Se non visualizzi correttamente questo messaggio clicca qui.
Smart.it - web dal 1995
Registro access log degli Amministratori di Sistema
Entro il 15 dicembre 2009 le aziende dovrebbero dotarsi di un servizio di registrazione delle operazioni di login e logout degli amministratori di sistema.
Perché?
La necessità di tale servizio discende dal Provvedimento del garante per la protezione dei dati personali emesso in data 27 novembre 2008 (e modificato in data 30 giugno 2009) intitolato: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema.

Scopo del Provvedimento è garantire una effettiva protezione dei dati personali, mediante registrazione degli accessi ai sistemi stessi da parte degli Amministratori di Sistema.

In particolare, il Garante chiede di istituire procedure e cautele volte a prevenire ed accertare eventuali accessi ai dati personali effettuati con abuso del ruolo di Amministratore di Sistema.

Chi sono i soggetti interessati?
Gli Amministratori di Sistema, quindi non tutti gli utenti o gli operatori dei sistemi informativi di una organizzazione, ma solo quegli operatori informatici dotati di particolari privilegi, che rendono loro disponibili (nel senso di consultabili e modificabili, in modo volontario o fortuito) la totalità (o quasi) dei dati presenti o in transito nei sistemi informativi di una organizzazione.

Cosa deve fare un’azienda?
In sostanza, si tratta di registrare e conservare per un certo periodo gli eventi generati dal sistema di autenticazione al momento dell’accesso (o tentativo di accesso, o della disconnessione) da parte di un Amministratore di Sistema alle risorse informatiche dell’azienda nelle quali vengano trattati dati personali.

La registrazione deve essere completa, integra e inalterabile, in modo da consentire anche a distanza di tempo la ricostruzione degli accessi ai sistemi. Non deve esistere quindi la possibilità da parte dell’Amministratore di Sistema di cancellare o alterare la registrazione.

Tale registrazione deve essere conservata per un minimo di 6 mesi (ma il consiglio è quello di arrivare a 1 anno), e deve essere consultabile da parte del soggetto responsabile (normalmente, il titolare del trattamento dei dati) della protezione dei dati personali all’interno di una organizzazione.

Questa architettura conferisce un valore legale alla registrazione, che può essere fatta valere in caso di controversie giudiziarie.

Le soluzioni possibili
La soluzione per un’azienda può essere essenzialmente di due tipi.
  • Interna, con un log server che centralizza questi dati
  • In outsourcing, dove il log server è fornito via web da un’azienda esterna.
L’offerta di Smart.it
L’offerta di Smart si propone come soluzione in outsourcing funzionante via web.

E’ costituita da un agente/script da installare sui server del cliente, che tiene monitorato l'event-log ed intercetta login e logout degli utenti.

Questi dati vengono trasmessi con frequenza temporale molto bassa (inferiore al minuto), e in forma compressa e cifrata ad un server collocato nella server farm di Smart.it, dove vengono conservati per 1 anno, in modo che siano accessibili alla figura che il cliente identifica come addetto alla verifica di tali dati.

I costi di questa soluzione variano a seconda della complessità e dell’eterogeneità della rete aziendale del cliente, e dall’estensione degli eventi da includere nella registrazione.

Contattaci per maggiori informazioni
Smart.it | Informativa Privacy | Per non ricevere più la newsletter

Questo messaggio ti è stato inviato da Smart.it
Per informazioni sulle modalità di spedizione o per modifiche agli indirizzi di ricezione, scrivi a: info@smart.it

Smart.it - Via Roma n. 85 - 40057 - Granarolo dell'Emilia (BO)
Tel. 051.6056850