garante privacy

  • Cookie law boomerang: session id nelle url. La legge che promuove l'insicurezza delle informazioni

    kindness cookie

    Incredibile: l'applicazione della legge sui cookies sta amplificando le minacce alla sicurezza dei nostri dati. Fino a qualche tempo fa ci veniva consigliato di disabilitare o bloccare i cookies e addirittura di cancellarli per limitare l’intromissione nella nostra privacy, ora ci viene detto invece di accettarli altrimenti non puoi navigare: come cambia la prospettiva!!!.

    Se è vero che tanti siti hanno adottato i prescritti di legge, all'ultimo minuto, è anche vero che l'utenza di questi siti sta trovando noioso e invadente il banner sui cookie che ogni tanto appare, e le lamentele crescono, con manager che borbottano alla ricerca di una soluzione meno invadente e più usabile. Ma ci sono veramente soluzioni che permettono di abbandonare i cookie senza perdere il controllo dei nostri dati? Se si abbandonano i cookie, l'ID di sessione che viene registrato nei cookie, come lo gestiamo? Qualcuno ha avuto la bella idea di risponere "semplice: nella URL!!!" e del resto se non accettate il trattamento dei cookie, la session id passa nella url, visto che il sito non vi può far salvare il cookie....

    Far passare la SessionID nella url, è ampiamente riconosciuta  non essere una pratica sicura, ed è chiaramente testimoniato anche dalla OWASP Top 10, la lista delle più frequenti vulnerabilità applicative,  che ne parla  nel punto A2 (https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management);

    L'uso della session id nella url, oltre ad esporre al massimo il vostro id di sessione e di conseguenza la vostra capacità di azione su quel sito, potrebbe finire in qualche bookmark o ancora peggio nella url di qualche  qualche post su social network;  ma soprattutto potrebbe essere un canale di attacco alla session fixation, una  vulnerabilità con cui un malintenzionato, mediante un link che riesce a farvi clickare , vi costringe cad usare un session id scelto da lui per un'attività malevola. E' quindi chiaro che la session id nella url rappresenta la scelta peggiore che si può fare dal punto di vista della sicurezza.

    Tutto questo senza considerare che anche Google sconsiglia l'uso delle session ID nelle url https://static.googleusercontent.com/media/www.google.com/it//intl/it/webmasters/docs/search-engine-optimization-starter-guide-it.pdf

    Insomma, una legge nata per sensibilizzare e proteggere i nostri dati alla fine rischia di ottenere l’effetto contrario: aumentare le minacce alla sicurezza delle nostre informazioni in cambio dell’usabilità dei servizi web di Internet...che dire, grazie Garante per aver fatto un provvedimento così mal scritto? Non è la prima volta e non sarà neanche l’ultima, ma certamente l’incapacità di certi personaggi e dei loro consiglieri di riuscire a valutare correttamene e compiutamente gli effetti delle scelte che adottano,   sta diventando troppo frequente e  ingombrante, con effetti negativi sul business e sulle persone.

  • Cookies: Garante e Stakeholder; tirocinanti o Dottori della Materia ?

    cookie lawCookie law, orma gira sui social e sui giornali online allo stesso ritmo di oroscopo e previsioni meteo; forse la maggior parte delle persone non se ne era neanche preoccupata di questi "cosi" tecnici, del resto all'uomo della strada non interessa tanto conoscere cosa c'è dietro un servizio quanto usare il servizio: basta vedere l'uso disinvolto delle app, tutti accettano tutto altrimenti non funzionano.....

    Eccoci quindi al primo grande errore, il Garante ha essenzialmente parlato di cookies di siti web, trascurando che i cookies non sono un concetto riservato ai siti web ma anche ai milioni di  App Mobile che tutti noi, Garante compreso, usiamo quotidianamente, e che quotidianamente ci tracciano e ci profilano......

    Secondo Errore, una parte di utenti, quelli più paranoici e i tecnici, talvolta quotidianamente utilizzano tool come ccleaner per la pulizia del pc, cookies compresi. Questi utenti ogni volta che fanno girare i loro tool si ritroveranno riproposto il messaggio sui cookies da parte di tutti i siti che visitano: cavolo che scocciatura!

    Terzo ma non ultimo, provate a spiegare al commerciante del Texas, che ha il suo bel sito di ecommerce di prdotti di elettronica e che vende in tutto il mondo, che se fra i suoi visitatori ci sono Italiani, deve fornire informativa sui cookies e eventualmente richiedere consenso, magari che se arrivano visitatori dal Kazakistan deve mettere un banner di tipo X, che se invece arrivano dal Giappone deve richiedere l'autorizzazione per la Japan commerce act..... l'ecommerce e Internet diventano una follia!

    Ho la sensazione che i soggetti che hanno pensato e scirtto questo provvedimento, e non parlo solo di Garante Italiano e dei suoi stakeholder,  siano fortemente dissociati dal mondo reale,  in cui le persone sono interconnesse H24,  in cui la globalizzazione dei mercati e degli strumenti di comunicazione è la leva della nuova economia. Nel 2015 non si può pensare di ragionare e disciplinare l'IT e Internet come all'epoca della guerra fredda. 

    Non è più pensabile di definire confini digitali come se fossero confini tradizionali, o meglio lo si può anche fare ma poi vai a peseguire chi dall'altra parte del mondo viola il tuo dettato! al più  persegui quelli che in casa tua non seguono le tue regole, è facile fare i duri con i deboli.

    Ultimanente la politica e le istituzioni dimostrano, come in questo caso, di avere persone inadeguate, non al passo coin itempi, per poter comprendere correttamente cosa sta succedendo, siamo come nella londra del 1865 che cercava di arginare il progresso introdotto dalle automobili con il "locomotive act" 

  • GDPR è già in vigore! ricordatevelo!!!

    Per chi non lo sa il regolamento europeo 2016/679 pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 è entrato in vigore il giorno successivo, il 25 maggio dello stesso 2016.
    Per qualcuno sarà una sorpresa, "ma non mi avevano detto che entrava il vigore il 25 maggio 2018?". No è falso e troppi soggetti danno informazioni sbagliate.
    Il 25 maggio 2018 il regolamento europeo sarà applicabile, ovvero gli utenti poteranno pretendere il rispetto della norma e chi non lo rispetta potrà essere sanzionato.

    Quindi, una volta per tutte, proviamo a fare chiarezza: il Regolamento Europeo sulla Data Protection, noto come GDPR, è in vigore dal 25 maggio 2016 e sarà applicabile (sanzionabile n.d.r.) dal 25 maggio 2018. Quindi,se non ci avete ancora pensato, è il caso di effettuare una GAP Analysis per comprendere quanto la vostra azienda, il vostro studio professionale, sono distanti dai prescritti del GDPR, in modo da definire un piano di adeguamento che nel giro dei prossimi 9 mesi vi permetta di arrivare alla fatidica data in regola.
    E non pensate, secondo il classimo stile italiano, che ci siano proroghe o rinvii... non è previsto ma sopratutto non è possibile dal momento che si tratta di un regolmaneto Europeo valido per tutti i paesi. Anzi, nel corso dei prossimi mesi quasi sicuramente assisteremo a pubblicazioni di raccomandazioni specifiche per ambiti da parte del WP29, il collegio dei Garanti Europei, che andranno ad integrare il GDPR.

    E non dimenticate che GDPR prevedere formazione del personale, awarness, e verifica periodica dell'analisi del rischio... almeno annuale.

    Possiamo aiutarvi nell'analisi e adeguamento a GDPR, contattateci senza impegno.

  • Log Management & SIEM

    La nostra consulenza in tema di log Management permette di organizzare una infrastruttura tecnologica e organizzativa per la gestione dei log di sistemi e di applicazioni in piena rispondenza alle normative attuali.

    La nostra consulenza offre: una soluzione tecnologica con cui registrare in modalità tamper-proof i log raccolti dai sistemi nel rispetto del disposto del provvedimento Garante Privacy sugli Amministratori di Sistema; una soluzione organizzativa mediante l'affiancamento del cliente per la definizione di processi e Policy per la raccolta, gestione e archiviazione dei log

    Il monitoraggio dei log, che possiamo andare a implementare con voi, permette di definire un set di controlli in corrispondenza dei quali attivare opportune segnalazioni, attivando un processo di reale monitoraggio della sicurezza e disponibilità dei sistemi e delle loro funzionalità

    il monitoraggio dei log attraverso un sistema SIEM permette di approcciare la gestione della sicurezza aziendale in modalità forensics readiness permettendo spesso di prevenire e impedire data breach attraverso l'analisi degli IOA e degli IOC

    Lo Studio, oltre a fornire consulenza per la realizzazione di sistemi di log management, può erogare il servizio in outsourcing completo liberando il cliente dai costi infrastrutturali

    contattci      preventivio
  • Privacy

    L'esercizio di azienda o di libera professione impone complessi adempimenti in termini di privacy.

    La nostra consulenza è orientata alla gestione organizzativa e tecnica delle problematiche legate alla Privacy e al TU Dlgs. 196/2003 e successive integrazioni.

     

    Soluzioni Organizzative:

    • Assessment Privacy
    • Predisposizione documenti privacy: informative, moduli per il consenso, nomina incaricati privacy, nomina responsabile privacy, nomina amministratori di sistema, dps (documento programmatico della sicurezza)
    • Predisposizione notifiche trattamenti al Garante Privacy; comunicazioni con l'ufficio del Garante
    • Consulenza nella gestione delle Banche Dati sia in formato elettronico che in formato digitale.
    • Consulenza materia di compliance per il trattamento di dati personali e sensibili in particolare riguardo ai siti internet, loyalty card, community on-line, direct marketing e profilazione utenti
    • Consulenza in materia di Data Retantion

    Soluzioni tecnologiche

    • Assesment dell'Infrastruttura tecnologia di trattamento dei dati
    • Progettazione e definizione di soluzioni/adeguamenti tecnologici per i trattamenti dati
    • Progettazione e definizione di soluzioni tecnologiche per la compliance normativa
    • Progettazione e definizione di soluzioni per la data retantion

     

    contattci      preventivio

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.