Documentazione software

[Shadow976]

Signori,
buongiorno a tutti. E' noto che, contestualmente al rilascio di ogni software 'serio', viene consegnato anche un Documento Programmatico sulla Sicurezza che espone e descrive le misure adotatte da chi ha sviluppato il software atte a preservare l'integrità dei dati ed a garantirne la riservatezza.

Conosco il tipo di documento e le sue finalità, ora vorrei capire in che forma deve presentarsi. Avete per caso qualche esempio, anche molto rozzo, di un DPS, da inserire su questo post o eventualmente allegare in modo che possa chiarirmi un pò le idee sull'argomento?

Vi ringrazio per la cortese attenzione.

[comas17]

Non so se l'argomento sia proprio attinente alla programmazione ma tant'è... (il mio collega Alka provvederà eventualmente a spostare/chiudere, etc)

Ho l'impressione che ci sia un po' di confusione: l'obbligo di redazione del Documento Programmatico sulla Sicurezza (DPS) scatta SOLO quando vi è trattamento di dati sensibili o giudiziari effettuato mediante strumenti elettronici
I dati sensibili (tanto per non incorrere in un frequente equivoco) NON sono il nome, cognome, indirizzo, numero di conto corrente, etc, ma dati relativi a malattie, orientamenti religiosi, orientamenti sessuali, dati giudiziari, quindi si tratta di dati abbastanza particolari che un numero relativamente ristretto di aziende tratta e tipicamente non le software houses

E' un obbligo che attiene a soggetti (tipicamente aziende, studi professionali, etc) che, per l'appunto, utilizzano strumenti informatici per il trattamento dei dati dei loro clienti, fornitori, etc

Originariamente inviato da Shadow976
Signori,
buongiorno a tutti. E' noto che, contestualmente al rilascio di ogni software 'serio', viene consegnato anche un Documento Programmatico sulla Sicurezza che espone e descrive le misure adotatte da chi ha sviluppato il software atte a preservare l'integrità dei dati ed a garantirne la riservatezza.

Mi sembra, scusa la franchezza, una stupidaggine. Non vedo quindi cosa c'entri il fatto che un programmatore (o una software house) debba rilasciare un DPS per il pacchetto 'serio' che ha sviluppato. Anche se fosse un database (quindi potenzialmente atto a memorizzare dati sensibili) non è mica il programmatore che deve rilasciare il DPS ma chi lo usa, per l'appunto per memorizzare dati sensibili invece che la lista dei propri CD. Prova a chiedere alla Oracle se rilascia un DPS ...
Non solo, è un documento che ogni azienda rilascia "per sè stessa" cioè fa parte di quella serie di misure minime previste dal Garante per la Privacy che ogni azienda deve rispettare, per essere ESSA STESSA in regola con le norme. Nel quale cioè ogni azienda elenca tutte le misure di sicurezza che prende per garantire la sicurezza dei dati sensibili di cui è in possesso (propri clienti, fornitori, etc).

Se cerchi sul web esistono vari esempi di DPS, non a caso "customizzati" per gli studi/aziende che li devono redarre (es. studi legali, studi medici, etc)

Es.
www.avvocati.it/studio/privacy/DPS_privacy.doc (studi legali)
http://www.odontotecnici.net/legge_s...rivacy/dps.htm (studi odontotecnici)

Dimenticavo: il sito "padre": http://www.garanteprivacy.it/garante.../jsp/index.jsp

Qui puoi trovare varie informazioni per capire meglio la questione

[Shadow976]

No, sii pure franco quanto vuoi. Mi stai dando un enorme aiuto, e mi stai facendo capire come stanno le cose. Ti ringrazio moltissimo. Ecco cosa ho capito.

1) Il DPS deve essere redatto dall'azienda che detiene i dati solo in casi particolari (es informazioni mediche, politiche o religiose) e quindi chi gestisce solo ad esempio un database clienti NON ha alcun obbligo di redigerlo.
2) Il DPS, che descrive le misure di sicurezza adottate, è redatto a cura della stessa azienda utilizzatrice del software che se ne deve occupare. Quindi la software house che consegna l'applicazione non ha alcun obbligo di redigerlo per conto del cliente e consegnarglielo, perché deve pensarci esso stesso in prima persona.

Se sei sicurissimo di questi due punti (si tratta di un parere legale per me davvero importante, quindi vorrei essere certo di aver perfettamente compreso le tue indicazioni) ti chiedo:

Considerato che, spulciando con cura i tuoi links, mi sono accorto che comunque il cliente spesso si avvale di ditte esterne per redigerlo (ovvero, diciamo, dopo aver comprato il software presso la software house, si rivolge ad esempio ad uno studio legale per commissionare la sua redazione), non sarebbe carino che come servizio aggiuntivo e non obbligatorio la software house si occupasse anche di preparare il DPS e consegnarglielo? Soprattutto considerato che nel DPS ci sono molti dettagli tecnici e chi meglio della software house che ha creato il software potrebbe conoscerli a fondo...

Ti ringrazio moltissimo perché mi hai schiarito le idee.

Se non abuso troppo della tua disponibilità, ti porgerei un altro quesito che sorge dall'attenta lettura dei links che mi hai inviato e che esula dai "dati sensibili" riguardando solo quelli "personali". Ipotizziamo l'uso di dati non sensibili, ad esempio un software per associazione sportiva. Bene, un nuovo socio all'atto dell'iscrizione deve comunque compilare il consenso al trattamento dei dati personali, giusto? Perché in tal caso sarebbe carino predisporre con un pulsante la sua stampa automatica, con i dati presi direttamente dai campi del nuovo socio appena inserito.

Grazie ancora e buona giornata.

[comas17]

Originariamente inviato da Shadow976
1) Il DPS deve essere redatto dall'azienda che detiene i dati solo in casi particolari (es informazioni mediche, politiche o religiose) e quindi chi gestisce solo ad esempio un database clienti NON ha alcun obbligo di redigerlo.

Esatto. Non è obbligatorio anche se è comunque consigliato perchè la redazione del DPS può essere vista come un "momento di analisi e riflessione" in cui l'azienda stessa prende in esame le proprie modalità di gestione dei sistemi informatici e quindi può migliorarsi o eventualmente adeguarli se non rispettassero alcune delle indicazioni del Garante della Privacy)

2) Il DPS, che descrive le misure di sicurezza adottate, è redatto a cura della stessa azienda utilizzatrice del software che se ne deve occupare. Quindi la software house che consegna l'applicazione non ha alcun obbligo di redigerlo per conto del cliente e consegnarglielo, perché deve pensarci esso stesso in prima persona.

Esatto. A parità di pacchetto software (pensiamo per esempio ad un database come Access) un'azienda potrebbe usarlo per memorizzare dati sensibili ed un'altra per memorizzare il proprio listino prezzi. La prima deve fare il DPS e la seconda no. Non può certo essere la Microsoft (produttrice di Access) a farglielo

Se sei sicurissimo di questi due punti (si tratta di un parere legale per me davvero importante, quindi vorrei essere certo di aver perfettamente compreso le tue indicazioni) ti chiedo:

Non sono un legale però ne sono certo; guardati il primo dei link che metto sotto

Considerato che, spulciando con cura i tuoi links, mi sono accorto che comunque il cliente spesso si avvale di ditte esterne per redigerlo (ovvero, diciamo, dopo aver comprato il software presso la software house, si rivolge ad esempio ad uno studio legale per commissionare la sua redazione), non sarebbe carino che come servizio aggiuntivo e non obbligatorio la software house si occupasse anche di preparare il DPS e consegnarglielo? Soprattutto considerato che nel DPS ci sono molti dettagli tecnici e chi meglio della software house che ha creato il software potrebbe conoscerli a fondo...

La redazione del DPS è una cosa "non banale" che da una parte non ha (quasi) niente a che fare con le caratteristiche tecniche del singolo pacchetto software (che la software house conoscerebbe bene) e dall'altra ha molto a che fare con la gestione dei sistemi informatici di ogni singola azienda (com'è fatta la rete, che pacchetti vengono tipicamente utilizzati, quali sono i profili di accesso degli utenti ai dati, getione delle password, gestione di un sistema antivirus, gesitone dei sistemi di backup, etc...)
E' quindi spesso un servizio fornito da studi specializzati, non ho mai sentito che sia fatto direttamente da un produttore di software (anche perchè potrebbe rivelarsi un carico eccessivo... se vendo 1000 copie del mio programma, non mi risulta semplice andare ad analizzare in dettaglio la gestione informatica di 1000 aziende per redigere 1000 DPS)

Un altro paio di link utili:

http://www.espertiprivacy.it/documen...urezza.dps.htm
http://www.garanteprivacy.it/garante...ulla+sicurezza
(non preoccuparti che sia del 2004, va tuttora bene)

[Shadow976]

Quesito risolto, grazie infinite.

Non redigerò alcun DPS, ma indicherò ai clienti i links che mi hai postato (utilissimi) perché siano loro di aiuto nella redazione. Inoltre dai link vedo che anche i soli dati personali sono invece soggetti al consenso, quindi integrerò nel mio software una funzione di stampa automatica consenso trattamento dati PERSONALI da consegnare ai soci.

Sei stato davvero disponibilissimo, non so come ringraziarti.

[comas17]

@mod: chiudete pure, siamo decisamente OT

[LeleFT]

Originariamente inviato da comas17


@mod: chiudete pure, siamo decisamente OT

Infatti.
La discussione è interessante, ma purtroppo non adatta a questa sezione del forum (né ad altre, che io sappia).

Devo chiudere.


Ciao.