From: "Vincenzo Agosto" <[EMAIL PROTECTED]>
Sent: Tuesday, November 20, 2007 1:53 PM
I dati vengono utilizzati dal cliente per inviare mail ai propri
clienti, una sorta di newsletter personalizzata (più o meno) per cui
utilizza il server che metto a disposizione sul quale può trasferire i
dati dei suoi utenti (non solo email ma anche telefoni, indirizzi ecc)
Sul fatto che i dati siano visibili a terzi forse la risposta potrebbe
essere NO, nel senso che trattandosi di una macchina virtuale, i dati e
l'intero file system si trovano relegati all'interno di un unico file
per cui non si può incappare nei dati per sbaglio, ma solo volutamente.
I dati potrebbero essere visualizzati solo collegandosi da remoto alla
macchina (ma la password la conosco solo io e non i gestori della mia
macchina virtuale) oppure via web mediante pagina protetta in cui ogni
utente vede solo i suoi dati.
Spero di aver chiarito il punto 2...
***a mio avviso il problema è da affrontare su più livelli.
e non pensare che la proprietà della macchina ti semplifichi di molto la
vita... :-))
il 1^ livello è il rapporto contrattuale tra te e i tuoi clienti, sulla cui
informativa dovrai scrivere in forma chiara quanto necessario per chiarire
le modalità di trattamento che ci ha spiegato.
il 2^ livello, invece, è il rapporto contrattuale e quindi informativa ex
art 13 TU Privacy tra te e l'hosting del webserver. dovrà essere chiaro ad
esempio che loro faranno solo patch management, business contitnuity,
operation dei server lato applicativo e invece tu curerai la parte base dati
(quindi con tutti gli obblighi privacy sui backup, etc etc).
per la parte misure di sicurezza, comunque, anche se la base dati è gestita
solo da te, è chiaro che avrai bisogno di "delegare" giuridicamente alcune
cose che sono tecnicamente insite nel contratto (ad esempio dal punto 15 al
18 del disciplinare tecnico ex all B, Tu privacy), mentre rimarranno (in
parte) in capo a te alcuni punti come i primi del disciplinare tecnico all B
(la parte autenticazione)
il consiglio che ti diamo e mettere nero su bianco queste cose, facendo la
nomina a responsabile esterno e quindi prevedendo istruzioni.
ultima cosa, dai un occhio al punto 25 del disciplinare tecnico e fatti
rilasciare quanto previsto.
tutto quanto sopra, infine, sarà "raccontato" nel DPS.
a presto
--
gerardo costabile
www.iisfa.it
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
