Ciao, Di seguito riporto delle mie libere interpretazioni, gli esperti legali potranno essere più precisi e magari evidenziare i miei eventuali errori o confermare quanto da me scritto:
bloccare l'accesso a risorse esterne utilizzando opportuni strumenti di "URL filter" non richiede autorizzazioni particolari purché il blocco sia incondizionato. In pratica, se blocchi facebook a tutti gli utenti non stai violando la privacy di nessuno. Attenzione al "mobbing", cadere nella tentazione di bloccare solo pochi e lasciare liberi tutti gli altri a volte è molto forte ;-) Loggare, in se non è una violazione della privacy degli utenti. Ad ogni modo mi sembra corretto fare almeno una circolare che informi gli utenti che gli accessi sono controllati e registrati. Utilizzare i log per fare delle statistiche impersonali/sommarie non credo sia una violazione della privacy, l'importante è che nei report non compaiano dati che riconducano agli utenti, ad esempio vedere se tra i primi 20 siti che generano più banda ce n'è qualcuno indesiderato e quindi bloccarli è lecito; andare a vedere quale utente va su quel sito e' una violazione. Utilizzare i LOG per controllare l'operato dei lavoratori in genere non è consentito. Applicare procedure o policy che potrebbero essere delle violazioni della privacy degli utenti secondo me non rende responsabile il sistemista. In pratica se a me chiedono di fare qualche cosa che potrebbe violare in qualche modo la privacy di qualcuno io semplicemente informo il richiedente e il responsabile della privacy del pericolo che corrono e di quello che potrebbero/dovrebbero fare per mettersi a norma. Una volta documentate le mie obiezioni e le loro risposte se mi viene detto da loro che dal punto di vista normativo sono coperti procedo ad eseguire quanto richiesto. Secondo me è una questione di ruoli. Ciao ... Marcello Tassoman (mailing) ha scritto: > Ciao a tutti, > un cliente mi ha chiesto di bloccare la navigazione dei siti ai propri > dipendenti. > > Prima di installargli il proxy e chiudere la rete devo farmi firmare > qualche documento che descrive la cosa mettendo nero su bianco che è > stato lui a richiedermelo oppure è sufficiente solo il buon senso? > > Se mi chiede di loggare le connessioni dei suoi dipendenti? > > > > ------------------------------------------------------------------------ > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
