Re: Aspetti TECNICI e legali nella conservazione di dati sensibili

Benvenuto anche a te nella "fumosa materia" come la definisci.

Gli aspetti legali legati al trattamento dati sono moltissimi in relazione
a quali dati sensibili tu tratti e, soprattutto, in quale contesto.
Conservare i dati su anagrafiche, movimenti economici, gusti
commerciali (alla stregua delle grandi case commerciali che fanno
data miming) e altro o conservare dati su patologie, problematiche
strettamente legate alla fisicità della persona sono, come risulta
subito evidente, due cose legate alla privacy ma molto differenti fra
loro.

In un contesto quale quello preannunciato dal Rodotà in persona,
negli ultimi giorni su tutte le maggiori testate giornalistiche, e lo
spauracchio da "grande fratello Orwelliano" certe volte mi domando
anch'io fino a che punto si puo' parlare di privacy.

Nonostante cio' la legge è, in alcuni punti, molto chiara:
-  sistemi per la protezione antivirus: necessaria !
Ora, che linux/unix sia virus-proof, è indubbio se configurato correttamente
e virus-unix tipo Slapper e varianti connesse, Bliss o similari (in genere
troiani/malware che cercano di utilizzare vulnerabilità più o meno note
- un riferimento fra tanti http://www.vnunet.com/News/1130066 ) possono
fare pochi danni, ma se sul tuo sistema gira un server di posta elettronica
l'eventuale diffusione di virus attraverso essa non sarebbe individuato dal
S.O. e in questo caso ti troveresti a dover difendere (legalmente) la tua
posizione come ADMIN (scenario: invii una news letter dal tuo PC che,
per un motivo qualsiasi è infettato, che fare ?).

Ti suggerisco, pertanto, di dare un'occhiata nell'archivio lista e/o
archivio
cert o security focus su argomenti analoghi e valutare SE NECESSARIO
l'uso di Antivirus o meno sulla macchina linux. Certamente dovrai usare
un antivirus su macchine Windows/Mac collegate fisicamente alla stessa
LAN del server.

Saluti
Stefano


> ciao,
> per un progetto nascente ho bisogno di assicurarmi di avere un sistema
> informatico "sicuro" nei termini di legge al fine di stipulare un
contratto
> col quale mi accollo le responsabilita' legali sul trattamento dei dati
> personali sensibili dei miei clienti. Visto che la legge pare decisamente
> fumosa in materia, e visto che tali parole testuali mi sono state dette
dalla
> polizia delle telecomunicazioni, come e' possibile essere legalmente certi
> della sicurezza del proprio sistema?
> Un esempio: nella legge si parla dell'obbligo di installazione di
antivirus:
> che antivirus? sotto linux/unix ha senso parlare di antivirus?
>
> grazie
>
> jomme
> alias
> gabriele de benedittis
>


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List