• Nuovi adempimenti
  • Ammistratori di sistema
  • Adeguamento
Il Governo con il decreto n° 112 del 25/06/2008, convertito in legge 6 agosto 2008 n. 133, ha dato facoltà ai titolari di trattamenti di dati personali di produrre misure alternative al Documento Programmatico sulla sicurezza, lasciando invariati gli altri obblighi derivanti dalla legge sulla privacy, come l'adozione di password, profili di autorizzazione, antivirus, backup dei dati e estione degli account..
In ordine alle semplificazioni si possono avvalere della facoltà di procedure semplificate tutti coloro che:
  • amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali;
  • piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili.

Grazie a quest'intervento moltissime aziende possono produrre documentazione interna nella quale illustrare le proprie politiche senza la scadenza tassativa del 31 marzo.

Le nuove regole per gli amministratori di sistema

Il Garante della privacy con provvedimento prescrittivo del 27/11/2008 ha regolamentato la figura dell’Amministratore di sistema quale responsabile del sistema informatico dell’azienda, predisposto l’adozione di sistemi per il controllo dell’accesso ai sistemi informatici da parte degli amministratori di sistema e le procedure per la conservazione delle tracce degli amministratori di sistema.

L'amministratore di sistema è il soggetto che nella gestione del sistema informatico dell'azienda perchè ha accesso incondizionato a tutte le risorse, agli archivi elettronici e all'amministrazione di regole e permessi per gli altri utenti. In questo contesto il Garante ha ritenuto di specificare meglio rispetto al codice la figura, evidenziandone competenze e procedure. Ha anche stabilito che bisogna tracciare l'attività degli amministratori di sistema tramite politiche di auditing dell'attività sul computer e conservare i tracciati per almeno sei mesi.

www.garanteprivacy.it

Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici

Il Garante, nel segnalare a tutti i titolari di trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici la particolare criticità del ruolo degli amministratori di sistema, richiama l'attenzione dei medesimi titolari sulla necessità di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in specie quelli realizzati con abuso della qualità di amministratore di sistema; richiama inoltre l'attenzione sull'esigenza di valutare con particolare cura l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema.Gli amministratori di sistema, indipendentemente se nominati incaricati o responsabili del trattamento, devono essere sempre persone fisiche ben individuate all'interno del DPS o di un documento interno e il loro nomi devono essere comunicati o resi conoscibili da tutti i soggetti interessati.
Valutazione delle caratteristiche soggettive
L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. La designazione deve essere in ogni caso individuale e recare l'elencazione degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato
Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento
Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

Nell'ambito dell'adeguamento alle nuove disposizioni per gli amministratori di sistema, Officine Tecnologiche offre il servizio di adeguamento con la professionalità che ci contraddistingue.

Attraverso l'analisi del sistema informatico forniamo la soluzione più conveniente e semplice per l'azienda. In base all'esperienza le aziende di piccole e medie dimensioni o gli studi professionali non hanno un addetto che ricopre solo ed esclusivamente il ruolo di amministratore di sistema, spesso sono gli stessi soggetti che vivono la realtà aziendale a fornire assistenza primaria nel sistema informatico, pertanto nel piano di adeguamento da noi proposto è molto importante la formazione delle persone che giornalmente gestiscono, password, account, antivirus e backup dei dati. Durante il percorso di adeguamento saranno istruiti degli incaricati appositamente individuati alla gestione del sistema e alla collaborazione con amministratori di sistema esterni che accedono ai dispositivi informatici per riparazioni, manutenzione o gestione dei database.

Altro punto di rilievo è la tracciabilità dell'amministratore di sistema come prescrive la legge. L'adeguamento in questo caso prevede l'installazione di software di auditing e di generazione dei files di log, nonchè le procedure di conservazione degli stessi per un periodo non inferiore ai sei mesi

Infine saranno prodotti gli adempimenti organizzativi come il documento interno che sostituisce il DPS se l'azienda si avvale della facoltà di non redigerlo e l'autocertificazione sostitutiva.

Il Garante ha dato tempo fino al 30 giugno per mettersi in regola e predisporre la documentazione necessaria.
Per informazioni telefonare allo 095 7799138 oppure inviare un messaggio a info@officinetecnologiche.it
Listino prezzi

1 computer € 100,00 + IVA
Fino a 3 computer € 180,00 + IVA
Fino a 7 computer € 360.00 + IVA
Oltre 7 computer €   40.00 + IVA per ogni computer oltre ai 7
Consulenza Privacy

Officine Tecnologiche è attiva nel campo della sicurezza dei dati da molti anni. Grazie all'esperienza derivante da corsi di formazioni e alla pratica, vi possiamo offrire soluzioni reali ai vostri problemi di sicurezza. Spesso le tematiche sulla privacy sono affrontate con toni allarmistici, l'adozione delle misure minime di sicurezza per quanto possano sembrare difficili da implementare sono azioni usate nella maggior parte delle aziende, perche i dati sono una risorsa. Il nostro intervento è improntato all'adozione delle misure minime di sicurezza a partire dalle vostre risorse, realizzando un efficace Documento programmatico sulla sicurezza e formando un valido addestramento degli operatori
informativa sulla privacy