Mariano Cunietti ha scritto: in data 20/10/2009 12.21:
Ciao a tutti,
un cliente mi ha chiesto un consiglio su come gestire dal punto di vista
contrattuale l'esternalizzazione di servizi di marketing web.
Mi spiego meglio: la divisione Marketing e Comunicazione della sua Società si trova spesso a esternalizzare campagne marketing sul web date in mano a perfetti ignoranti delle regole base della sicurezza.
Il mio cliente, che è il responsabile IT, vorrebbe che ogni contratto firmato dal Marketing avesse un'appendice contrattuale che vincolasse questi fornitori, su cui non ha un controllo diretto, a rispettare alcune regole base per evitare la sottrazione o l'alterazione dei contenuti aziendali pubblicati su piattaforme spesso "incerte".
Poiché il suddetto caso si è già verificato in passato, vuole cautelarsi da eventuali ricadute.
Lui stesso non sa identificare il tipo di punti da evidenziare, ma potremmo
dire che includono:
- Patching regolare dei sistemi
- Rispetto degli standard di sicurezza applicativa
- sicurezza degli accessi
- sicurezza perimetrale
- cifratura dei dati nel caso di trattamento di dati personali e/o sensibili
l'elencazione dettagliata è assurda , inutile e contrattualmente
pericolosa, la posso ammettere solo all'interno di appalti/contratti
stipulati con la PA , e anche li vi sono tanti limiti .
quello che ti serve è un riferimento generico al rispetto del dettato
normativo 196 , un obbligo di comunicarti le misure adottate e ogni
altro parametro idoneo affinchè tu possa valutare le loro misure ( se si
rifiutano lasciali perdere, l'obbligo è legislativo (obbligo di
vigilanza da parte del titolare del trattamento)), una disponibilità a
implementare le misure ove le si ritenga insufficienti.
Puoi anche limitarti a ricevere e verificare dei grafici indicanti la
valutazione dei sistemi di sicurezza, coem affidare ad un terzo una fase
di audit e relazione obbligando il fornire ad aderire alle modifiche
richieste.
Quindi non devi dettare le regole , devi riceverle e valutarle chiedendo
modifiche dove non ti aggradano, il processo contrario è destinato per
mille motivi a naufragare.
Il principio che sta dietro le richieste del IT manager sono corrette e
come detto prima obbligatorie.
rino
--
*INFORMATIVA* *di Lo Turco Salvatore Roberto*
V. Pinerolo,1 10060 S.Pietro V.Lemina (TO) (IT)
Tel.:+39 0121329424 / 0121543267
Cel: +39 3920120078 +3988943310
Fax:+39 0121091169
e-mail: [email protected] <mailto:[email protected]> PEC:
[email protected] <mailto:[email protected]>
Informativa sui trattamenti di dati personali (D.lgs. 196/03) su
:www.informativa.it <http://www.informativa.it/v.php?r=07898930016>
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
