La norma, in particolare all. b punto 16: 16. I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
Si parla di "idonei strumenti". In tutto il codice non troverai scritto da nessuna parte "antivirus" ne tantomeno "firewall". E' il solito problema di consulenti magari bravissimi in altri campi ma non competenti sulla specifica materia. Il 05/07/2012 14:39, [email protected] ha scritto: > On 07/04/2012 11:03 AM, Daniele Palumbo wrote: >> è da un po' che non scrivo, e mi sto scontrando contro una consulente >> per la privacy che in una azienda che seguo *VUOLE* che io installi >> l'antivirus su *tutti* i server. > > Una consulente che non capisce nulla (come gran parte dei consulenti nel > campo purtroppo). > >> Per intenderci: >> - sul server virtualizzatore (linux/xen) > > brrrr.... > >> - sul server della VPN (linux) > > aribrrrr > >> - su un server web interno che crea dei pdf a partire dalla compilazione >> di alcune form (quindi non vi è salvataggio dei dati dall'esterno) (linux). > > uhm.. > >> Preciso inoltre che sui server suddetti, a parte il file server, gli >> utenti non hanno alcun modo di salvare files. > > Sul server web una forma di controllo potrebbe aver senso > implementarla. L'antivirus probabilmente non serve a nulla, magari un > sistema di file integrity check ha più senso. > >> Sto cercando in giro per la rete, l'unico riferimento che ho trovato è >> stato il decreto legislativo 196/03, allegato B, comma 16 >> http://www.parlamento.it/parlam/leggi/deleghe/03196dl3.htm#ALLEGATO%20B >> che: >> - *non specifica* quale tipo di software debba essere installato >> - *specifica* che i dati *personali* devono essere protetti, e non >> quelli di sistema. >> >> Sto sbagliando articolo? > > No. E' infatti una mis interpretazione fatta da chi di sicurezza non > capisce nulla. > E' simile a quanto riscontrato in un'azienda che aveva un router serio > ben settato a protezione della rete. Il consulente privacy ha detto di > mettere il firewall perché obbligatorio per legge (cosa peraltro falsa), > e quindi si sono rivolti ad una società che gli ha messo un firewall tra > la rete ed il router. Del router han lasciato la configurazione > invariata, mentre hanno cambiato gli IP della rete ed hanno lasciato il > firewall tutto aperto. Però adesso sono in regola (ROTFL). > >> È stato aggiornato da una altra legge? > > E' stato aggiornato di recente ma non mi pare vi siano differenze > riguardo a questo specifico aspetto. > http://al.howardknight.net/msgid.cgi?ID=134149160900 > >> Ho interpretato male io la lettura? > > No. > >> Esiste una FAQ del garante che ne da una lettura più "cristallina"? > > Non mi pare, ma la tua lettura è assolutamente quella normalmente data > da tutti i consulenti (realmente tali) che ho incontrato in questi anni. > > La cosa importante è chiaramente che siano comunque presenti delle > misure di sicurezza idonee. In questi specifici casi da te menzionati > l'antivirus non è necessario perché non è una misura di sicurezza idonea > a proteggere quella tipologia di target da eventuali minacce. E' come > mettere una porta blindata al posto del cancello del giardino. Non è che > la porta non sia blindata o che non assolva alla funzione di chiudere, > ma in giardino non serve a nulla. In giardino risulta più efficace > aggiungere una telecamera o un sensore di movimento che probabilmente in > casa non avrebbe alcuna utilità. > > > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List -- Paolo Giardini | EUCIP Certified Professional | CCOS Regione Umbria Privacy Officer AIP/ICTS | Direttore Osservatorio Privacy Sicurezza IT CAT Cracca al Tesoro | AIP/ITCS | CLUSIT | GLUG PG | AIPSI | ISSA | ILS http://blog.solution.it|Cel.337.652876|Fax 075.93831174|skype pgiardini
signature.asc
Description: OpenPGP digital signature
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
