Privacy Evolution
Privacy Evolution Privacy Evolution Privacy Evolution Privacy Evolution Privacy Evolution Privacy Evolution
 

Accesso utenti






Password dimenticata?
Nessun account? Registrati

Chi č online

Utenti registrati

1638 registrati
0 oggi
2 questa settimana
2 questo mese
   
La normativa PDF Stampa E-mail

Privacy, gli obblighi degli Amministratori di Sistema

Il Garante Privacy, con un provvedimento del 27 novembre 2008 ("Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema"), ha introdotto l'obbligo per gli amministratori di sistema (compresi coloro che svolgono la mansione di amministratore di rete, di data base o i manutentori), di conservare gli "access log" per almeno sei mesi in archivi immodificabili e inalterabili.
Quindi debbono essere adottati sistemi idonei alla registrazione degli accessi logici, ai sistemi di elaborazione e ai database da parte degli amministratori di sistema.
Nel provvedimento si precisa che gli access log devono avere le caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Si richiede quindi che le registrazioni contengano i riferimenti temporali certi e la descrizione dell'evento che le ha generate e devono essere conservate per un periodo non inferiore a sei mesi
Gli amministratori di sistema, indipendentemente se nominati incaricati o responsabili del trattamento, devono essere sempre persone fisiche ben individuate all'interno del Documento Programmatico sulla Sicurezza e i loro nomi devono essere comunicati o resi conoscibili da tutti i soggetti interessati.
Ogni titolare dovrà verificare che nel prossimo aggiornamento annuale del Documento Programmatico sulla Sicurezza siano specificati i nomi degli amministratori di sistema in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.
Se poi l'attività degli amministratori di sistema riguarda, anche indirettamente, servizi o sistemi che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati, in qualità di datori di lavoro, sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema all'interno delle proprie organizzazioni attraverso apposita informativa ex art. 13 d.lgs. 196/2003 (in alternativa si possono utilizzare anche strumenti di comunicazione interna quali l'intranet aziendale, ordini di servizio a circolazione interna etc.).
Nel caso, poi, di servizi di amministrazione di sistema affidati in outsourcing, il titolare avrà l'obbligo conservare gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
I titolari del trattamento avranno, altresì, un obbligo di verifica annuale sull'operato degli amministratori di sistema, per controllare la rispondenza o meno alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalla normativa vigente.
In tema di esclusioni, questo provvedimento non si applica ai titolari che rientrano tra quelle oggetto delle recenti misure di semplificazione, previste per le piccole e medie imprese o per i professionisti che trattano dati personali per le sole finalità amministrative e contabili.
L’azienda o l’ente è quindi tenuto a identificare gli amministratori di sistema, per poi registrare e conservare i log di tutti gli accessi logici: ciò significa che ad essere registrati dovranno essere per legge solamente i “log in” e “log out” degli amministratori sui sistemi contenenti i dati più sensibili, e non tutte le attività svolte su tali sistemi.
In pratica dopo aver nominato gli amministratori ci si dovrà dotare di un sistema di AccessLog Management, in grado di tracciare gli accessi degli amministratori di sistema ai vari dispositivi ed applicazioni che gestiscono e che possa conservare i dati in maniera sicura per un periodo minimo di sei mesi.

 
 
Privacy Evolution Privacy Evolution Privacy Evolution Privacy Evolution Privacy Evolution Privacy Evolution
Privacy Evolution Privacy Evolution Privacy Evolution
 
   
 
Privacy Evolution Privacy Evolution Privacy Evolution
Privacy Evolution Privacy Evolution Privacy Evolution
   
Privacy Evolution Privacy Evolution Privacy Evolution