Procedura Civile 2.0

Store

Esame avvocato

Mobile

Sportivo

#LegalGeek

Costituzionale
  

Fonte: Spataro - Segnalato da: Spataro - 2019-04-05 - Post successivo - Stampa - pag. 94484

Il Garante si pronuncia su Rousseau, ma il web ha poco da ridere.

Sto parlando con altri amministratori di sistema, con valutazioni molto interessanti.
Inutile riproporle in queste pagine. La tematica e' sia tecnica che di politica delle risorse informatiche, unitamente al costo delle attivita' che vengono richieste.
La domanda e' una sola: pensate che un sito possa costare (per essere tenuto, non sviluppato) meno di 500 euro annui ?
Probabilmente si'. Allora non avete le informazioni per capire il livello di complessità attuale. - Spataro


R

Riportiamo frasi dal provvedimento. Il risultato e' comprensibile solo per i tecnici amministratori e del settore, non certo per un pubblico di utenti web. Il testo completo al link

a) Log applicativi

ok

b) Log del database

il sistema attuale non permette la registrazione degli accessi e delle operazioni compiute sul database a causa delle limitazioni presenti nella edizione (community edition) del pacchetto mysql installato

c) Piattaforma di raccolta e correlazione dei log

ok

d) Protezione e conservazione dei log

ok

e) Amministratori di sistema

"Tale elenco ha messo in evidenza l’esistenza di credenziali di autenticazione, con privilegi amministrativi, condivise da più soggetti con la qualifica di amministratore di sistema."

"privilegi di amministrazione, ciascuna condivisa tra più persone (tre nel primo caso e due nel secondo caso)"

...

l’Autorità, pur ritenendo che nel complesso sia stato realizzato un sostanziale innalzamento dei livelli di sicurezza dei trattamenti effettuati nell’ambito dei siti web oggetto del provvedimento del 21 dicembre 2017, deve tuttavia...

Moveable Type e' aggiornato, ma vecchio di due mesi ... Tale circostanza rende estremamente difficoltoso il patching dei sistemi online realizzati sulla piattaforma Cms, l’adozione di accorgimenti ad hoc e l’intervento, realisticamente non tempestivo,

... ’interfaccia XX, questa non consente di tracciare adeguatamente gli accessi al database né, tantomeno, di tracciare le operazioni compiute sul database in lettura o in modifica. ...

...  assenza di adeguate procedure di auditing informatico...

...pur individuati tra persone di elevata affidabilità, sono comunque tecnicamente in grado di accedere alle delicate funzionalità del Dbms in cui vengono registrati i dati relativi alle espressioni di voto mantenendo una capacità d’azione totale sui dati e sfuggendo alle procedure di auditing....

4.1 Al riguardo, ai sensi dell’art. 58, comma 2, lett. d) del Regolamento, il Garante ingiunge all’Associazione Movimento 5 Stelle e all’Associazione Rousseau quale responsabile del trattamento, di provvedere :

1. a completare l’adozione delle misure necessarie di auditing informatico previste  al par. 7, lett. E, del provvedimento n. 548, prevedendo che anche gli accessi al database effettuati tramite interfaccia XX siano oggetto di completa registrazione  in modo da consentire la verifica a posteriori delle attività compiute (cfr. punti 2.1 e 3.3), entro il termine di 60 giorni dalla ricezione del presente provvedimento; l’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento; 

2. a rimuovere la criticità emersa a seguito dell’accertamento ispettivo del novembre 2018, come evidenziata ai punti 2.1 lett. e) e 3.5 -  ovvero provvedere ad assegnare credenziali di autenticazione ad uso esclusivo di ciascun utente con privilegi amministrativi definendo per ciascuno i differenti profili di autorizzazione, entro il termine di 10 giorni dalla ricezione del presente provvedimento; l’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento;

3. entro il termine di 120 giorni dalla ricezione del presente provvedimento, ai fini del rispetto del principio di responsabilizzazione di cui all’articolo 24 del Regolamento, ad una rivisitazione complessiva delle iniziative di sicurezza adottate (cfr. par. 3.1 sulle “Attività di vulnerability assessment”),alcune delle quali, per quanto conformi, in termini di stretto adempimento, alle prescrizioni di cui al par. 7, lett. A del provvedimento n. 548 del 2017, risultano comunque inficiate nella loro efficacia dalle gravi limitazioni tecniche intrinseche al sistema utilizzato (CMS - Movable Type 4).  L’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento;

4. all’effettuazione, entro il termine di 60 giorni dalla ricezione del presente provvedimento, di una valutazione d’impatto sulla protezione dei dati, specificamente riferita alle funzionalità di e-voting attribuite alla piattaforma. Solo in base ad una rigorosa progettazione  e a una attenta valutazione dei rischi è, infatti, possibile realizzare un sistema di e-voting in grado di fornire garanzie di resilienza nonché di assicurare l’ autenticità e la riservatezza delle espressioni di voto. Le conclusioni della valutazione d’impatto dovranno pervenire a questa Autorità entro 70 giorni dalla ricezione del presente provvedimento. L’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Tali termini sono commisurati tenendo conto dell’urgenza di assicurare l’integrità, resilienza e sicurezza di una piattaforma, quale quella in esame, utilizzata per l’esercizio dei diritti politici dei cittadini. 


nocookie ver--

Ricevi gli aggiornamenti su 'Il Garante si pronuncia su Rousseau, ma il web ha poco da ridere.', Privacy e gli altri post del sito:

Email: (gratis Info privacy)


Link a Spataro : https://www.garanteprivacy.it/web/guest/home/docwe

Altro su Privacy:

Privacy : News in tempo reale e Guida completa

Certificazione della cybersicurezza

Privacy: controllati i siti istituzionali europei

Mercato unico digitale: la Commissione pubblica gli orientamenti sulla libera circolazione dei dati non personali

Una email su tutti i siti per segnalare problemi

Nuovo algoritmo per proteggere la privacy: embed di YouTube sostituiti automaticamente

In corso attacco informatico agli avvocati. Scoperte password banali. Il decalogo per gli avvocati.

DuckDuckgo risponde a Zuckerberg: ecco una proposta di legge concreta, supportare do not track

Sportello telematico dell’automobilista: l’Autorità chiede maggiori garanzie

Medico cambia sede e nell'email sostiene un candidato alle elezioni: 16.000 euro di sanzione







  






v. anche: Segnala - Collabora - Embed - Civile.it - Codici - Ebook - G.U. - IusSeek - Sentenze - Chi siamo   

On line dal 1999. Tutti i diritti riservati - Toolbar - Privacy - Cookie - @IusOnDemand - Contatti - P.IVA: 04446030969 -