Luca Lesinigo ha scritto:
Buongiorno a tutti.
Dopo una ricerca negli archivi e l'interessante lettura del thread "Il
titolare vuole le mail dei dipendenti" non sono riuscito a giungere da
solo ad una conclusione per un problema sullo stesso argomento ma di
natura differente.
Nel mio caso l'azienda (italiana con server in Italia) che offre il
servizio di hosting (web ed email) ha un cliente (anche lui in Italia,
una Spa) che acquista il classico dominio + web + N account email. Gli
account email vengono gestiti autonomamente dal cliente (creazione,
modifica, passwords, etc) tramite apposita interfaccia web.
Ora il cliente richiede (nella persona del titolare & responsabile
legale), per uno dei "suoi" account email del tipo
[EMAIL PROTECTED]:
1) log smtp passati presenti e futuri
Non puoi ! , intanto NON devi avere log passati . per il futuro che sia
un AG a chiederti di monitorare, in ongni caso MAI i contenuti!
2) monitoraggio (copia) dei messaggi email in transito da "prima
possibile" in poi
ASSOLUTAMENTE NO!
3) di tenere all'oscuro della faccenda chiunque altro (incluso
ovviamente l'utente in questione)
MA FIGURAMOCI
rispondi al cliente che la legge ti impedisce di farlo , che il farlo è
reato penale e che se insiste potrai denunciarlo (istigazione ).
Il tutto, per ora, serve ad una indagine interna, non ci sono autorità
di sorta in ballo e soprattutto le richieste giungono dal titolare
della Spa e non da autorità di sorta.
Come si deve comportare l'hosting provider, tenendo conto che non sa
nulla dei rapporti tra azienda cliente e suoi dipendenti, regolamenti
interni, etcetera?
fare nulla !!
- i log immagino possano essere forniti al titolare dietro sua
richiesta, ma non a chi non sia responsabile legale dell'azienda, e
l'hoster ha semplicemente bisogno di una richiesta scritta del
suddetto titolare - in cui quest'ultimo si assume la responsabilità
dell'uso di tali log e solleva l'hoster dalla stessa (ha valore?)
trattandosi di reati penali la manleva non ha alcun valore , il reato è
di chi lo commette (tu)
- il monitoraggio del traffico email *credo* non sia effettuabile in
nessun caso (a meno che non intervenga l'autorità giudiziaria)
difatti
Ringrazio in anticipo per consigli e/o riferimenti.
--
Luca Lesinigo________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
