• Amministratori di sistema: requisiti e adempimenti fissati dal Garante

    Proteggere dati sensibiliNelle scorse settimane è stato introdotto un nuovo adempimento in materia di gestione e protezione dei dati personali trattati attraverso sistemi informatici, a garanzia della sicurezza degli stessi dati e dei sistemi.

    In pratica, sono state introdotte nuovi criteri e requisiti per la nomina degli amministratori di sistema, che devono tenersi al corrente di quali risorse vengano visualizzate – compresi dati sensibili – e da chi.

    Il nuovo adempimento in materia di gestione e protezione dei dati personali reso noto dal Garante Privacy è del 27 novembre 2008 - Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - e prevede che amministratori di sistema, di rete, di database o manutentori conservino le registrazioni (gli access log) per almeno sei mesi in archivi immodificabili e inalterabili.

    I log devono avere caratteristiche di completezza, inalterabilità  e possibilità  di verifica della loro integrità  adeguate al raggiungimento dello scopo di verifica per cui sono richieste: vuol dire che le registrazioni devono contenere i riferimenti temporali certi e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo (non inferiore a sei mesi).

    Gli amministratori di sistema, indipendentemente se nominati incaricati o responsabili del trattamento, devono essere sempre persone fisiche ben individuate all´interno del DPS e il loro nomi devono essere comunicati o resi conoscibili da tutti i soggetti interessati.
    Nei casi in cui il titolare non sia tenuto a redigerlo, si dovrà  provvedere ad inserire il nominativo degli amministratori di sistema in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Nel caso di servizi di amministrazione di sistema affidati in outsourcing, il titolare avrà  l’obbligo di conservare gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

    I titolari del trattamento avranno, altresì, un obbligo di verifica annuale sull´operato degli amministratori di sistema, per controllare la rispondenza o meno alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalla normativa vigente.

    In tema di esclusioni, tale provvedimento non si applica ai titolari che rientrano nel beneficio delle esenzioni privacy oggetto delle recenti misure di semplificazione, previste per le piccole e medie imprese o professionisti che trattano dati personali per le sole finalità  amministrative e contabili.

    Il titolare può designare facoltativamente uno o più responsabili del trattamento, solo tra soggetti che “per esperienza, capacità  e affidabilità  forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza” (art. 29, comma 2, del Codice). Si dovrà  procedere, pertanto, con designazioni individuali, contenenti la descrizione analitica degli ambiti di operatività  consentiti in base al profilo di autorizzazione assegnato.

    Tutto questo dovrà  essere rispettato decorsi sei mesi dalla pubblicazione del provvedimento per tutti i trattamenti già  in essere o iniziati entro il 22 gennaio 2009, mentre per i trattamenti successivi, sarà  obbligatorio sin da subito.

    Tags:

    Se vuoi aggiornamenti su Amministratori di sistema: requisiti e adempimenti fissati dal Garante inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Fabio dice:

      SEGNALO LA SOLUZIONE DA NOI UTILIZZATA.

      Noi abbiamo deciso di utilizzare DPSLOG una soluzione basata su syslog.
      Soluzione altamente scalabile che si adatta ad ogni azienda e sopratutto è conforme alle caratteristiche richieste dal garante.
      Prezzi veramente bassi in confronto a quanto c’è in commercio.

      Noi abbiamo scelto la versione enterprise, ci hanno dato un appliance che si sincronizza con un loro server situato in una sala server a Milano. Su ogni pc è stato installato un Agent per il monitoraggio del sistema.

      La reportistica è dettagliata e facilmente comprensibile.

      Esiste anche una versione soft del sistema a prezzi veramente vantaggiosi. Con 450 € l’anno si assolve al decreto in maniera ottimale.

      Vi rimando al loro sito web per maggiori dettagli.

      http://www.dpslog.it

      Spero di esservi stato veramente di aiuto.

    2. Guido dice:

      Questo software addirittura va installato semplicemente sul server ed è in grado di archiviare tutti gli accessi nella rete lat ( anche con dominio).

      Si chiama BusinessLOG ed è stato creato appositamente per la normativa amministratori di sistema.

    3. Andrea dice:

      Per chi avesse un as400 da monitorare segnalo nextlog. Hanno sia soluzioni per le grandi aziende che per i piccoli uffici.

      Ciao
      Andrea

    4. Sergio dice:

      Anch’io ho provato BusinessLog su amministratoridisistema.it e devo dire che per un’applicazione che non ha bisogno di client (funziona solo lato server), preleva i log, crea dei file pdf di backup per ogni macchina non è assolutamente male… se si pensa che il costo è di solo 199 all’anno…

    Commenta

    Your email address will not be published. Required fields are marked *