martedì 24 dicembre 2013

Privacy e call center extra-UE (riflessioni - parte 2 con errata corrige)

In merito ai call-center Extra-UE ho scritto un post e una riflessione nei
mesi scorsi:
- http://blog.cesaregallotti.it/2013/10/privacy-e-call-center-extra-ue.html
- http://blog.cesaregallotti.it/2013/12/privacy-e-call-center-extra-ue.html

Giuseppe Bava di ASPErience mi ha fatto notare che ho fatto un errore e lo
ringrazio.

In particolare, dicevo che il provvedimento si applica "a tutti i soggetti
che svolgono in qualità di titolare del trattamento un'attività di call
center in maniera prevalente". In realtà ciò non è vero.

Giuseppe mi ha segnalato che, nel Provvedimento, inizialmente il Garante
richiama una circolare del Ministero del lavoro e delle politiche sociali,
dedicata alle "aziende che svolgono in via assolutamente prevalente
un'attività di call center", ma poi dice che le sue disposizioni sono
rivolte a tutte le aziende, INDIPENDENTEMENTE dalla prevalenza o meno
dell'attività di call center.

sabato 21 dicembre 2013

Privacy e call center extra-UE (riflessioni)

A fine ottobre avevo segnalato il Provvedimento del Garante relativo ai
call center siti in Paesi extra-UE:
- http://blog.cesaregallotti.it/2013/10/privacy-e-call-center-extra-ue.html

Alessandro Alberici di Econocomm mi ha però fatto notare che questo
Provvedimento pone dei problemi. In particolare, esso si applica "a tutti i
soggetti [...]che svolgono in qualità di titolare del trattamento
[...]un'attività di call center [...] in maniera prevalente". Quindi, se una
società vende pc e l'assistenza telefonica è offerta da personale extra-UE,
questo Provvedimento non si applica?

Io direi di sì, ma vorrei capire se ci sono posizioni diverse.

sabato 14 dicembre 2013

Studi sicurezza apps

Più o meno in contemporanea ho ricevuto notizia di due studi sulla sicurezza
dei sistemi di pagamento delle app per dispositivi mobili.

Il primo è stato segnalato da Enzo Ascione di Intesa Sanpaolo e riguarda la
bozza di raccomandazioni della Banca Centrale Europea dal titolo
"Recommendations for the security of mobile payments". Riguarda i pagamenti
in mobilità in generale, ma le app sono ovviamente il tema più approfondito.

La pagina da dove si può scaricare la bozza sembra nascondere il documento;
si trova a destra piccino piccino e ha il titolo "Draft recommendation":
- http://www.ecb.europa.eu/press/pr/date/2013/html/pr131120.en.html

Il secondo, segnalato dal Clusit Group di LinkedIn, è uno studio del Joint
Research Centre of European Commission (JRC) dal titolo The MobiLeak.
Segnalo la tesi di Pasquale Stirparo, collegata allo studio, dal titolo
"MobiLeak: A System for Detecting and Preventing Security and Privacy
Violations in Mobile Applications":
- http://kth.diva-portal.org/smash/record.jsf?searchId=1&pid=diva2:664617

L'intervista a Pasquale è decisamente interessante:
http://www.agendadigitale.eu/ecommerce/574_quanti-buchi-nelle-app-delle-banc
he-lo-studio-ue.htm

ENISA Threat Landscape 2013

Dal gruppo LinkedIn Italian Security Professional, ricevo notizia della
pubblicazione del "ENISA Threat Landscape 2013 - Overview of current and
emerging cyber-threats":
-
https://www.enisa.europa.eu/activities/risk-management/evolving-threat-envir
onment/enisa-threat-landscape-2013-overview-of-current-and-emerging-cyber-th

reats

La segnalazione è accompagnata dal seguente articolo riassuntivo:
-
http://securityaffairs.co/wordpress/20423/cyber-crime/enisa-threat-landscape
-2013.html


Lettura decisamente interessante, che suggerisco.

sabato 7 dicembre 2013

ISO/IEC 20000 parte 5 e 10

Franco Ferrari del DNV Italia mi ha segnalato la pubblicazione della ISO/IEC
TR 20000-5 dal titolo " Exemplar implementation plan for ISO/IEC 20000-1".

Propone un approccio a fasi per attuare i requisiti della ISO/IEC 20000-1.
Può essere una lettura interessante, anche se ciascuno dovrebbe sviluppare
un approccio secondo le caratteristiche dell'organizzazione in cui si vuole
attuare la ISO/IEC 20000-1.

Per chi dovesse avere già la versione del 2011, l'introduzione della nuova
versione dice che l'aggiornamento ha riguardato solo l'allineamento alla
versione del 2011 della ISO/IEC 20000-1, anche se è stata aggiunta
un'appendice di 12 pagine dal titolo "Templates".

La ISO/IEC 20000-10 dal titolo "Concepts and terminology" è invece alla
prima edizione e riporta le definizioni comuni delle norme della serie
ISO/IEC 20000, alcune considerazioni in merito, una descrizione degli altri
standard della stessa famiglia, oltre a quelli ad essi collegati (tra cui la
27001).

venerdì 6 dicembre 2013

2013 Horizon Scan Report

Un'altra ricerca sulle minacce. Questa è proposta dal The Business
Continuity Institute con il BSI:
- http://www.thebci.org/index.php/download-the-2013-horizon-scan-report

Essa è basata sulle percezioni dei partecipanti ed è possibile parteciparvi
accedendo dalla home page del BCI (http://www.thebci.org/)