Il Garante ha pubblicato le FAQ, ancora prima della chiusura della consultazione pubblica. Ci sono alcuni aspetti di grande chiarimento (per esempio, non si devono tenere i dati su quanto fa l'amministratore). Altri temi, invece, non sono risolti (ad esempio cosa sono le finalità amministrative contabili). Ci sono poi indicazioni sulla non necessità di comprare soluzioni hardware e software nonché sui dati da tenere e come.
Il sito del CLUSIT
Gruppo CLUSIT
Tutti i soci, ed i dipendenti di aziende socie coinvolti nella vita del Clusit, possono chiedere di aderire al gruppo su LinkedIn facendo clic su questo link.
Ogni richiesta deve essere approvata manualmente, in genere nel giro di un paio di giorni.
I blog dei soci
Accessi
Creative Commons
« Verso una nuova direttiva europea per la privacy? | Principale | Dati di Traffico: proroga del Garante »
31/05/09
TrackBack
URL per il TrackBack a questo post:
http://www.typepad.com/services/trackback/6a00df3522c3878834011570b32ee8970b
I link elencati qui sotto sono quelli che rimandano a Amministratori di sistema: risposte alle domande più frequenti (FAQ):
Commenti
Verifica il tuo commento
Anteprima del tuo commento
Questa è solo un'anteprima. Il tuo commento non è stato ancora pubblicato.
Il tuo commento non può essere pubblicato. Errore di scrittura:
Il tuo commento è stato salvato. I commenti vengono moderati e non compariranno finchè non saranno approvati dall'autore. Pubblica un altro commento
Come ultima cosa, prima di pubblicare il tuo commento, inserisci le lettere ed i numeri che vedi nell'immagine qui sotto. Questo impedisce che programmi automatici possano pubblicare dei commenti.
Fai fatica a leggere quest'immagine? Visualizzane un'altra.
Feed RSS
Ultimi post
- Vecchi truffatori nel terzo millennio
- Uno specialista di sicurezza IT su due ha avuto aumenti di paga nel 2009
- Al via la seconda edizione dell'Hacking Film Festival
- La sicurezza delle informazioni nell'era del Web 2.0
- Aperte le iscrizioni al Security Summit di Milano
- 2 universita' cinesi dietro gli attacchi a Google
- Maxi cyberattacco su Internet
- L'ENISA ha nominato il nuovo gruppo permanente di esperti che assisteranno il direttore dell'Agenzia
- interviste al Presidente Tagliapietra
- Investire in sicurezza: quale ritorno?
Ultimi commenti
- craig80 su Corsi UNICRI contro il cybercrime
- Corrado Giustozzi su L'ENISA ha nominato il nuovo gruppo permanente di esperti che assisteranno il direttore dell'Agenzia
- Raoul Chiesa su L'ENISA ha nominato il nuovo gruppo permanente di esperti che assisteranno il direttore dell'Agenzia
- Gianluca D'Antonio su L'ENISA ha nominato il nuovo gruppo permanente di esperti che assisteranno il direttore dell'Agenzia
- Franz Marcolla su Grave difetto architetturale in alcune "chiavette" USB cifrate
- catepol su Le strane attività degli aggregatori di notizie
- Raoul Chiesa su Nuovi modi di parlare di security
- Stefano Quintarelli su Wi Fi, l'anonimato, il decreto Pisanu
- atrent su Wi Fi, l'anonimato, il decreto Pisanu
- Claudio Telmon su Wi Fi, l'anonimato, il decreto Pisanu
L'inclusione nel perimetro del provvedimento dei log relativi ad apparati di rete quali router, hub e switch, sebbene veicolanti dati personali in chiaro, non potrebbe secondo voi risultare eccessiva relativamente allo spirito del provvedimento?
L'accesso ai dati personali presuppone comunque l'utilizzo di strumenti per la cattura di informazioni (es. sniffer).
Non potrebbe trattarsi di un "problema" di sicurezza, che va al di là delle intenzioni del Garante?
Aspetto una Vostra risposta,
grazie!
M.
Scritto da: Mario | 15/07/09 a 16:53
Ciao Stefano,
come ho risposto a Riccardo nel precedente post, l'interrogativo non può avere una risposta del tutto netta: il provvedimento, infatti, non esclude "a priori" gli amministratori di rete dal proprio ambito.
Quello che è possibile dire è che, se si è nella condizione di escludere il "possibile l'accesso, anche fortuito, a dati personali", allora è improbabile che gli amministratori di rete rientrino nel Provvedimento. Viceversa, qualora non si sia certi di poter escludere tale possibilità secondo me conviene fare delle verifiche approfondite, che possono comportare anche la verifica delle risultanze ad opera di un legale.
Scritto da: Luca Bechelli | 22/06/09 a 13:58
E' interessante la domanda di Riccardo, qua sopra, non sappiamo se bisogna tenere traccia anche degli accessi fatti dagli amministratori a router, switch e firewall poichè veicoli di dati personali ma non detentori. Qualcuno può rispondere?
Scritto da: Stefano | 18/06/09 a 16:04
Buongiorno,
innanzitutto una precisazione: l'ambito del Provvedimento è il trattamento di dati personali, sia che siano comuni, sia che siano sensibili o giudiziari.
Ora, premesso che non sono un legale (il cui parere è certamente di maggiore utilità sopratutto avendo conoscenza del contesto dove si deve applicare il Provvedimento), relativamente alla prima domanda, se gli amministratori c.d. di rete possano essere ritenuti fuori ambito del provvvedimento, in linea di principio direi di no.
Questo perchè il Provvediemento al Punto 1, "nel segnalare a tutti i titolari di trattamenti di dati personali" ... "la particolare criticità del ruolo degli amministratori di sistema, richiama l'attenzione dei medesimi titolari sull'esigenza di valutare con particolare attenzione l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema (system administrator), amministratore di base di dati (database administrator) o amministratore di rete (network administrator)..." facendo quindi esplicito riferimento a questa figura.
In ogni caso, tali amministratori ricadono nella definizione del Provvedimento "...laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali". Quindi non si parla di tenuta dei dati, ma di accesso, che è un caso più generale. Ad esempio, mi viene da dire che tali dati possono essere oggetto di log per apparati configurati per produrre un eccessivo numero di informazioni inerenti il traffico trattato, oppure nei casi in cui sia possibile monitorare il traffico attraversato dall'apparato. Sono casi certo non sempre applicabili, ma la normativa deve in questi casi essere la più generica possibile.
Quindi laddove router, switch, firewall, ras, vpn concentrator, siano veicoli di dati personali, e non ne consentano l'accesso, i loro amministratori non rientrano nel Provvedimento.
Attenzione, però. Il Provvedimento nel Punto 1 della Premessa, comma 2 e 3, dice anche che "Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente "responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati.
Attività tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un'effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l'amministratore non consulti "in chiaro" le informazioni medesime."
Quindi, ma qui ripeto che il parare di un legale è d'obbligo, l'effettiva possibilità di conoscere tali dati, che comporta solo un sotto-insieme delle attività che rientrano nella definizione di "Trattamento", non è per il Garante un discriminante per ritenere un soggetto un "AdS".
A tale scopo, provo a rispondere alla seconda domanda: i grossi provider che installano remotamente migliaia di router/switch/firewall, etc come farebbero ad essere compliant?
In questo caso è bene ricordare che se il provider "...mette a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione..." dove "..per «servizi di comunicazione elettronica» devono intendersi quelli consistenti, esclusivamente o prevalentemente, «nella trasmissione di segnali su reti di comunicazioni elettroniche» (art. 4, comma 2, lettera d) e e), del Codice)..." (Provvedimento 17 Gennaio 2008 sul Trattamento dei dati di traffico) il Garante ha emesso specifici provvedimenti, le cui prescrizioni sono ben più restrittive rispetto a quelle dell'attuale sugli AdS.
In questi casi, tuttavia, secondo me è opportuno rifarsi allo "spirito" della norma: il Garante ha toccato un tema sicuramente molto importante, ovvero la necessità di prendere coscienza della rilevanza e della delicatezza delle mansioni assegnate agli AdS, e di conseguenza di adottare una condotta, la c.d. due diligence, che rifletta tale presa di coscienza, che si rientri o no nell'ambito dell'uno o dell'altro provvedimento di legge.
Scritto da: Luca Bechelli | 02/06/09 a 09:45
Ciao Paolo,
ma è corretto ritenere gli "amministratori di rete" di apparati quali router, switch, firewall, ras, vpn concentrator, cioè apparati veicoli di dati sensibili e non detentori di dati sensibili, al di fuori di quanto emanato nel provvedimento del garante ?
Mi viene da pensare ai grossi provider che installano remotamente migliaia di router/switch/firewall, etc come farebbero ad essere compliant ?
grazie
Riccardo
dim0sal@hotmail.com
Scritto da: Riccardo | 01/06/09 a 11:47