Luca Mearelli wrote: > > quindi se non leggo/interpreto male quanto scritto nel provvedimento > al momento della revisione del DPS (che mi pare si possa fare > annualmente, giusto?) il titolare dovra' gia' essere in possesso dei > nominativi (e degli altri dati identificativi) delle persone fisiche > incaricate dall'outsourcer di effettuare le eventuali attivita' di > sysadmin.
Non per la scadenza del marzo 2009, dato che il termine per l'adeguamento al provvedimento per suli amministratori di sistema scade il 30 giugno. > > La mia domanda era leggermente diversa, ovvero (dal punto di vista > dell'outsourcer): quando devo comunicare tale elenco? Al momento della > conclusione del contratto con il titolare (i.e. quando il titolare > formalmente mi affida il compito di gestire i sistemi) oppure quando > affido un incarico al mio dipendente di fare attivita' su quel > sistema, oppure ancora nel momento in cui il titolare me lo richiede > (perche' sta preparando la revisione del DPS)? > Per adempiere all'obbligo di controllo da parte del titolare e per essere preparati in caso di ispezioni, direi che ogni variazione debba essere comunicata al momento. E aggiungo che sarebbe comunque buona prassi sapere chi รจ che mette le mani sui miei sistemi :) -- Paolo Giardini | EUCIP Certified | WOT Notary | CCOS Regione Umbria Privacy Officer AIP/ICTS | Iscritto Albo Consulenti Docenti FORMEZ Resp.Relazioni Osservatorio Privacy e Sicurezza IT | www.aipnet.it Socio A.I.P./ITCS | CLUSIT | GNU/LUG Perugia | AIPSI | ISSA | ILS http://blog.solution.it | Cel.337.652876 | Fax 075.93831174
smime.p7s
Description: S/MIME Cryptographic Signature
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
