Assoprovider: 550 Euro annuali per archiviare i propri logs ed essere un ISP in regola
"Il sistema per la raccolta dei log in locale, si basa essenzialmente su un syslog server unito ad un sistema di criptaggio dei file attraverso lo standard PGP (Pretty Good Privacy) che è un sistema nativo di strong authentication in quanto prevede sia il criptaggio asimmetrico dei dati attraverso un certificato pubblico (server) e uno privato (client), sia l'obbligo dell'inserimento di una password per procedere alla decriptazione dei dati.
Inoltre il sistema si integra con la Posta Elettronica Certificata (PEC) con lo scopo di applicare al log una marca temporale."
Il testo estratto da Think Global è il miglior punto di partenza per tornare a parlare della normativa che impone a ISP e operatori anche del settore webhosting, la conservazione dei logs dei propri server e la gestione degli stessi secondo le norme imposte dal decreto. Una situazione che qualche mese fa ha scatenato una lunga discussione all'interno della community di HostingTalk.it. La soluzione proposta in questi giorni da Assoprovider, una delle maggiori associazioni nazionali del mondo TLC e servizi internet, è l'utilizzo di un servizio esterno di archiviazione dei dati che consenta anche ai piccoli ISP e webhosting provider di avere a disposizione una soluzione economica, senza l'investimento di corpose cifre nella gestione dei dati tramite software e hardware dedicato.
Si chiama Think Global ed è la società creata da un ampio parco di aziende del settore Internet e partecipata dalla stessa Assoprovider. Quel che fornisce TG è la gestione e archiviazione dei log per 12 mesi all'interno di un server remoto della compagnia, senza alcuna preoccupazione sulla gestione di quest'ultimo da parte del cliente. Interessanti anche i dati forniti sulla infrastruttura attualmente utilizzata per erogare il servizio:
"Tglobal dispone di due server in due diversi datacenter (uno a Milano certificato ISO 27001 e uno a Padova in via di certificazione) ove sono presenti gli storage per archiviare i log. Ogni storage consiste in un server rack 1 unita basato su tecnologia Intel CoreDuo con due dischi da 500 GB in mirror e con 1 Mbit di banda minima garantita sul nazionale. Ogni coppia di server è destinata a contenere lo storage di 50 clienti; una volta raggiunto tale limite, verrà implementata una seconda coppia di server.
I log di accesso ad ogni server vengono criptati con la chiave PGP del responsabile privacy di Tglobal, viene apposta la marca temporale per poi essere inviati in copia al server speculare per avere una doppia archiviazione.
Questa “archiviazione distribuita” dei log, unita al fatto che i server di ciascun datacenter sono gestiti esclusivamente da un diverso amministratore di sistema, permettono di garantire l'inalterabilità e la non cancellazione dei log.
Nel datacenter di Padova, è presente un ulteriore server utilizzato esclusivamente per l'autenticazione biometrica per l'accesso tramite interfaccia web, a cui fanno riferimento gli storage per dare corso al processo di autenticazione."
Il costo è di 550 Euro annuali per ogni provider che decide di affidarsi a questa soluzione per la gestione dei log come imposto per legge, con la richiesta di un canone iniziale di 150 Euro per l'attivazione del servizio. Il Garante ha ovviamente approvato questa soluzione consentendo quindi che un servizio esterno possa offrire il salvataggio delle informazioni su server direttamente controllati. Paradossalmente questa mossa potrebbe porre fine alla concorrenza da parte di software house e vendors che in questi mesi hanno realizzato soluzioni ad hoc per la gestione "in casa" dei propri logs, a fronte però di una soluzione economica, bisognerà valutare quante siano le aziende disposte a ospitare su server esterni i propri logs, con i possibili pericoli di sicurezza che questo comporta.
