Paolo Giardini wrote: > Siamo certi che il provvedimento intenda "ogni operazione effettuata" o > non solamente "login e logout"? > Cosa si intende per "accessi"? Accesso al sistema o accesso ai file (ma > solo quelli contenenti dati personali?). > Il testo specifica "autenticazione informatica".
Concordo sul fatto che i dubbi interpretativi andrebbero chiariti prima su lex. A parte questo, io sarei dell'idea che si tratti dei "login e logout" e non (o non necessariamente, vedi seguito) di tutte le operazioni. Il provvedimento precisa chiaramente che con accessi logici si riferisce alle attività di autenticazione, che le registrazioni si riferiscono a questi accessi e precisa ulteriormente con il termine access log, che con la notevole eccezione dei server web si riferisce abitualmente al file in cui sono registrati inizio e fine degli accessi. L'uso di un termine in inglese nel provvedimento secondo me sta proprio a riferirsi all'uso comune in ambito sistemistico del termine. Il dubbio, IMO può essere al limite sull'accesso diretto ai file di un db invece che tramite interfacce di gestione (che a loro volta dovrebbero registrare gli accessi). Questa interpretazione è secondo me avvalorata dai numerosi riferimenti all'adeguatezza delle misure e alla due diligence, adeguatezza che del resto è l'appiglio che il Garante ha nel codice per questa prescrizione. Dobbiamo considerare che si tratta di un provvedimento generale, che si applica a (quasi) tutti: è chiaro secondo me che per taluni trattamenti il requisito di registrare ogni operazione ed evitare ogni possibile canale di manomissione sarebbe sproporzionato al tipo di dati e di trattamento. Per lo stesso motivo, eviterei di discutere quale sia "la soluzione": ce ne saranno diverse, a seconda del contesto. Quello che sicuramente può essere utile quasi dappertutto è evitare di avere come unica figura il sistemista onnipotente, ma utilizzare i diversi livelli di privilegio che i sistemi ci offrono. Questo già di per sè escluderebbe buona parte dei sistemisti dalla possibilità di manomettere i log. Come ultima considerazione, di nuovo sulla questione del registrare o meno tutte le operazioni: mentre è utile discutere qui delle interpretazioni e delle soluzioni, eviterei di "spaventare" clienti, utenti o datori di lavoro prima di aver sentito il parere di qualche giurista credibile: fra le tanti cause della poca credibilità di cui ha goduto per tanto tempo la normativa, vanno anche comprese le interpretazioni personali e fantasiose di noi informatici ;) Nel frattempo, provo a mandare una mail su lex sottolineando il dubbio. ciao - Claudio -- Claudio Telmon [email protected] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
