Luca Lesinigo ha scritto:
Il giorno 26/giu/08, alle ore 01:33, Daniele Minotti ha scritto:
b. essere sicuri di poter fornire, su richiesta, i suddetti log
all'autorità giudiziaria per ogni evenienza
Esatto. Trovarsi con una denuncia per ostruzione alle indagini non
è sicuramente piacevole.
Non concordo. Se NON SEI OBBLIGATO a tenerli (che e' il caso
dell'ISP ma non e' il caso di chiunque) non sei nemmeno tenuto a
fornirli. E quindi non rischi nessuna denuncia, IMO. Mi piacerebbe
sapere, dagli avvocati di lista, se risultano casi del contrario.
** Non ho letto tutto il thread, ma posso dire che la regola (di
legge) e' sempre quella di _non_ conservare (alcune eccezioni sono
l'art. 132 TU e il Decreto Pisanu). Dunque, non scorgo rischi con la
giustizia in caso di omessa dazione dei log (che, invece, ci
sarebbero se la data retention fosse contra legem).
Vedo che è nato un thread focoso sulla data retention dei log et
similia :)
Vorrei porvi ancora alcuni punti per cercare di giungere ad una
conclusione
non esiste una conclusione ne potrebbe mai esistere.
Ciò che è valido in un contesto non è detto sia altrettanto valido in un
altro.
Considerare una soluzione, qualunque questa sia, come quella applicabile
ovunque è una profonda e pericolosa idiozia.
, presumo utile anche ad altri, sul caso molto tipico di società che
offrono servizi di hosting alle prese con richieste dei loro clienti.
I clienti pongono delle domande ed è legittimo da parte loro porle ma
ciò non significa automatica legittimità a fornire ciò che chiedono.
Come sottolineato da Stefano ho letto molti "si può / non si può" e
via dicendo ma sinceramente senza troppi riferimenti...
questo perchè non esiste una soluzione ma la soluzione è parte di un
contesto molto preciso e complesso.
- il monitoraggio (copia) dei contenuti del traffico email è
sicuramente escluso a priori in tutti i casi, sia che lo metta in atto
il datore di lavoro sia che lo metta in atto un terzo (società di
hosting) per conto del datore di lavoro. Questo lo dice il D.L. 196
e/o ci sono interazioni varie con lo statuto dei lavoratori e/o le
leggi che regolamentano la corrispondenza. Il fatto che la mail sia
"puramente aziendale" o per uso misto corrispondenza privata e
aziendale non influisce minimamente sulla cosa
falso , esistono delle eccezioni che si attivano con procedure precise ,
sono eccezioni ma esistono. il fatto che siano eccezioni induce per
salvaguardia a dire sempre NO .ma questo no non è assoluto.
- per i log smtp (assumiamo si tratti di [dataora, ip client smtp,
From:, To:, dimensione messaggio] ) non sussiste l'obbligo di
retention nel caso delle società di hosting semplice (che non
forniscono connettività IP, telefonica, o di altro tipo ma solo
servizi di hosting su propri sistemi posti in strutture tlc altrui
(server farm)). Questo perché non sono applicabili il decreto Pisanu
né l'art. 132 del DL196 (nessuno fornisce connettività a nessuno).
Quindi non esiste un'eccezione ordinaria .
- per i suddetti log non è reato conservarli per un tempo ragionevole
ai fini della gestione dei sistemi informatici dell'azienda di
hosting, ad esempio per alcune settimane. Se invece non si può, è a
causa dell'articolo... ?
semplice art 3 , poi 2 e 1.
per sapere se puoi o meno trattare tali log devi effettuare una reale
analisi che possa valutare esigenze, bisogni , soluzioni e quant'altro
serva per rispondere al "principio di necessità".
Non è sufficiente dire mi serve , bisogna dimostrarlo.
L'applicazione della 196 significa questo !
- sempre per i suddetti log non è possibile fornirli al titolare
dell'azienda cliente perché lo dice..... chi? vi chiederei
cortesemente qualche riferimento. Io avevo trovato l'art. 132 del
DL196 ma come anche per il punto sopra non mi pare eccessivamente
applicabile al caso in esame dato che mi sembra riferirsi più ai
fornitori di connettività / fonia / etc e non ai fornitori di servizi
(hosting mail/web).
vedi sopra !.
- cambierebbe qualcosa se, poniamo, il responsabile legale di una Spa
/ Srl / Ditta individuale mi chiedesse dei log filtrati in modo da
contenere solo l'attività del SUO account [EMAIL PROTECTED]
Si . ti darebbe un motivo giuridicamente valido ma tu pui metterlo in
essere solo dopo la sua domanda non prima al fine di predisporti ad
un'eventuale domanda.
O se un dipendente mi chiedesse quelli del SUO account
[EMAIL PROTECTED] O il titolare mi chiedesse log di
un account "astratto" stile [EMAIL PROTECTED] o
[EMAIL PROTECTED] o cose simili?
si , no . dipende da diverse cosette .
Un nodo problematico che vedo in questo caso è che io hoster esterno
non ho modo di accertare l'associazione tra l'account
[EMAIL PROTECTED] e il sig. Nome Cognome (o viceversa l'assenza di
associazione tra un account email e una persona/dipendente nel caso di
account teoricamente dedicati a software automatizzato) - il
responsabile dell'attività potrebbe impersonare un proprio dipendente
creandosi un account nome.cognome@ quando il dipendente di norma non
ha in uso l'email aziendale.
questa è masturbazione mentale ed è figlia di un volere preventivo non
di una richiesta specifica, rispondere a questo livello creerebbe solo
confusione perchè in realtà non esiste risposta, sempre "principio di
necessità." ma esiste anche il "bilanciamento degli interessi".
mica facile metterli d'accordo sempre.
Io suppongo che questa incertezza implichi il non poter fornire, mai
ed a nessuno in nessun caso, né log né alcuna altra informazione sugli
account email, e seguendo il ragionamento renda anche illegale il
fornire strumenti che lo consentano (es. report automatizzati nel
"pannello di controllo" dell'hoster).
per dare una risposta concreta e realistica : è falso .
Quello che dici vale nella maggior parte dei casi, ma "non sempre" e
"non per sempre".
Certo che a voler essere pignoli spingendo oltre questo ragionamento
arriverei a dire che non è possibile fornire strumenti automatizzati
che forniscano a qualcuno la password dell'account di qualcun altro, e
quindi nemmeno fornire la possibilità a chi gestisce gli account email
(chiamiamolo "postmaster") di resettare/cambiare la password di un
account altrui (verrebbe per forza di cose a conoscerla e quindi a
poter accedere con le credenziali altrui). Non vado oltre perché mi
sono incasinato già a sufficienza.
la conoscenza della pwd è proibita in modo chiaro ed esplicito, in
questo caso il problema non sussiste, non è possibile scegliere.
fornire ad altri la pwd di terzi è reato e se crei tu il sw come minimo
ne sei complice.
Prima che mi bastoniate per errori ed imprecisioni che sicuramente
avrò commesso, ricordo che non ho alcuna formazione in materia legale
e che sono un informatico / contenitoromatico / whatever e sono qui
non per affermare quanto sopra ma per chiedere il vostro parere sulla
correttezza di quanto espresso e/o riferimenti alle leggi che portano
a ciò che è stato scritto.
un informatico che non opera a livello di bit dietro analisi di altri e
non ha almeno infarinature sulle leggi che governano il nostro lavoro
non è un bene , anzi è un pericolo per se e gli altri.
trovo molto grave che la maggior parte dei colleghi non abbiano tali
conoscenze perchè questo impedisce lor di poter lavorare al meglio con
il giusto diritto a vivere bene e in pace , ovvero senza correre rischi
inutili.
La 196 ha id fatto introdotto un obbligo molto chiaro: la conoscenza di
leggi da parte degli informatici.
Eppure agli idraulici è richiesta la conoscenza delle leggi che
governano il loro operato, ai medici pure , cosi come ai meccanici,
macellai, ristoratori ; gli informatici, in italia, hanno sempre agito
al di fuori di tutto e tutti, adesso , da 10 anni, esiste una legge che
governa in modo preciso il principale oggetto del nostro lavoro,
l'informazione. Possibile che ancora ci sia una cosi grande fetta di
colleghi "ignoranti"?, abbiamo perso 10 anni di occasioni?
rino
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
