Garante Privacy - Log Accessi Admin

**GrG** · 28-05-2011, 14:10

E' passato ormai un annetto dal famoso provvedimento:

Garante Privacy e log varii ...

Che impone di fatto a tutti i sysadmin che mettano mano a sistemi in cui si trattano dati condfidenziali (quindi, teoricamente, anche un dedicato cn un forum) a loggare in modo immodificabile accessi root (sia su sistema che su db).

So che molti che amministrano dedicati con su semplici blog e forum se ne sbattono, altri usano complicati sistemi di proxy e altri "semplicemente" syslog.

Come vi siete organizzati? Cosa ospitate sul vostro dedicato?

**EvolutionCrazy** · 28-05-2011, 15:05

Serve solo quando il sysadmin è disgiunto dal titolare... o sbaglio?
forum blog ecc quasi mai lo sono.

3) Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell'ambito applicativo del provvedimento? Non è possibile rispondere in generale. In diversi casi, anche con un personal computer possono essere effettuati delicati trattamenti rispetto ai quali il titolare ha il dovere di prevedere e mettere in atto anche le misure e gli accorgimenti previsti nel provvedimento. Nel caso-limite di un titolare che svolga funzioni di unico amministratore di sistema, come può accadere in piccolissime realtà d'impresa, non si applicheranno le previsioni relative alla verifica delle attività dell'amministratore né la tenuta del log degli accessi informatici.

**GrG** · 28-05-2011, 15:08

Teoricamente no, in OGNI situazione.

**EvolutionCrazy** · 28-05-2011, 15:10

3) Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell'ambito applicativo del provvedimento? Non è possibile rispondere in generale. In diversi casi, anche con un personal computer possono essere effettuati delicati trattamenti rispetto ai quali il titolare ha il dovere di prevedere e mettere in atto anche le misure e gli accorgimenti previsti nel provvedimento. Nel caso-limite di un titolare che svolga funzioni di unico amministratore di sistema, come può accadere in piccolissime realtà d'impresa, non si applicheranno le previsioni relative alla verifica delle attività dell'amministratore né la tenuta del log degli accessi informatici.

**EvolutionCrazy** · 28-05-2011, 15:15

Sarà interessante invece capire cisa la gente scrive come nomi e cognomi quando usa servizi managed

**GrG** · 28-05-2011, 15:16

Il normale caso del server di hosting come si pone? Sul server non tengo direttamente dati sensibili (anagrafica dei clienti) ma ho loro files e potenzialmente dati sensibili di loro utenti.

**EvolutionCrazy** · 28-05-2011, 15:19

potrei girare la domanda: quando accedi dal tuo pc personale di casa alla mia pagina facebook nella tua cache ci finisco dati miei personali... in quel momento sei tu il responsabile del trattamento di quello che finisce nella cache... dici che chiunque visiti facebook dal pc su cui è amministratore debba usare un syslog remoto e firmare il log ogni 5 minuti?

server di hosting è normale come qualsiasi altra cosa credo: se azienda è tua, responsabile trattamento sei tu e unico amministratore di sistema sei tu i log degli accessi sembrano non servire leggendo le faq del garante...

Ricordo comunque che la parte principale non è relativa ai log... ma tutta la burocrazia che ci sta intorno... vanno redatti dei documenti appositi dove vengono registrate tutte le generalità di chi ha accesso a tali dati (tanto per dirne una)...

http://www.fileaccesslog.it/images/A...tori%20_IT.png

**EvolutionCrazy** · 28-05-2011, 15:24

più che server dedicati penso che il forum più adatto a questo argomento sia hosting... la si che la gente si affida a terzi per la gestione di tutto ... chissà cosa scrivono nei loro DPS