DPS: Documento programmatico della Sicurezza

[dabbia]

Entro il 31 dicembre, devo produrre il documento programmatico della sicurezza nel quale scriverò tutti i metodi da me usati per tutelare i dati sensibili, secondo la nuova legge sulla privacy del 30 giugno.
Come molte altre persone, memorizzo i miei dati su un database (MYSQL) protetto da password, che risiede sul server di un provider. Devo chiedere alla società che mi offre il servizio quali misure di sicurezza adottano per proteggere il mio database?? Io non ho controllo diretto sul quel pc!!!
Cosa devo fare?

[makuro]

E' loro dovere adeguarsi. Chiedi pure la loro conformità.
Sempre nei tempi previsti dalla legge.

[dabbia]

Ma quindi io devo scrivere questo documento???

E chi è il custode dei dati: io o loro?

[makuro]

Dipende come è fatta la gestione. Sei tu che puoi decidere di che lunghezza debbano essere le password del db, per esempio? Poi, un documento minimale che dica che dati tratti e come li gestisci (anche con scritto solo che sono in outsourcing, dichiarando la conformità del gestore), male non fa. Anzi...

[makuro]

Originariamente inviato da makuro
Dipende come è fatta la gestione. Sei tu che puoi decidere di che lunghezza debbano essere le password del db, per esempio? Poi, un documento minimale che dica che dati tratti e come li gestisci (anche con scritto solo che sono in outsourcing, dichiarando la conformità del gestore), male non fa. Anzi, per essere sicuri, meglio abbondare...

Errore, volevo solo modificare il msg precedente...

[smoking-man]

se sei responsabile informatico il carico di lavoro del backup e' sulle tue spalle e sei tu il responsabile
quindi fatti il backup del datase in internet anche per i fatti tuoi
ricorda il disaster-recovery
4-5 gg lavorativi tutto deve tornare up e il backup deve essere a molti km di distanza dalla sede fisica dove custodito l'originale

[smoking-man]

il tutto e' stato prorogato fino a giugno 2005
sia il documento da presentare che le modifiche da farsi
ci deve essere solo la dichiarazione di intento o al max qualche contratto con qualche ditta che gia stia svolgendo o stia per svolgere il lavoro

[makuro]

Originariamente inviato da smoking-man
se sei responsabile informatico il carico di lavoro del backup e' sulle tue spalle e sei tu il responsabile
quindi fatti il backup del datase in internet anche per i fatti tuoi
ricorda il disaster-recovery
4-5 gg lavorativi tutto deve tornare up e il backup deve essere a molti km di distanza dalla sede fisica dove custodito l'originale

...bhe, se il fornitore assicura anche un back-up...Cmq, sei sicuro che tutto questo rientri nelle misure minime di sicurezza obbligatorie? Di obbligatorio mi sembrava vi fosse solo la questione delle password (lunghezza, durata e non riconducibilità). Tutto il resto lo posso dichiarare, mi porta "punti" in prestigio e così via, ma che sia obbligatorio persino un disaster-recovery...

[dabbia]

Questo è quanto scritto nel regolamento del mio provider:

------------------------
Sicurezza

Utilizzando il servizio, il cliente è l'unico responsabile per la sicurezza e il coretto utilizzo dei dati contenuti nel suo spazio. Il Cliente è tenuto a non diffondere i dati di accesso e a non consentire ai terzi l'accesso alla sua area riservata. Il cliente è tenuto responsabile per l'utilizzo improprio o malintenzionato del suo account, anche se questo è fatto da terze parti.

Utilizzando i nostri servizi il Cliente dichiara che è a conoscenza del fatto che i piani hosting sono degli spazi pubblicamente disponibili su Internet, pertanto, i dati nel suo spazio web sono da considerare pubblicamente accessibili.
Genesys Informatica non è in grado è non è disponibile di impedire l'accesso a questi dati, quindi lo spazio web del cliente non dovrà contenere dati sensibili, dati che violano la privacy o dati che violano i diritti di autore. Il personale di Genesys Informatica non accede e non controlla i contenuti nei siti web dei propti clienti. Genesys Informatica non accetta incarichi di trattamento di dati personali in out-sourcing.
-----------------------------

Non mi sembra però che parli di database... Io memorizzo il nome, il cognome, l'email, la città, la regione e il sesso dell'utente e li memorizzo su un db MySql. L'accesso a tale database è protetto da password di rete...
Quindi come devo comportarmi?

[Doc_Xp]

scusate io ho un dubbio circa la tipologia di dati personali che se trattati, imporrebebro la redazione del DPS.
Nel testo si fa la distinzione tra dati personali semplici e quelli sensibili.Al punto 19 dell'alleggato B però si legge che i titolari dei trattamenti di dati sensibili sono tenuti alla stesura del documento.
Premesso che i dati sensibili sono quelli che permettono di idntificare informazioni circa la razza, religione, salute, appartenenza politica, giudiziali ecc ecc
Chi gestisce dati anagrafici...che deve fare?