Date: Wed, 08 Aug 2007 18:34:47 +0200 From: Stefano Zanero <[EMAIL PROTECTED]> Subject: Re: INPS e 196/2003 - Was:[lex] Cosa deve contenere una delega scritta di password ?
Alessandro Sappia wrote:
La 196/2003 e' ben chiara nel determinare le tempistiche di cambio
codici di accesso ("Something I know"):
Codici di accesso per incaricati del trattamento, ricordiamolo...
Mi riferisco ad esempio al codice PIN fornito dall'INPS nella citazione di cui sopra,
Che consente all'interessato di accedere ai SUOI dati, non ad un incaricato di accedere e trattare i dati altrui
ma il discorso e' estendibile al codice bancomat,
Che essendo un token fisico e' something you have + something you know, quindi svincolato dal discorso cambio periodico. E in ogni caso, e' solo per l'interessato -> come sopra
e per quanto apparato di telecomunicazioni al sistema (terminale GSM+SIM),
Come nei due punti sopra.****** Per essere precisi, secondo me, aggiungerei che se si sottraggono oll'obbligo legale delle misure minime per i motivi evidenziati da Zanero, questo non vuol dire che non debbano essere comunque prese in considerazione ed osservate le misure idonee e preventive ex art. 31; infatti permettere l'accesso all'interessato non esime chi lo fa, il titolare (es. inps,banche,privati in genere), dagli oblighi di sicurezza per il trattamento da lui effettuato (comeper l'appunto laconservazione permettendone l'accesso on-line, anche se all'interessato); domandiamoci se le credenziali che ci da l'inps rispettano i canoni (molto indefiniti) richiesti dall'art. 31... la mia risposta è che penso di no visto che sono sempre le stesse ed una bile ragazzo che vuole forzarle potrebbe farlo senza grossi problemi.
Ipotesi 1: Dichiaro nel DPS
I dati di cui sopra non sono sensibili, i sistemi di cui sopra sono per l'accesso degli interessati e non degli incaricati... insomma, col DPS non c'entrano un tubo.******con il DPS c'entrano solo nel momento in cui, se fossero sensibili e giudiziari, aprono una finestra di accesso agli interessati attravesro un meccanismo che potrebbe non essere ritenuto 'idoneo' ex art. 31; d'altra parte , per fare un esempio, se io tratto i dati adottando tutte le misure di sicurezza possibili, rispettando tutte le nome esistenti e poi permetto l'accesso on-line agli interessati mediante un sistema non sicuro (perchè ad esempio non cambio mai ID e PW peraltro molto corta di solito), poco importa se questi sono interessati, io rimango responsabile nei loro confronti se l'accesso avviene attraverso lo stesso sistema che gli ho dato, ma da parte di terzi non autorizzati; sono io, titolare, chiamato a rispondere di un accesso non autorizzato, non mi servirà a molto sostenere che l'interessato aveva le chiavi di accesso e la colpa è sua perchè potrebbe averle cedute a terzi, di fronte alla dichiarazione dell'interessato che l'acceso non è stato effettuato da lui..... sul piano processuale le cose si 'scaldano', log, controlog, disconoscimeti e così via ; se il metodo di accesso che gli ho consegnato (unilateralmente e da me gestito) non risponde all'evanescente livello di sicurezza rihiesto dall'art. 31 (e questo è uno dei motivi per cui o sempre criticato questa infelice normativa) il problema potrebbe porsi in modo abbastanza concreto per il titolare, l'art. 15 entra in gioco con tutta la sua pericolosità processuale.
buone cose a tutti Avv. Patrizio Galeotti www.assip.it ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
