On Fri, Oct 24, 2008 at 15:58, Sandro Doro <[EMAIL PROTECTED]> wrote: > > > [...] > > > > Dico "ospiti" perché è frequentata spesso da corsisti che arrivano spesso > > > dall'estero, seguono lezioni per tre-sei giorni e se ne vanno. > > [...] > > > Mi sono occupato del problema in merito all'ambiente universitario e > > l'interpretazione applicata da parte del gruppo di studio responsabile > > della privacy/sicurezza tiene conto del fatto che gli obblighi del > > pisanu si applicano ai fornitori pubblici di accesso, e per > > definizione scuole e università non lo sono. > > La domanda era rivolta al caso particolare di ospiti e quindi "mi pare" > che la risposta sia fuori tema.
non mi pare sia fuori tema, spiego meglio: Un fornitre pubblico di accesso è un ISP o un WISP. Scuole e università non lo sono. di conseguenza autenticazione si (niente accessi liberi, trascrizione documento di identità di chi accede), log individuale delle connessioni no, > > E' da qualche anno che le scuole affittano i laboratori a terzi per far > cassa > e quindi diventano "fornitori pubblici di accesso" o no ? No, un fornitore pubblico di accesso è chi di fatto offre accesso a tutti quelli che passano, per capirci, tipo un WISP. In genere tale offerta è ben pubblicizzata. La regolamentazione applicabile a una scuola (si dovrebbe poi probabilmente distinguere tra pubbliche e private) dovrebbe essere quella relativa al monitoraggio del traffico in ambiente lavorativo più qualche considerazione sulla sicurezza della rete informatica e dei computer preposti alla navigazione internet. Una scuola che affitta il proprio laboratorio con connettività internet deve "solo" salvare copia del documento di identità di chi accede ed associarla al login. Eventulmente monitorare il traffico internet in maniera aggregata (cioè non direttamente riconducibile ad un utente) in modo da prevenire eventuali problemi di sicurezza. In pratica io farei così 1) mettere in essere un semplice sistema di dansguardian+blacklist+proxy in modo da limitare un po' la navigazione 2) tenere fotocopia (o estremi) documento di identità degli ospiti, associarvi un login univoco e fornir loro una informativa (la navigazione è considerata dato sensibile) informandoli che il traffico viene monitorato in maniera aggregata ai fini della tutela della sicurezza dei computer e del sistema informatico 3) tenere traccia delle autenticazioni /periodi di affitto in modo da poter dimostrare, in caso di problemi che un eventuale navigazione ad es. pedoporno è avvenuta in un range di tempo in cui il laboratorio era affittato occorre considerare poi le normative vigenti sulla privacy (dlg. 196/2003 e pronunciamenti del garante della privacy ) : - eventuale stesura del DPS da parte della scuola - chi implementa il sistema di autenticazione controllo è esterno? identificazione come responsabile/incaricato trattamento dati a seconda dei casi Se qualcuno è in possesso di maggiori info ben scriva :) M ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
