{"id":354,"date":"2009-05-21T23:28:10","date_gmt":"2009-05-21T22:28:10","guid":{"rendered":"http:\/\/blog.solution.it\/?p=354"},"modified":"2009-11-30T15:24:08","modified_gmt":"2009-11-30T14:24:08","slug":"amministratori-di-sistema-le-faq-del-garante","status":"publish","type":"post","link":"https:\/\/blog.solution.it\/?p=354","title":{"rendered":"Amministratori di sistema: le FAQ del Garante"},"content":{"rendered":"<p>Con netto anticipo sulla scadenza fissata per la consultazione pubblica avviata dal Garante Privacy sul tema degli Amministratori di sistema, \u00e8 stata pubblicata oggi sul sito del Garante una <a href=\"http:\/\/www.garanteprivacy.it\/garante\/doc.jsp?ID=1577499#FAQ\">lista di domande e risposte<\/a> che sciolgono senz&#8217;altro alcuni dei dubbi che tutti abbiamo sulla reale portata del <a href=\"http:\/\/www.garanteprivacy.it\/garante\/doc.jsp?ID=1577499\">provvedimento dello scorso novembre<\/a>, anche se molte altre domande ancora rimangono senza risposta. In ogni caso, alcune precisazioni estrapolate da una prima veloce lettura si possono gi\u00e0 fare.<!--more--><\/p>\n<p>Ad esempio, il Titolare di trattamento che sia anche l&#8217;unico utente di un pc, a meno di casi particolari, non \u00e8 tenuto ad applicare quanto previsto dal provvedimento. Il che fa tirare un grosso sospiro di sollievo a tante piccole e micro imprese che si chiedevano se fosse il caso di installare un server apposito per registrare i log di accesso.<br \/>\nGi\u00e0 che parliamo di modalit\u00e0 tecniche, si nota dalle risposte che in realt\u00e0 non viene richiesto nulla di esoterico, bastando in molti casi gi\u00e0 gli strumenti posti a disposizione dal sistema operativo. E&#8217; comunque compito del Titolare valutare quale sia il giusto grado di sicurezza da implementare per proteggere e conservare &#8220;per almeno sei mesi&#8221; i log. Quindi in casi specifici potr\u00e0 essere necessario ricorrere a server di log centralizzati, salvataggio con crittografia, copia su supporti ottici, e quant&#8217;altro, ma nella maggior parte dei casi tutto questo non sar\u00e0 necessario.<\/p>\n<p>Altra domanda spesso fomulata: cosa registrare? Il Garante precisa che sono da registrare solo gli eventi legati dal sistema di autenticazione informatica, pertanto login, logout ed eventuali condizioni di errore. E se il log registra anche altri eventi oltre a quelli legati all&#8217;autenticazione, cosa comune ad esempio su syslog? Fa nulla. Il requisito dettato dal provvedimento \u00e8 rispettato lo stesso.<\/p>\n<p>A leggere le risposte inserite in queste FAQ, viene quasi da pensare che alla fine, tutto il parlare fatto su questo provvedimento sia stato solo tempo perso. Intendiamoci, mi sto riferendo alle discussioni tecniche che sono fiorite un p\u00f2 dappertutto. Ad esempio, sull&#8217;affidabilit\u00e0 di un log gestito da chi poi \u00e8 la stessa figura che il log dovrebbe permettere di controllare. Insomma, il classico &#8220;chi controlla il controllore?&#8221;.\u00a0 Riporto un brano dalla riposta n. 12:<\/p>\n<blockquote><p><em>&#8220;E&#8217; ben noto che il problema dell&#8217;attendibilit\u00e0 dei dati di audit, in genere, riguarda in primo luogo la effettiva generazione degli auditable events e, successivamente, la loro corretta registrazione e manutenzione. Tuttavia il provvedimento del Garante\u00a0 non affronta questi aspetti, prevedendo soltanto, come forma minima di documentazione dell&#8217;uso di un sistema informativo, la generazione del log degli &#8220;accessi&#8221; (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento, senza alcuna pretesa di instaurare in modo generalizzato, e solo con le prescrizioni del provvedimento, un regime rigoroso di registrazione degli usage data dei sistemi informativi.&#8221;<\/em><\/p><\/blockquote>\n<p>Insomma: &#8220;State tutti tranquilli. Abbiamo scherzato.&#8221; \ud83d\ude09<\/p>\n<p>Il link al documento del Garante Privacy contenente le <a href=\"http:\/\/www.garanteprivacy.it\/garante\/doc.jsp?ID=1577499#FAQ\">FAQ sugli amministratori di sistema<\/a><\/p>\n<p>Forse ti interessa leggere anche: soluzione-open-source-per-log-amministratori-di-sistema<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Con netto anticipo sulla scadenza fissata per la consultazione pubblica avviata dal Garante Privacy sul tema degli Amministratori di sistema, \u00e8 stata pubblicata oggi sul sito del Garante una lista di domande e risposte che sciolgono senz&#8217;altro alcuni dei dubbi che tutti abbiamo sulla reale portata del provvedimento dello scorso&hellip; <\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[6,12,7,59,13,60],"_links":{"self":[{"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/posts\/354"}],"collection":[{"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.solution.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=354"}],"version-history":[{"count":9,"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/posts\/354\/revisions"}],"predecessor-version":[{"id":649,"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/posts\/354\/revisions\/649"}],"wp:attachment":[{"href":"https:\/\/blog.solution.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=354"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.solution.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=354"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.solution.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=354"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}