Gelpi Andrea ha scritto:
rino lo turco wrote:
Luca Lesinigo ha scritto:
Buongiorno a tutti.
Dopo una ricerca negli archivi e l'interessante lettura del thread
"Il titolare vuole le mail dei dipendenti" non sono riuscito a
giungere da solo ad una conclusione per un problema sullo stesso
argomento ma di natura differente.
Nel mio caso l'azienda (italiana con server in Italia) che offre il
servizio di hosting (web ed email) ha un cliente (anche lui in
Italia, una Spa) che acquista il classico dominio + web + N account
email. Gli account email vengono gestiti autonomamente dal cliente
(creazione, modifica, passwords, etc) tramite apposita interfaccia web.
Ora il cliente richiede (nella persona del titolare & responsabile
legale), per uno dei "suoi" account email del tipo
[EMAIL PROTECTED]:
1) log smtp passati presenti e futuri
Non puoi ! , intanto NON devi avere log passati . per il futuro che
sia un AG a chiederti di monitorare, in ongni caso MAI i contenuti!
2) monitoraggio (copia) dei messaggi email in transito da "prima
possibile" in poi
ASSOLUTAMENTE NO!
3) di tenere all'oscuro della faccenda chiunque altro (incluso
ovviamente l'utente in questione)
MA FIGURAMOCI
rispondi al cliente che la legge ti impedisce di farlo , che il farlo
è reato penale e che se insiste potrai denunciarlo (istigazione ).
Secondo me hai semplificato un po' troppo.
Se non tieni log come fai a verificare se il server funziona bene e
che cosa è successo alla mail che un tuo cliente ha spedito 5 giorni
fa e che non risulta mai arrivata?
nessun contratto prevede che si debba dare una simile risposta al
cliente. Come eventuale gestore del server di posta puoi solo verificare
, attraverso appositi test, se il sistema invia e riceve correttamente.
Nell'eventualità di voler fornire altre informazioni è necessario
adottare uno specifico contratto e mettere in essere tutta una seria di
regole a tutela dei diritti .
Tropo spesso speudo informatici confondono i loro ambiti applicativi.
l'informatico puro potendo non deve assolutamente mai occuparsi dei
contenuti , l'informatico può solo operare sui contenitori; ogni
attività diversa è un vero e proprio abuso spesso illegittimo, con tutte
le conseguenze che ciò può comportare.
Il controllo dei servizi si effettua con altri sistemi , sistemi che non
necessitano di log , ma nel caso tale log è sempre di tipo limitato,
generico.
E se le forze dell'ordine arrivano e ti chiedono i log per questioni
di anti-terrorismo, gli dici che non li tieni? Mah ...
Semplice non esistendo obbligo legale non ho nulla da dare e comunque
sarà solo un magistrato a poter fare certe richieste , non certo altre
persone.
Che ogni uno faccia il proprio mestiere e che lo faccia bene.
rino
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
