From: "wipedisk" <[email protected]>
Sent: Sunday, February 01, 2009 9:54 AM
per "accesso" intendiamo il login come utente, oppure anche cos'altro
"accede" dopo, quell'utente ?
***è un dubbio che condivido
nei considerando del provvedimento si parla di "due diligence" e di
controlli, quindi è opportuno valutare se il semplice login sia una misura
proporzionata a tali esigenze del titolare.
A mio avviso no...
....infatti, sempre nei considerando, si legge ""misure di sicurezza
«idonee e preventive» in relazione ai trattamenti svolti"""...
ho sempre detto che se non so a che dato ha avuto accesso l'amministratore
come potrò dire chi tra i 30 amministratori che stanno lavorando sugli
stessi sistemi ha fatto un trattamento non conforme a quello che era la sua
"mission" di quel job?
il garante testualmente "richiama l'attenzione dei medesimi titolari sulla
necessita' di adottare idonee cautele volte a prevenire e ad accertare
eventuali accessi non consentiti ai dati personali, in specie quelli
realizzati con abuso della qualita' di amministratore di sistema".. ergo...
starei attento ad un altro aspetto: il provvedimento indica sia gli
amministratori di sistema che coloro che svolgono "mansioni analoghe"...
--
Gerardo Costabile
www.iisfa.it
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
