AMMINISTRATORI DI SISTEMA:
LE NOVITA' PREVISTE DALLA LEGGE SULLA PRIVACY
Il provvedimento del garante per la privacy del 24 dicembre 2008, poi modificato il 25 giugno 2009, prevede nuove attribuzioni alla funzione di Amministratore di Sistema.
Di seguito le modifiche sostanziali.
- Entro il 15 Dicembre 2009 deve essere prodotto un documento, interno all'azienda o allegato al DPS, in cui sono indicate le persone che svolgono la funzione di Ammministratore di Sistema.
- Il Documento deve essere aggiornato in seguito ad ogni cambiamento e disponibile in caso di accertamenti dell'autorità giudiziaria.
- La persona incaricata di svolgere la funzione di Amministratore di Sistema deve avere le capacità tecniche adeguate e non può essere una carica che prescinde dalla formazione professionale di chi la ricopre.
- Il titolare o i responsabili del trattamento devono verificare l'operato dell'Amministratore di Sistema con cadenza almeno annuale.
- L'Amministratore di Sistema deve registrare gli accessi (access log) ai sistemi di elaborazione attraverso strumenti affidabili e idonei. Devono essere registrati sia i log in che i log out, compresi i tentati e i falliti.
- I log registrati devono essere completi, integri, ossia non deve essere possibile la modifica dei dati senza che ne rimanga traccia, e inalterabili.
- Attenzione! La garanzia dell'integrità del log la si ottiene a latenza zero rispetto al momento di accesso, quindi in modo istantaneo e contemporaneo all'accesso stesso.
- I log devono essere conservati per un periodo di almeno 6 mesi di tempo e accessibili in caso di controlli o accertamenti dell'autorità giudiziaria.
