Riportiamo una serie di domande e relative risposte sulla tematica degli Amministratori di Sistema emerse durante la nostra attività.
Riteniamo infatti che la conoscenza vada condivisa: l’informazione non è un bene da custodire gelosamente, bensì la base di partenza per qualsiasi rapporto di collaborazione e di fiducia.

In particolare, questa sezione sugli Amministratori di Sistema nasce dagli interventi effettuati in questo ambito presso varie realtà, che hanno coperto aspetti di carattere tecnologico, organizzativo e normativo. Chi fosse interessato ai servizi SI.net può scrivere a progettazione@sinetinformatica.it o chiamarci allo 0331.576848.

Se avete delle domande specifiche sull’argomento, scriveteci a formazione@sinetinformatica.it: saremo felici di rispondervi e di pubblicare domanda e risposta, a beneficio di tutti.

Domanda: la mia rete dispone di un dominio. Devo tracciare i log di tutte le postazioni?

Domanda: il Responsabile esterno (outsourcer che gestisce i sistemi e gli applicativi per conto del Titolare) deve provvedere anche alla registrazione degli access log degli Amministratori di Sistema?

Si riportano di seguito due articoli particolarmente interessanti sull’argomento scritti nei mesi scorsi:

Amministratori di Sistema: i “greatest hits” e le ultime considerazioni

Amministratori di sistema e registrazione dei log: tutto chiaro… o no?


Domanda: la mia rete dispone di un dominio. Devo tracciare i log di tutte le postazioni?

Dipende dove sono residenti i dati. Il provvedimento del Garante prevede che si traccino i log di accesso dei sistemi che potrebbero consentire, anche incidentalmente, un trattamento di dati personali.
Se i dati si trovano sui client degli utenti e’ necessario tracciare i log delle postazioni, poiche’ qualcuno potrebbe autenticarsi con diritti amministrativi locali e accedere ai dati presenti sulla macchina. Se invece i dati si trovano su server con accesso limitato agli utenti di dominio e’ sufficiente tracciare gli accessi sui server di dominio (che registrano tutte gli eventi di login e di logout alle risorse di dominio), poiche’ un’autenticazione locale sulle postazioni non consentirebbe l’accesso ai dati.

Domanda: il Responsabile esterno (outsourcer che gestisce i sistemi e gli applicativi per conto del Titolare) deve provvedere anche alla registrazione degli access log degli Amministratori di Sistema?

Risposta: con le modifiche al provvedimento del 27 Novembre 2008, il Garante ha innescato il meccanismo di delega di alcune funzioni dal Titolare del trattamento al Responsabile (per ulteriori approfondimenti in proposito è possibile leggere questo articolo).
Il punto dei log non è affrontato specificamente (si parla della conservazione degli estremi degli AdS e della verifica delle loro attività), tuttavia si può arrivare alla medesima conclusione operativa.

Se i dati sono gestiti all’esterno resta in capo al Titolare la responsabilità di tenuta dei log, mentre il Responsabile non ha questo obbligo esplicito. Tuttavia, per il Titolare è impossibile tracciare personalmente tali accessi, per cui l’unico sistema con cui può adempiere ai suoi obblighi è incaricarne il Responsabile, aggiungendo delle apposite voci nel contratto di outsourcing per gestire questi aspetti.

Soluzione questa suggerita dal Garante per altri adempimenti relativi agli AdS. Infatti nell’ultimo aggiornamento al provvedimento “…dispone che l’eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e),  avvenga nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali