Garante Privacy: risposte a domande frequenti su amministratori di sistema
Il Garante per la protezione dei dati personali ha pubblicato sul proprio sito le risposte alle domande più frequenti in relazione alla figura dell’amministratore di sistema e ai relativi obblighi in capo al titolare, in forza del Provvedimento recante le misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema del 27 novembre 2008).
Di seguito l’elenco dei quesiti a cui il Garante fornisce risposta:
1 Cosa deve intendersi per "amministratore di sistema"?
2 Cosa vuol dire la locuzione "Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…"
3 Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell’ambito applicativo del provvedimento?
4 Relativamente all’obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server?
5 Cosa si intende per operato dell’amministratore di sistema soggetto a controllo almeno annuale?
6 Chiarire i casi di esclusione dall’obbligo di adempiere al provvedimento.
7 Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all’ADS?
8 Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?
9 Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?...)
10 Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all’access log?
11 Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L’adeguatezza rispetto allo
scopo della verifica deve prevedere un’analisi dei rischi?
12 Come va interpretata la caratteristica di inalterabilità dei log?
13 Si individuano livelli di robustezza specifici per la garanzia della integrità dei log?
14 Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l’adeguatezza?
15 Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l’accesso o anche le attività eseguite?
16 Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?
17 Cosa si intende per "consultazione in chiaro"?
18 Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?
19 La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?
20 Nella designazione degli amministratori di sistema occorre valutare i requisiti morali?
21 Cosa si intende per "estremi identificativi" degli amministratori di sistema?
22 E’ corretto affermare che l’accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l’accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?
23 Si chiede se sia necessario conformarsi al provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota...) da parte di una società italiana non titolare dei dati gestiti.
24 Si possono ritenere esclusi i trattamenti relativi all’ordinaria attività di supporto delle manutenzione degli immobili sociali ecc...). Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico?
Di seguito l’elenco dei quesiti a cui il Garante fornisce risposta:
1 Cosa deve intendersi per "amministratore di sistema"?
2 Cosa vuol dire la locuzione "Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…"
3 Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell’ambito applicativo del provvedimento?
4 Relativamente all’obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server?
5 Cosa si intende per operato dell’amministratore di sistema soggetto a controllo almeno annuale?
6 Chiarire i casi di esclusione dall’obbligo di adempiere al provvedimento.
7 Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all’ADS?
8 Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?
9 Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?...)
10 Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all’access log?
11 Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L’adeguatezza rispetto allo
scopo della verifica deve prevedere un’analisi dei rischi?
12 Come va interpretata la caratteristica di inalterabilità dei log?
13 Si individuano livelli di robustezza specifici per la garanzia della integrità dei log?
14 Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l’adeguatezza?
15 Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l’accesso o anche le attività eseguite?
16 Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?
17 Cosa si intende per "consultazione in chiaro"?
18 Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?
19 La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?
20 Nella designazione degli amministratori di sistema occorre valutare i requisiti morali?
21 Cosa si intende per "estremi identificativi" degli amministratori di sistema?
22 E’ corretto affermare che l’accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l’accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?
23 Si chiede se sia necessario conformarsi al provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota...) da parte di una società italiana non titolare dei dati gestiti.
24 Si possono ritenere esclusi i trattamenti relativi all’ordinaria attività di supporto delle manutenzione degli immobili sociali ecc...). Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico?
Il Garante per la protezione dei dati personali ha pubblicato sul proprio sito le risposte alle domande più frequenti in relazione alla figura dell’amministratore di sistema e ai relativi obblighi in capo al titolare, in forza del Provvedimento recante le misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema del 27 novembre 2008).
Di seguito l’elenco dei quesiti a cui il Garante fornisce risposta:
1 Cosa deve intendersi per "amministratore di sistema"?
2 Cosa vuol dire la locuzione "Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…"
3 Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell’ambito applicativo del provvedimento?
4 Relativamente all’obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server?
5 Cosa si intende per operato dell’amministratore di sistema soggetto a controllo almeno annuale?
6 Chiarire i casi di esclusione dall’obbligo di adempiere al provvedimento.
7 Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all’ADS?
8 Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?
9 Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?...)
10 Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all’access log?
11 Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L’adeguatezza rispetto allo
scopo della verifica deve prevedere un’analisi dei rischi?
12 Come va interpretata la caratteristica di inalterabilità dei log?
13 Si individuano livelli di robustezza specifici per la garanzia della integrità dei log?
14 Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l’adeguatezza?
15 Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l’accesso o anche le attività eseguite?
16 Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?
17 Cosa si intende per "consultazione in chiaro"?
18 Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?
19 La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?
20 Nella designazione degli amministratori di sistema occorre valutare i requisiti morali?
21 Cosa si intende per "estremi identificativi" degli amministratori di sistema?
22 E’ corretto affermare che l’accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l’accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?
23 Si chiede se sia necessario conformarsi al provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota...) da parte di una società italiana non titolare dei dati gestiti.
24 Si possono ritenere esclusi i trattamenti relativi all’ordinaria attività di supporto delle manutenzione degli immobili sociali ecc...). Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico?
Di seguito l’elenco dei quesiti a cui il Garante fornisce risposta:
1 Cosa deve intendersi per "amministratore di sistema"?
2 Cosa vuol dire la locuzione "Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…"
3 Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell’ambito applicativo del provvedimento?
4 Relativamente all’obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server?
5 Cosa si intende per operato dell’amministratore di sistema soggetto a controllo almeno annuale?
6 Chiarire i casi di esclusione dall’obbligo di adempiere al provvedimento.
7 Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all’ADS?
8 Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?
9 Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?...)
10 Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all’access log?
11 Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L’adeguatezza rispetto allo
scopo della verifica deve prevedere un’analisi dei rischi?
12 Come va interpretata la caratteristica di inalterabilità dei log?
13 Si individuano livelli di robustezza specifici per la garanzia della integrità dei log?
14 Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l’adeguatezza?
15 Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l’accesso o anche le attività eseguite?
16 Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?
17 Cosa si intende per "consultazione in chiaro"?
18 Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?
19 La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?
20 Nella designazione degli amministratori di sistema occorre valutare i requisiti morali?
21 Cosa si intende per "estremi identificativi" degli amministratori di sistema?
22 E’ corretto affermare che l’accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l’accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?
23 Si chiede se sia necessario conformarsi al provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota...) da parte di una società italiana non titolare dei dati gestiti.
24 Si possono ritenere esclusi i trattamenti relativi all’ordinaria attività di supporto delle manutenzione degli immobili sociali ecc...). Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico?
