Il 18 ottobre 2011 08:20, Gelpi Andrea <[email protected]> ha scritto: > Il 17/10/11 10:33, rino lo turco ha scritto: >> >> La domanda che poni è estremamente interessante ed in un certo senso è >> alla base di alcuni provvedimenti emessi . >> Eviterò di essere polemico anche se , lasciamelo dire, l'uso di dati >> reali per eseguire test non è la via migliore, la più comoda forse, ma >> non certo la più idonea. > > Concordo, meglio sarebbe usare veri dati di test, non dati veri. Concordo sul fatto che non si dovrebbero usare i dati veri ma praticamente i motivi per cui i motivi per cui si usano i dati veri anche se non si dovrebbe sono due: 1) il costo piuttosto elevato della costruzione e mantenimento di un set di dati per i casi di test che dovrebbero essere molto più grandi dei dati reali solo per fare un esempio, una volta in produzione c'era un problema su una fattura reale da 250.000 pagine che senso avrebbe costruire di test con 1 fattura da 500.000 pagine che potrebbe non verificarsi mai in produzione? e questo è relativo alla correttezza dei dati
2) il secondo caso più spinoso è relativo alla robustezza dei dati i dati in produzione qualche volta sono "sporchi" il codice passa tutti i test previsti va in produzione e si blocca Operativamente si può partire da una base reale opportunamente resa anomina Paolo > >> >> I dati hanno una proprietà, l'interessato, vengono dati in prestito per >> delle finalità che sono dichiarate nell'informativa. >> I trattamenti effettuati devono essere strettamente correlati con le >> finalità dichiarate, queste ultime devono avere basi legittime. >> >> Per cui se nell'informativa non è indicato l'uso dei dati in ambienti di >> test ovvero con finalità relative al collaudo di procedure >> informatiche non possono essere usati. >> In ogni caso tale finalità non essendo correlata con i motivi per cui >> uno fornisce i dati ( nello specifico contratto di fornitura di servizi >> bancari) tale evenienza deve sottostare a specifico consenso. >> Questo in primis. > > Anche qui concordo, ma, c'è un ma spiegato più oltre. > >> In secundis sorge il problema dei soggetti incaricati. >> Escludendo l'eventuale presenza di dati sensibili si tratta sia di dati >> che possono arrecare grave pregiudizio alle persone sia di dati coperti >> dal segreto bancario. >> Questo significa che è necessaria la massima diligenza e attenzione. >> Di fatto si entra nelle fattispecie di nomina dell'amministratore di >> sistema , non è quindi sufficiente la nomina orale ma vanno create >> specifiche procedure di nomina, controllo e sicurezza. >> In caso contrario i rischi sono notevoli. > > Anche qui mi sento di concordare, ma con lo stesso ma di prima. > >> >> In conclusione , i dati non possono risiedere sui vs server perchè il >> titolare del trattamento non è in condizioni di darvi una simile >> autorizzazione , voi non avete estensione al segreto bancario e quindi >> non potete vedere le informazioni . > > Se come ipotizzato non ci sono informazioni nell'informativa e non è stato > richiesto il consenso, e ecc... è vero. > > Tuttavia il titolare ha la facoltà di nominare chi fa sviluppo come > incaricato, anche se appartenente ad altra azienda, non mi risulta che la > legge ponga vincoli in questo senso, e può assoggettare questi individui al > segreto bancario, per cui l'unico adempimento rimane l'informativa. > Nell'informativa deve esserci la finalità di sviluppo del software, che per > inciso quasi tutti danno per scontato. > Così facendo è possibile sviluppare utilizzando dati di produzione, cioè > copie di dati veri. > >> Ma oltre ciò è bene sapere che trattare dati comporta pe ril fatto >> stesso di trattarli una responsabilità molto complessa , in sintesi si è >> colpevoli per il solo fatto di trattare dati (art.2050 cc). > > Non condivido. L'art. 2050cc ha effetto solo se chi tratta dati causa danni > all'interessato, per cui trattare dati non rende nessuno colpevoli. > >> Questo significa che chiunque dei soggetti presenti sulle banche dati >> può accusarvi di aver arrecato loro dei danni. Non devono dimostrare >> altro ma solo il fatto che voi potevate avere i suoi dati. >> Il rischio è quindi elevatissimo , vale la pena correre tale rischio per >> dei test?. > > Questa proprio non l'ho mai sentita. > Tu Rino tratti i miei dati, ne sono sicuro, ne ho le prove, quindi ti posso > portare in tribunale e chiedere un risarcimento dati ex art. 2050cc? Ma non > scherziamo. > >> >> Mio consiglio è usare dati anonimi e anonimizzare una banca dati non è >> difficoltoso; se certificata , l'anomizzazione riduce di molto il >> rischio di danno. >> Attenzione dato anonimo non significa solo che metto un nome finto , a >> volte non è sufficiente cancellare il riferimento anagrafico. > > Verissimo. > > -- > ing. Andrea Gelpi > *************************************************** > La Terra non la abbiamo ereditata dai nostri avi, > ma la abbiamo presa in prestito dai nostri bambini. > *************************************************** > We do not inherit the Earth from our parents, > but borrow it from our children. > *************************************************** > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
