sono custodite anche sul pc locale.... e cos'è l'agenzia generale se non una somma di filiali?

[devil]


Soluzioni?

MessaggioInviato: mar dic 21, 2004 1:24 pm
da thomas
ValeriaVitolo ha scritto:
Un'agenzia di assicurazioni ha una connessione VPN con il SERVER (VPN) dell'agenzia generale, ed una connessione ad Internet ADSL con IP statico.
La domanda è: questa soluzione è ASSOLUTAMENTE sicura?


Quindi, quando ti riferisci alla VPN, se hai un firewall configurato ad entrambi i lati del tunnel, non di dovrebbero essere problemi.


Soluzioni?


Sono stato poco chiaro nel post precedente!

Secondo me è impossibile adeguare tutte le entità che utilizzano la rete (intesa come internet) verso un sistema sicuro a priori (se davvero esiste).
1) non ci sono spesso i fondi
2) non c'è la testa delle persone: ancora sono molti che utilizzano i pc della ditta in cui lavorano per fare i loro porci comodi... mi spiace per tutti quello che lo fanno, ma è un comportamento assolutamente irriverente!
3) non c'è la testa degli amministratori: che dir si voglia, ma a quanto pare gli amministratori italiani delle piccole-medie imprese (le grandi se li possono permettere), sono spesso persone "che ne sanno di computer" e che "aiutano" il proprietario: i proprietari stessi non sono ancora entrati nell'ottica che la sicurezza informatica è importante e va finanziata!

Quindi ci vediamo concordi.

Ma quello che mi fa riflettere e scrivere
fromtheflames ha scritto:Quindi, quando ti riferisci alla VPN, se hai un firewall configurato ad entrambi i lati del tunnel, non di dovrebbero essere problemi.
è il semplice fatto che non può, lo stato, imporre la sicurezza come "assoluta", mi spiego: sarà per ovvie ragioni un processo lento, la nuova generazione sarà certamente più volta a questo tipo di cose, ma "finchè mio padre crede che spendere 2000 euro per un server ridondante in processore, alimentazione, dischi, schede, ecc... siano cose per chi ha una grande azienda" (e bada bene, non ho sparato una cifra da server vero!), allora il DPS sarà una farsa... E questo lo stato lo sa.
Ecco perché mi sono limitato al firewall sugli endpoint della vpn.

Le soluzioni sicure non partiranno certo da noi, prima va messa in sicurezza la Rete, che purtroppo per forza di cose, sicura non la sarà mai!

MessaggioInviato: mar dic 21, 2004 5:26 pm
da ValeriaVitolo
Già...

Ma quello che desideravo era dare qualche dritta per aiutare chi deve ottemperare quella legge....
Forse in un forum non si può discernere tutti i casi, ma magari dare qualche specifica tecnica sui casi più comuni forse si....

In conclusione, è possibile provare a formulare qualche soluzione (implementazione tecnico/informatica) di casi reali ?

[cuore]

Ciauz

MessaggioInviato: mar dic 21, 2004 8:27 pm
da thomas
ValeriaVitolo ha scritto:Già...

Ma quello che desideravo era dare qualche dritta per aiutare chi deve ottemperare quella legge....
Forse in un forum non si può discernere tutti i casi, ma magari dare qualche specifica tecnica sui casi più comuni forse si....

In conclusione, è possibile provare a formulare qualche soluzione (implementazione tecnico/informatica) di casi reali ?

[cuore]

Ciauz


Hai ragione...
Però, mi sembra più utile forse, piuttosto che studiare dei casi reali, studiare invece soluzioni comuni a più casi reali: ad esempio come implementare la protezione con password (che a mio avviso è il punto debole), descrivere una semplice struttura di protezione della rete (apparati hw e sw quali router/firewall/gateway), illustrare alcune tecniche di protezione dei dati (crypt) e conservazione degli stessi (backup), ...

Che ne dici? Altrimenti possiamo fare come dici tu, cominciando da qualche realtà...

PS: a tutti gli altri: non ci credo che siamo così pochi interessati a questa materia! La discussione è interessantissima, potrebbe evolvere addirittura in homepage secondo me; quindi partecipate cazzarola!! [sedia]

MessaggioInviato: mar dic 21, 2004 8:37 pm
da thomas
Art.4 DL 196/2003 ha scritto:1. Ai fini del presente codice si intende per:
a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
b) "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;
d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
f) "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
h) "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
i) "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;
l) "comunicazione", il dare conoscenza dei dati personali a uno o piu' soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
m) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
n) "dato anonimo", il dato che in origine, o a seguito di trattamento, non puo' essere associato ad un interessato identificato o identificabile;
o) "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
p) "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o piu' unita' dislocate in uno o piu' siti;
q) "Garante", l'autorita' di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n. 675,


Rileggendo queste definizioni, mi sorge un dubbio: l'impiegato che lavora presso la mia azienda e che, di tanto in tanto, deve emettere una fattura, quindi ricerca il cliente nel database e compila i campi della fattura, come/cosa c'entra in tutto questo?
A primo avviso si tratterebbe di "incaricato", ma se la sola funzione che può avere è quella di consultare il databse, simane ancora "incaricato"?
Ovvero: mi deve inserire anche lui nome utente/password sul terminale o posso lasciare le sessioni aperte per tutta la durata della giornata lavorativa? (chiaramente consentendo l'accesso fisico ai soli impiegati)

MessaggioInviato: mer dic 22, 2004 11:04 am
da ValeriaVitolo
Mi piace [applauso].

Faccio una premessa... perdonatemi le cavolate che dirò... non sono brava [fischio]

Innanzitutto per sicurezza non intenderemo mai l'ASSOLUTA ma almeno un ottimo livello (soprattutto in termini di costo/benficio).

Tranne eccezioni poco diffuse possiamo concentrarci e dividere i casi in:

1) un solo utente accede al pc e ai dati riservati;
2) più utenti accedono ai dati riservati ma a diversi privilegi;
3) utenti anche in remoto che accedono ai dati ma a diversi privilegi.


Una semplificazione per tutti: la macchina che tratta i dati non dovrebbe collegarsi a internet. Può farlo solo se il budget del cliente è adeguato per garantire una "buona" protezione.


Le priorità che abbiamo sono:
1) nessuna persona (o programma) non autorizzato deve avere accesso ai dati personali;
2) se non è più necessario bisogna DISTRUGGERE i dati personali del soggetto (ad es. un cliente che cambia commercialista);
3) ripristinare l'accessibilità ai dati entro pochi giorni in caso di problema tecnico.

Li vediamo insieme uno per volta?

MessaggioInviato: mer dic 22, 2004 11:17 am
da Mr.TFM
Abbiate pazienza, mi sono fermato alla 6 sisposta, poi non ce l'ho fatta a leggere tutto... Avete scritto un bel po'!
Comunque, anche mia mamma. impiegata statale in un Istituto comprensivo (le vecchie scuole medie e elementari) recentemente ha dovuto seguire un corso prpprio per conformare il suo ufficio a questa legge!
Tutto dovrà essere coperto da password, cambiate periodicamente e tenute in cassaforte....
Già quello è stressante, poi se tutto il lavoro cartaceo e digitale deve essere coperto..... Beh, immaginate che casino! [sedia] [sedia] [sedia]


Ma chi l'ha studiata 'sta legge Rodotà? (n.d.a. il Garante delle Privacy?)

MessaggioInviato: mer dic 22, 2004 11:34 am
da thomas
ValeriaVitolo ha scritto:Una semplificazione per tutti: la macchina che tratta i dati non dovrebbe collegarsi a internet. Può farlo solo se il budget del cliente è adeguato per garantire una "buona" protezione.


Valeria, questa semplificazione ci butta fuori dalla realtà però!!
Per evitare ogni dubbio, perché non discutiamo un attimino di questa prima...

Secondo me, occorre ipotizzare non una sola macchina, ma una rete di macchine, con la possibilità poi di andare in internet: questa è la situazione mediamente diffusa.

Prendendo quindi in considerazione questa situazione, cerchiamo di capire cosa occorre fare per "chiuderci" (proteggere la rete), poi passeremo allo studio delle prassi interne.

Sempre guardando ad un livello di compromesso tra budget e tecnologia, io ho individuato questi punti per quanto riguarda la protezione della rete.
- Protezione interna
1) circoscrizione fisica degli ambienti ove sono poste le macchine (nessun estraneo deve avere la possibilità di sedersi ad un pc, accenderlo ed utilizzarlo - se non espressamente voluto); quindi qui entrano in ballo i sistemi di sicurezza visiva e sorveglianza (allarmi, telecamere, ecc..), roba che non so se debba essere trattata nel DPS.
- Protezione esterna (tenendo sempre presente le misure di sorveglianza fisica)
1) un solo punto è direttamente collegato alla Rete (internet): tale punto deve essere protetto. Quindi è ammissibile ipotizzare a servizi di gateway e firewalling, implementati da diversi strumenti o anche dallo stesso; tali servizi hanno da essere configurati secondo le specifiche aziendali (es: accesso dall'esterno alla rete interna tramite secure shell, forwarding delle richieste alla porta 80 del router verso un server interno, ecc...); tutti questi punti devono essere documentati
2) ogni pc della rete interna si collega all'esterno tramite il punto di accesso alla Rete; qui entrano in gioco dispositivi come switch e hub, ma (ancora) non so se la topologia della rete deve essere esplicata.


Data questa premessa (sicuramente integrabile e, anzi, vi prego di farlo, magari con colori diversi - non conosco tutto, quindi posso dimenticare delle cose) possiamo prendere in esame il singolo pc e tutto quello che ha detto Valeria poco fa.

Io quest'oggi non sarò presente, ma domani leggerò tutto

Se serve una realtà, possiamo lavorare su una delle nostre o su più realtà delle nostre, così ci mettiamo avanti col lavoro!

Per Valeria: la tua voglia di conoscenza in questo campo, mi incuriosisce... lavori nella sistemistica?

MessaggioInviato: mer dic 22, 2004 11:44 am
da thomas
Mr.TFM ha scritto:Ma chi l'ha studiata 'sta legge Rodotà? (n.d.a. il Garante delle Privacy?)


E' un casino, è vero...
Ma a conti fatti, questa legge ci porterebbe all'avanguardia per quanto riguarda la sicurezza nazionale; non so quanti altri Paesi debbano fare i conti con questa materia in siffatta ([coca] ) maniera, ma sono certo che se chiunque dovesse aver a che fare con qualsiasi tipo di dato, implementerebbe misure protettive "minime", allora si complicherebbe abbastanza la vita di chi sfrutta questi buchi nelle imprese... e non è roba da film! La speculazione aziendale esiste da decenni...

A me piacerebbe veder implementate queste misure nel più breve tempo possibile, ma ottimisticamente parlando non ne vedo la realizzazione se non tra un paio di anni (e via alle deroghe!). Speriamo solo non vada cestinata!

A proposito:
Art. 5
(Oggetto ed ambito di applicazione)

1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque e' stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranita' dello Stato.

2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque e' stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali.

3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali e' soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilita' e di sicurezza dei dati di cui agli articoli 1 e 31.

Si parla di applicazione per tutti e tutto quello che è sul territorio nazionale!
Insomma, anche la mia cara Apple, se un domani decidesse di spostare i suoi server qui in Italia per via che costano meno (utopia), nonostante sia una società californiana dovrà sottostare alle leggi italiane (per quel che riguarda la privacy appunto)!

MessaggioInviato: mer dic 22, 2004 1:16 pm
da ValeriaVitolo
Internet è una componente critica quindi, volendo schematizzare, supponiamo una risoluzione "semplice" del primo caso; la questione la affronteremo nei casi successivi (costo/beneficio).

In verità esiste una problematica e non da poco: come vengono usati i dati riservati?

Cioè, è presumibile che i dati riservati (o sensibili) siano in un database.

MA.... (e che ma), vengono solo consultati visivamente o vengono utilizzati da un programma esterno, magari un programma gestionale?

Viste le mie limitatissime conoscenze prenderò in considerazione solo la prima ipotesi.

Facciamo un po' di luce.
Caso 1: Un solo utente accede al PC ed ai dati riservati.

Per impedire l'accesso alle persone non autorizzate (senza dimenticare il pc può anche essere sottratto illegalmente heheheh....) occorrerà:

1) un valido sistema di Log-in: quindi un sistema operativo recente (Windows XPpro e similari) ed aggiornato (Service pack e patch), formattato NTFS;

2) L'amministratore (o il tecnico hw/sw) creerà il profilo utente, ma l'utente deve cambiare la PWD (che sarà ignota al tecnico);
[magari il cliente potrebbe firmare un documento in cui dichiara di aver cambiato la pwd]

3) per impedire che estranei possano sedersi al pc, credo basti una pwd allo screen saver oppure il cliente dovrà disconnettersi ogni volta che si alza o cose così.....

4) un valido sistema di crittazione dei file riservati con pwd: beh per questo punto c'è un pacchetto interessante Drivecrypt
http://www.securstar.com/products_drivecrypt.php
che tra i suoi punti di forza ha la crittazione/decrittazione automatica;

5) un sistema per il ripristino dei dati: credo basti una configurazione RAID 1, ovvero due dischi in raid;

6) un sistema per la distruzione dei dati non necessari: credo basti DATA ERASER della ONTRACK (o similari);

7) e magari: un UPS.

Questa è la soluzione completa del primo caso.
Adesso passerei la palla: troppo complesso per me.

P.s. comunque provo a scrivere qualcosa..... tanto mi correggerete voi no? [:-D]