Adeguarsi all' allegato B Privacy

[coniglio]

Ciao a tutti,

Qualcuno di voi sà darmi una risposta precisa su questa domanda?

Il win 98 può o non può essere reso a norma delle misure minime di sicurezza?
Parlo di PC non all0interno di una rete.

Voglio dire , si parla di autenticazione...va bene la password del bios o ci vuole un'autenticazione tramite nome utente e password anche se l'utente che usa il PC è uno solo?

Ci sono dei sistemi autenticazione che possono essere montati su sistemi win 98?

Se proteggo le cartelle in cui sono conservati i dati personali non basta?

Grazie

[shishii]

La legge dice: "1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti."

come vedi parla di accesso al trattamento o ai dati, senza entrare nella questione della protezione del sistema, dell'applicazione, o altro.

In altre parole l'importante è che non ci sia la possibilità per persone non autorizzate di guardare, sottrarre o distruggere dati personali.

E' ovvio che tutto ciò è molto più semplice su sistemi operativi nati con il controllo accessi, cryptazione, ecc.

Windows 98 non è la scelta migliore e ti complica notevolmente la vita nel compito che hai.

Infine tieni presente che quelle sono le misure minime. Cioè quelle che devi IN OGNI CASO porre in essere, ma anche se trovi il modo di adeguare W98, non significa che se avviene una fuga di dati tu non ne rispondi, infatti poi si andrà a vedere se le misure minime erano adeguate alla situazione in concreto.

[coniglio]

Si infatti ma siccome dice:
"un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo"

Dice chiaramente che la password deve essere associata ad un nome utente....forse per la tracciabilità delle operazioni.

Il poledit di win98 non mi risolve la situazione?

Sono daccordo che è meglio essere aggiornati....sono convintissimo...
ma purtroppo non tutti i clienti la pensano così.

Ed allora uno come si comporta?
Gli dichiara che sono in regola solo per le altre parti delle kisure minime di sicurezza?

Grazie ancora

[shishii]

Originariamente inviato da coniglio
Si infatti ma siccome dice:
"un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo"

Dice chiaramente che la password deve essere associata ad un nome utente....forse per la tracciabilità delle operazioni.

esatto... il fine è quello di potere sapere sempre chi e quando ha operato sui dati, quindi può andare bene un'autenticazione di sistema, come una di applicazione.

Il poledit di win98 non mi risolve la situazione?

non lo conosco

Sono daccordo che è meglio essere aggiornati....sono convintissimo...
ma purtroppo non tutti i clienti la pensano così.

Ed allora uno come si comporta?
Gli dichiara che sono in regola solo per le altre parti delle kisure minime di sicurezza?

chi vuole gestire dati personali deve mettersi in testa che deve investire qualcosa, se non lo fa si assume la responsabilità. E comunque bisogna essere sicuri che almeno le misure minime siano rispettate.

Grazie ancora

[coniglio]

Magari non vogliono trattare dati sensibili...ma solamente fatturano con excel....
Bo vedremo....secondo me un pc che non fa parte di una rete ....che è connesso tramite 56Kb...che è all'interno di locali chiusi a chiave....che ha una password sul bios.....password sui documenti contenenti dati....antivirus aggiornato....firewall configurato....aggiornamenti del sistema e back-up programmato dei dati su dispositivi esterni.... è sicuro anche senza il winXP Pro sp2.

[coniglio]

è comunque possibile risolvere la cosa tramite una smart card per l'autenticazione...e sei in regola anche per i dati semisensibili.

[shishii]

basta che tu abbia "dati personali", per dovere applicare la norma, non è necessario che tu abbia "dati sensibili".

Un requisito assoluto e gli accessi individuali per ogni incaricato, e la redazione del DPS (documento programmatico di sicurezza)

[pinOut]

E' un po' OT rispetto al 3D, ma forse può interessare lo stesso.
Ricevuto oggi da Confindustria:

Con il D.L. 9 novembre 2004 n. 266 sono prorogati al 30 giugno 2005 i termini, scadenti al 31 dicembre 2004, per l'adozione delle misure minime di sicurezza previste dall' art 180 del D. Lgs. n. 196/2003. (vedi nostre precedenti circolari n. 4060 del 10/11/2004 e n. 226 del 3/9/2004.). Le misure in particolare riguardano il "D.P.S. documento programmatico di sicurezza" che deve essere adottato da quanti trattano dati sensibili e/o giudiziari con strumenti informatici. i titolari che dispongono di strumenti elettronici che, per obiettive ragioni tecniche, non consentono, in tutto o in parte, l'immediata applicazione delle nuove misure minime e delle corrispondenti modalità tecniche previste dall'Allegato B) possono avvalersi di un termine ulteriore, fissato al 30 settembre 2005 (in precedenza al 31 marzo). In quest'ultimo caso è necessario predisporre, entro il 30 giugno prossimo, un documento avente data certa in cui si descrivono le ragioni che non consentono il tempestivo adeguamento ed adottare tutte le possibili misure dirette ad evitare ogni incremento dei rischi incombenti sui dati.