2011/6/18 <[email protected]>: > Paradossalmente non dovrebbe > nemmeno necessario evitare il logging (che peraltro può essere utile in > fase di debugging). > Quel che è fondamentale è che questi dati non siano accedibili ad alcuno > tranne che agli amministratori di sistema (quelli incaricati) che sono > tenuti a consultarli *solo* per svolgere le proprie mansioni, a non > comunicarli ad alcuno (tantomeno alla direzione/HR) e a non utilizzare > in alcun modo ciò di cui sono venuti a conoscenza nello svolgimento > delle proprie mansioni.
Rispetto a quanto e' gia' stato detto, l'unica accortezza in piu' che mi sento di consigliare e' quella di informare gli utenti - tramite un mezzo opportuno, tipo una procedura pubblica - definendo le regole, il controllo e gli interventi IT per l’accesso ai log. Indicando, ad esempio, che il controllo sui log potra' avvenire indirettamente e in che termini, con menzione alla registrazione dei log ed al la retention, quali informazioni verranno tracciate e per quale motivo e che non verranno utilizzate per altri scopi. mi pare che cosi' si rispettino i 3 principi della legge sulla privacy: il principio di necessita', il principio di correttezza (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime ... [cit] manu
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
