Roberto Scaccia ha scritto: in data 23/04/2010 07:43:
Manifesto la mia poca conoscenza dell'interpello in questione. In
un'azienda che conosco, le buste paga sono pubblicate come PDF (non
cifrato) nel portale personale del dipendente. Da notare che le buste
paga non contengono in questo caso dati sensibili, ma, ovviamente,
solo personali. L'accesso al portale personale è ovviamente protetto
da password.
Potreste cortesemente darmi qualche riferimento all'interpello citato?
Secondo voi lo scenario poc'anzi illustrato presenta criticità?
tutto presenta criticità ;-)
se la pwd autorizza a leggere indistintamente tutti i cedolini allora
esiste un serio problema , se invece è il contrario allora credo che
tutto sommato si possa stare tranquilli specie se l'accesso è limitato
alla lan e dalla wan è impossibile accedere.
Sicuramente i rischi trattando pdf non cifrati sono maggiori ma se chi
ha analizzato il problema ritiene che i rischi non siano cosi pesanti va
bene , non è mai necessario usare il massimo della tecnologia , le
misure di sicurezza devono essere mediate da una seria analisi
valutativa che bilanci interessi contrapposti, è come un'assicurazione ,
il premio lo stabilisci in base al rischio che supponi e al capitale
disponibile , quando la legge parla di misure adeguate intende proprio
questo processo; ogni suggerimento solutivo dato senza conoscenza
specifica del contesto è pura follia, è carente nei presupposti principali.
rino
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
