Commenti a: Amministratori di Sistema: Consultazione del Garante http://blog.solution.it/consultazione_amministratori_di_sistema/ il blog di Paolo Giardini Thu, 02 Feb 2012 15:47:42 +0000 hourly 1 http://wordpress.org/?v=3.2.1 Di: Paolo Giardini http://blog.solution.it/consultazione_amministratori_di_sistema/comment-page-1/#comment-111 Paolo Giardini Mon, 18 May 2009 22:39:55 +0000 http://blog.solution.it/?p=348#comment-111 Salve. Innanzi tutto tenga presente che il provvedimento riguarda solo gli amministratori di sistema, pur nell'ampia definizione intesa dal Garante. Pertanto l'attività degli operatori non deve essere registrata. Si devono registrare le operazioni login, logout e login falliti, per un completo tracciamento degli accessi. Sono le aziende esterne, nominate responsabili in outsourcing, che devono comunicare la lista degli amministratori di sistema, da allegare al DPS, se dovuto, o da conservare a cura del titolare. Sull'assunto che non siano le dimensioni dell'azienda ad influire sulla gestione dell'adeguamento alla normativa penso siamo tutti d'accordo. Mi lasci dire però che con 1000 dipendenti qualche dubbio sul fatto che non si gestiscano dati sensibili mi sorge. Per quanto riguarda le sue altre domande, sono questi alcuni dei punti che il Garante dovrà chiarire al termine della consultazione pubblica indetta su questo argomento (http://www.garanteprivacy.it/garante/doc.jsp?ID=1611986). La invito pertanto ad inviare anche le sue osservazioni al Garante. Salve.
Innanzi tutto tenga presente che il provvedimento riguarda solo gli amministratori di sistema, pur nell’ampia definizione intesa dal Garante. Pertanto l’attività degli operatori non deve essere registrata.
Si devono registrare le operazioni login, logout e login falliti, per un completo tracciamento degli accessi.
Sono le aziende esterne, nominate responsabili in outsourcing, che devono comunicare la lista degli amministratori di sistema, da allegare al DPS, se dovuto, o da conservare a cura del titolare.
Sull’assunto che non siano le dimensioni dell’azienda ad influire sulla gestione dell’adeguamento alla normativa penso siamo tutti d’accordo. Mi lasci dire però che con 1000 dipendenti qualche dubbio sul fatto che non si gestiscano dati sensibili mi sorge.
Per quanto riguarda le sue altre domande, sono questi alcuni dei punti che il Garante dovrà chiarire al termine della consultazione pubblica indetta su questo argomento (http://www.garanteprivacy.it/garante/doc.jsp?ID=1611986).
La invito pertanto ad inviare anche le sue osservazioni al Garante.

]]> Di: Dan Kotwicz http://blog.solution.it/consultazione_amministratori_di_sistema/comment-page-1/#comment-106 Dan Kotwicz Mon, 11 May 2009 14:58:29 +0000 http://blog.solution.it/?p=348#comment-106 1) I log devono essere trasferiti ad un'altro sistema protetto e inalterabile con una replica automatica ed immediata oppure possono essere trasferiti su una base periodica ? 2) quali sono gli eventi da registrare ? (molti sistemi registrano il login ma non il logout, vanno registrati altri eventi ?) 3) esistono sistemi che, pur con dati sensibili (per esempio - certi cardiografi) non posseggono un sistema di logging. Cosa si deve fare in questi casi ? 4) Per il servizi in outsourcing, va nominata responsabile l'azienda che fornisce il servizio e questa, solo al suo interno, nominerà gli amministratori oppure vanno comunicati all'azienda cliente i nominativi degli amministratori ? (la gestione può diventare molto pesante) 5) Un'azienda che gestisce solo le anagrafiche clienti e fornitori, anche se con 1000 dipendenti e 300 milioni di fatturato, può avere una gestione meno onerosa rispetto a chi gestisce dati sensibili ? Grazie Cordiali saluti Dan Kotwicz 1) I log devono essere trasferiti ad un’altro sistema protetto e inalterabile con una replica automatica ed immediata oppure possono essere trasferiti su una base periodica ?

2) quali sono gli eventi da registrare ?
(molti sistemi registrano il login ma non il logout, vanno registrati altri eventi ?)
3) esistono sistemi che, pur con dati sensibili (per esempio – certi cardiografi) non posseggono un sistema di logging. Cosa si deve fare in questi casi ?
4) Per il servizi in outsourcing, va nominata responsabile l’azienda che fornisce il servizio e questa, solo al suo interno, nominerà gli amministratori oppure vanno comunicati all’azienda cliente i nominativi degli amministratori ? (la gestione può diventare molto pesante)
5) Un’azienda che gestisce solo le anagrafiche clienti e fornitori, anche se con 1000 dipendenti e 300 milioni di fatturato, può avere una gestione meno onerosa rispetto a chi gestisce dati sensibili ?

Grazie

Cordiali saluti

Dan Kotwicz

]]>