Domani pomeriggio vedo di buttar giu` qualcosa.. non ho ancora finito di comprendere bene la guida alla compilazione e oggi sto facendo tutt'altro (oltre a cazzeggiare in ot)
Domani pomeriggio vedo di buttar giu` qualcosa.. non ho ancora finito di comprendere bene la guida alla compilazione e oggi sto facendo tutt'altro (oltre a cazzeggiare in ot)
non sei l'unico ankio oggi sto cazzeggiando molto :gren:[supersaibal]Originariamente inviato da dAbOTZ
Domani pomeriggio vedo di buttar giu` qualcosa.. non ho ancora finito di comprendere bene la guida alla compilazione e oggi sto facendo tutt'altro (oltre a cazzeggiare in ot)
ho mal di testa e sono fuso :adhone:
quindi.....
prossimamente inizierò a postare le prime pagine con le tabelle.
Vedo con piacere che le linee guida scritte in burocratese stretto sono di difficile comprensione anche per te e non solo per me
alla prox
raga io da garanteprivacy.it ho scaricato le tabelle con le spiegazioni voce per voce. La domanda è: IL DPS in pratica è costituito solo da queste tabelle?
No, e` costituito anche da una serie di bla bla bla.. ma dovrai attendere ancora un po' prima di vederne un modello in questo thread, siamo ancora in fase di analisi[supersaibal]Originariamente inviato da rsdpzed
raga io da garanteprivacy.it ho scaricato le tabelle con le spiegazioni voce per voce. La domanda è: IL DPS in pratica è costituito solo da queste tabelle? [/supersaibal]
Mi sto dando una lettura al materiale che cè sul sito spero di mettermi in linea con voi cosi ci aiutiamo a vicenza (ora dico: nn possiamo aiutarci anche un po' qui a bari?[supersaibal]Originariamente inviato da dAbOTZ
No, e` costituito anche da una serie di bla bla bla.. ma dovrai attendere ancora un po' prima di vederne un modello in questo thread, siamo ancora in fase di analisi
Ne sei sicuro?[supersaibal]Originariamente inviato da dAbOTZ
No, e` costituito anche da una serie di bla bla bla.. ma dovrai attendere ancora un po' prima di vederne un modello in questo thread, siamo ancora in fase di analisi
Sulla guida ci sono solo tabelle e non viene spiegato che devi inserire altro testo all'infuori della compilazione delle tabelle stesse. La guida è tutta guidata (piaciuto il gioco di parole? :sexpulp: ) e ti dice passo per passo come va compilata, ovviamente in burocrazese. Io credo che il DPS sia tutto lì.
www.beppegrillo.it
Il blog di Beppe!!
Per carita', potrei benissimo sbagliarmi.. ma a vedere un paio di dps che mi son stati spediti da chi ha gia' provveduto non sembra essere solo questione di compilazione tabelle. Comunque potrebbero anche aver scritto loro più del necessario. Ad ogni modo oggi pomeriggio rimando tutti gli impegni e mi dedico allo studio approfondito di 'sto coso, conto di farvi sapere qualcosa entro sera.
allora il 90 % del dps è la compilazione delle tabelle[supersaibal]Originariamente inviato da dAbOTZ
Per carita', potrei benissimo sbagliarmi.. ma a vedere un paio di dps che mi son stati spediti da chi ha gia' provveduto non sembra essere solo questione di compilazione tabelle. Comunque potrebbero anche aver scritto loro più del necessario. Ad ogni modo oggi pomeriggio rimando tutti gli impegni e mi dedico allo studio approfondito di 'sto coso, conto di farvi sapere qualcosa entro sera. [/supersaibal]
il restante 10% sono l'individuazione del titolare, dei responsabili, e degli incaricati e :
1) Descrizione procedure di backup e ripristino;
2) lettera da parte del tecnico di applicazione delle misure minime previste nell'allegato B (da allegare);
3) lettera responsabilità per trattamento dati all'esterno (Es. commercialista)
se avete altre cose aggiungete pure a me adesso vengono in mente solo queste
per dabotz non farti inggannare da DPS fatti da altri, sei su un ottima strada... di sicuro 90 su 100 sono sbagliati poca gente ha recepito in maniera corretta la normativa e la tradotta correttamente... ne ho visti molti anche io ai quali dicevo che erano sbagliati ma se ne sono fregati (be fatti loro...) io consiglio non obbligo :gren:
Ok.. stacco e vado a studiacchiare, ci vediamo stasera.
Solo alcune precisazioni, dettate dall'esperienza:
1) La prima cosa che chiunque deve fare è determinare quale è la tipologia dei dati che manipola. I dati SENSIBILI sono quei dati (definiti in modo chiaro nella legge) che riguardano i gusti sessuali e lo stato di salute, le opinioni politiche e lo stato giudiziario, la religione e i gusti di consumo e una certo numero di altre cose, tutte indicate nella legge, quando queste informazioni vengono raccolte con un riferimento alla singola persona. I dati PERSONALI, invece, sono TUTTI i dati riguardanti la persona, ESCLUSI quelli sensibili.
Per essere quindi più chiari: esiste un enorme insieme, quello dei dati che è possibile raccogliere; in questo esiste un sottinsieme, quello dei dati personali, che sono quei dati che contengono un riferimento ad una singola persona; tra questi esistono dati di particolari categorie (salute, religione, politica, ecc) che sono considerati sensibili.
In pratica la legge prevede tre regimi:
a) dati non personali, o personali ma strettamente necessari all'esecuzione del contratto (quanto è la popolazione dell'italia o gli anagrafici in fattura)
b) dati personali ma NON senbibili (per esempio la data di compleanno dei nostri clienti che usiamo per fargli gli auguri)
c) dati personali SENSIBILI (per esempio, quante scatolette di tonno mangiano in un anno o se sono diabetici)
Le tre categorie prevedono tre diversi regimi di sicurezza: per esempio, se e sulle macchine che trattano dati sensibili, deve esserci un sistema che non solo preveda un accesso limitato, ma preveda anche la possibilità di fare auditing, ovvero di controllare CHI ha fatto COSA.
Per esempio, a mio avviso vic57 NON è AFFATTO a posto, poichè anche con un dispositivo biometrico di login, win98 non è affatto in grado di fare l'auditing, che a quanto mi risulta è indispensabile trattandosi di dati sensibili; quindi è a posto solo se lui è L'UNICO ad avere accesso ai dati...
2)La seconda cosa da fare è stabilire chi è il responsabile del trattamento dati: Questa persona è L'UNICA che rischia davvero, tutti gli altri al massimo sono degli INCARICATI del trattamento, ma a quanto ho capito chi rischia davvero è sempre e solo il responsabile.
In questo senso, per esempio, i siti web non sono affatto di responsabilità dei provider, nè di chi ha sviluppato il sito, ma invece DEL TITOLARE DEL DOMINIO!
Chi fa lo hosting o realizza il sito al massimo sarà un incaricato della realizzazione del sito in sicurezza o del mantenimento in efficienza degli apparati informatici, della loro sicurezza e backup, ma non è MAI un responsabile e spesso non è nemmeno un INCARICATO, perlomeno l'aver sviluppato un sito non ti rende affatto automaticamente un incaricato del trattamento...
Aggiungo alcune altre considerazioni spicciole.
-La condivisione files di Win98 e fratelli non è MAI considerabile come sicura, per questi semplici motivi:
Se è necessaria un condivisione files, sarà perchè più utenti devono potervi accedere, il che automaticamente implica che una password del bios non è soddisfacente, cosa che COMUNQUE è sempre vera in tutte quelle aziende in cui l'incaricato non sia uno solo, ovvero in quasi tutte le aziende in cui si superino le 4/5 persone; questo a sua volta ha come conseguenza che comunque, anche se fosse una sola persona a conoscere la password del bios, se ci sono più persone che attraverso una condivisione win98 devono accedere ai file, dovranno conoscere la STESSA password, poichè 98 permette di inserirne solo una, e quindi siamo daccapo...
Quindi, a mio modestissimo avviso, una macchina con 98 non può MAI contenene dati personali o sensibili, a meno che non sia accessibile ad una SOLA persona e non abbia meccanismi di protezione aggiuntivi (chiave PGP, altro) sui dati sensibili.
-Nessuno deve alzarsi dal proprio PC contenente dati Pers/sens senza avere fatto logout, e NON E' AFFATTO SUFFICIENTE UNO SCREEN SAVER, NEMMENO CON LA PASSWORD. Se c'è necessità, perchè il lavoro possa procedere, che un pc che gestisce dati pers/sens resti accesa e con dei processi attivi che hanno accesso a questi dati, è NECESSARIO usare Windows XP o Linux o altro, ovvero un sistema che permetta di fare logout lasciando dei processi attivi con le proprie credenziali, ovvero con le credenziali necessarie a funzionare. La cosa migliore, naturalmente, sarebbe che i programmi necessari girassero come daemon/servizi, ma non sempre questo è possibile.
E con questo concludo: via ai commenti!
"Le uniche cose che sbagli sono quelle che non provi a fare."
Atipica
Permessi di invio
Rispondi quotando