In merito ai call-center Extra-UE ho scritto un post e una riflessione nei
mesi scorsi:
- http://blog.cesaregallotti.it/2013/10/privacy-e-call-center-extra-ue.html
- http://blog.cesaregallotti.it/2013/12/privacy-e-call-center-extra-ue.html
Giuseppe Bava di ASPErience mi ha fatto notare che ho fatto un errore e lo
ringrazio.
In particolare, dicevo che il provvedimento si applica "a tutti i soggetti
che svolgono in qualità di titolare del trattamento un'attività di call
center in maniera prevalente". In realtà ciò non è vero.
Giuseppe mi ha segnalato che, nel Provvedimento, inizialmente il Garante
richiama una circolare del Ministero del lavoro e delle politiche sociali,
dedicata alle "aziende che svolgono in via assolutamente prevalente
un'attività di call center", ma poi dice che le sue disposizioni sono
rivolte a tutte le aziende, INDIPENDENTEMENTE dalla prevalenza o meno
dell'attività di call center.
Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
martedì 24 dicembre 2013
sabato 21 dicembre 2013
Privacy e call center extra-UE (riflessioni)
A fine ottobre avevo segnalato il Provvedimento del Garante relativo ai
call center siti in Paesi extra-UE:
- http://blog.cesaregallotti.it/2013/10/privacy-e-call-center-extra-ue.html
Alessandro Alberici di Econocomm mi ha però fatto notare che questo
Provvedimento pone dei problemi. In particolare, esso si applica "a tutti i
soggetti [...]che svolgono in qualità di titolare del trattamento
[...]un'attività di call center [...] in maniera prevalente". Quindi, se una
società vende pc e l'assistenza telefonica è offerta da personale extra-UE,
questo Provvedimento non si applica?
Io direi di sì, ma vorrei capire se ci sono posizioni diverse.
call center siti in Paesi extra-UE:
- http://blog.cesaregallotti.it/2013/10/privacy-e-call-center-extra-ue.html
Alessandro Alberici di Econocomm mi ha però fatto notare che questo
Provvedimento pone dei problemi. In particolare, esso si applica "a tutti i
soggetti [...]che svolgono in qualità di titolare del trattamento
[...]un'attività di call center [...] in maniera prevalente". Quindi, se una
società vende pc e l'assistenza telefonica è offerta da personale extra-UE,
questo Provvedimento non si applica?
Io direi di sì, ma vorrei capire se ci sono posizioni diverse.
sabato 14 dicembre 2013
Studi sicurezza apps
Più o meno in contemporanea ho ricevuto notizia di due studi sulla sicurezza
dei sistemi di pagamento delle app per dispositivi mobili.
Il primo è stato segnalato da Enzo Ascione di Intesa Sanpaolo e riguarda la
bozza di raccomandazioni della Banca Centrale Europea dal titolo
"Recommendations for the security of mobile payments". Riguarda i pagamenti
in mobilità in generale, ma le app sono ovviamente il tema più approfondito.
La pagina da dove si può scaricare la bozza sembra nascondere il documento;
si trova a destra piccino piccino e ha il titolo "Draft recommendation":
- http://www.ecb.europa.eu/press/pr/date/2013/html/pr131120.en.html
Il secondo, segnalato dal Clusit Group di LinkedIn, è uno studio del Joint
Research Centre of European Commission (JRC) dal titolo The MobiLeak.
Segnalo la tesi di Pasquale Stirparo, collegata allo studio, dal titolo
"MobiLeak: A System for Detecting and Preventing Security and Privacy
Violations in Mobile Applications":
- http://kth.diva-portal.org/smash/record.jsf?searchId=1&pid=diva2:664617
L'intervista a Pasquale è decisamente interessante:
http://www.agendadigitale.eu/ecommerce/574_quanti-buchi-nelle-app-delle-banc
he-lo-studio-ue.htm
dei sistemi di pagamento delle app per dispositivi mobili.
Il primo è stato segnalato da Enzo Ascione di Intesa Sanpaolo e riguarda la
bozza di raccomandazioni della Banca Centrale Europea dal titolo
"Recommendations for the security of mobile payments". Riguarda i pagamenti
in mobilità in generale, ma le app sono ovviamente il tema più approfondito.
La pagina da dove si può scaricare la bozza sembra nascondere il documento;
si trova a destra piccino piccino e ha il titolo "Draft recommendation":
- http://www.ecb.europa.eu/press/pr/date/2013/html/pr131120.en.html
Il secondo, segnalato dal Clusit Group di LinkedIn, è uno studio del Joint
Research Centre of European Commission (JRC) dal titolo The MobiLeak.
Segnalo la tesi di Pasquale Stirparo, collegata allo studio, dal titolo
"MobiLeak: A System for Detecting and Preventing Security and Privacy
Violations in Mobile Applications":
- http://kth.diva-portal.org/smash/record.jsf?searchId=1&pid=diva2:664617
L'intervista a Pasquale è decisamente interessante:
http://www.agendadigitale.eu/ecommerce/574_quanti-buchi-nelle-app-delle-banc
he-lo-studio-ue.htm
ENISA Threat Landscape 2013
Dal gruppo LinkedIn Italian Security Professional, ricevo notizia della
pubblicazione del "ENISA Threat Landscape 2013 - Overview of current and
emerging cyber-threats":
-
https://www.enisa.europa.eu/activities/risk-management/evolving-threat-envir
onment/enisa-threat-landscape-2013-overview-of-current-and-emerging-cyber-th
reats
La segnalazione è accompagnata dal seguente articolo riassuntivo:
-
http://securityaffairs.co/wordpress/20423/cyber-crime/enisa-threat-landscape
-2013.html
Lettura decisamente interessante, che suggerisco.
pubblicazione del "ENISA Threat Landscape 2013 - Overview of current and
emerging cyber-threats":
-
https://www.enisa.europa.eu/activities/risk-management/evolving-threat-envir
onment/enisa-threat-landscape-2013-overview-of-current-and-emerging-cyber-th
reats
La segnalazione è accompagnata dal seguente articolo riassuntivo:
-
http://securityaffairs.co/wordpress/20423/cyber-crime/enisa-threat-landscape
-2013.html
Lettura decisamente interessante, che suggerisco.
sabato 7 dicembre 2013
ISO/IEC 20000 parte 5 e 10
Franco Ferrari del DNV Italia mi ha segnalato la pubblicazione della ISO/IEC
TR 20000-5 dal titolo " Exemplar implementation plan for ISO/IEC 20000-1".
Propone un approccio a fasi per attuare i requisiti della ISO/IEC 20000-1.
Può essere una lettura interessante, anche se ciascuno dovrebbe sviluppare
un approccio secondo le caratteristiche dell'organizzazione in cui si vuole
attuare la ISO/IEC 20000-1.
Per chi dovesse avere già la versione del 2011, l'introduzione della nuova
versione dice che l'aggiornamento ha riguardato solo l'allineamento alla
versione del 2011 della ISO/IEC 20000-1, anche se è stata aggiunta
un'appendice di 12 pagine dal titolo "Templates".
La ISO/IEC 20000-10 dal titolo "Concepts and terminology" è invece alla
prima edizione e riporta le definizioni comuni delle norme della serie
ISO/IEC 20000, alcune considerazioni in merito, una descrizione degli altri
standard della stessa famiglia, oltre a quelli ad essi collegati (tra cui la
27001).
TR 20000-5 dal titolo " Exemplar implementation plan for ISO/IEC 20000-1".
Propone un approccio a fasi per attuare i requisiti della ISO/IEC 20000-1.
Può essere una lettura interessante, anche se ciascuno dovrebbe sviluppare
un approccio secondo le caratteristiche dell'organizzazione in cui si vuole
attuare la ISO/IEC 20000-1.
Per chi dovesse avere già la versione del 2011, l'introduzione della nuova
versione dice che l'aggiornamento ha riguardato solo l'allineamento alla
versione del 2011 della ISO/IEC 20000-1, anche se è stata aggiunta
un'appendice di 12 pagine dal titolo "Templates".
La ISO/IEC 20000-10 dal titolo "Concepts and terminology" è invece alla
prima edizione e riporta le definizioni comuni delle norme della serie
ISO/IEC 20000, alcune considerazioni in merito, una descrizione degli altri
standard della stessa famiglia, oltre a quelli ad essi collegati (tra cui la
27001).
venerdì 6 dicembre 2013
2013 Horizon Scan Report
Un'altra ricerca sulle minacce. Questa è proposta dal The Business
Continuity Institute con il BSI:
- http://www.thebci.org/index.php/download-the-2013-horizon-scan-report
Essa è basata sulle percezioni dei partecipanti ed è possibile parteciparvi
accedendo dalla home page del BCI (http://www.thebci.org/)
Continuity Institute con il BSI:
- http://www.thebci.org/index.php/download-the-2013-horizon-scan-report
Essa è basata sulle percezioni dei partecipanti ed è possibile parteciparvi
accedendo dalla home page del BCI (http://www.thebci.org/)
martedì 3 dicembre 2013
Attaccata la wi-fi del Parlamento Europeo
Dal SANS NewsBites giro la seguente notizia. La wi-fi del Parlamento Europeo
è stata attaccata in modo da intercettare le comunicazioni:
-
http://www.zdnet.com/european-parliaments-network-hacked-public-wi-fi-networ
k-shutdown-7000023733/
-
http://news.techworld.com/security/3491268/european-parliament-cuts-wi-fi-af
ter-french-researcher-breaks-into-email-accounts/
Questo per ricordarci quanto le wi-fi siano insicure.
è stata attaccata in modo da intercettare le comunicazioni:
-
http://www.zdnet.com/european-parliaments-network-hacked-public-wi-fi-networ
k-shutdown-7000023733/
-
http://news.techworld.com/security/3491268/european-parliament-cuts-wi-fi-af
ter-french-researcher-breaks-into-email-accounts/
Questo per ricordarci quanto le wi-fi siano insicure.
Iscriviti a:
Post (Atom)