sabato 11 febbraio 2017

Garante e raccolta dei log di AdS

A seguito di un breve dibattito via email, Pierfrancesco Maistrello mi ha segnalato un Provvedimento del Garante del 2014:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3438899.

Colpevolmente, non l'avevo mai notato e invece è interessantissimo.

Intanto, perché nel merito chiarisce come sono valutati i sistemi di raccolta dei log: "Pertanto, la registrazione solo in locale degli accessi applicativi degli amministratori di sistema – l'unica disponibile finché la società non ha introdotto le misure tecniche necessarie per registrare su Arcsight anche tali tipi di accessi – non soddisfa i requisiti stabiliti dalla citata prescrizione". In altre parole, un'azienda deve prevedere un sistema di raccolta centralizzata dei log o sistemi più complessi (la raccolta centralizzata dei log con strumenti gratuiti come Splunk mi risulta essere la soluzione più economica).

Inoltre, è interessante osservare la lunga disquisizione su come interpretare le FAQ del Garante stesso. Da parte mia, penso che troppo spesso siano più fonte di confusione che altro e il Garante potrebbe anche evitare di farle.

2 commenti:

  1. ho letto con estremo interesse ma non mi è del tutto chiaro. l'ingiunzione si concentra sull'aspetto dell'accesso via web. quello che non appare chiarito è se gli accessi via web avvenissero "con privilegi amministrativi". altrimenti avrebbero potuto essere legittimamente esenti da log, indipendentemente se avvenuti via web o via client. il garante sostiene che il poligrafico "più o meno consapevolmente, fraintende completamente il significato della FAQ [22], credendo di poterne ricavare l'affermazione secondo cui gli accessi applicativi al sistema informatico da parte degli amministratori di sistema non sarebbe oggetto dell'obbligo di registrazione". io però sarei del tutto d'accordo con il poligrafico. anche il successivo riferimento alla FAQ 4 "che si riferisce al caso in cui un amministratore di sistema accede ad un applicativo non in quanto amministratore, ma come un qualsiasi utente" sembrerebbe confermare che questo tipo di accesso "non è compreso tra le caratteristiche tipiche dell'amministratore di sistema e quindi non è necessario, in forza del provvedimento del Garante, sottoporlo a registrazione". invece il garante richiama la ratio di fondo del provvedimento generale secondo la quale la registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici si rende necessaria in quanto gli amministratori di sistema sono in molti casi addetti "a fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati personali". appunto: in molti casi, cioè in quei casi in cui accedono "con privilegi amministrativi". se accedono con normali privilegi applicativi come qualsiasi utente, perchè mai dovrebbero essere loggati? allora dovrebbero esserlo tutti gli utenti. non capisco...

    RispondiElimina
  2. Secondo me, anche se il Provvedimento non lo specifica, accedevano con poteri di AdS attraverso interfaccia applicativa.
    Però con i "secondo me" non si riesce a far molto e quindi puoi ignorare questo mio commento.
    Comunque è un peccato che le sentenze (e le FAQ) siano scritte così.

    RispondiElimina