privacy

  • Aspettando GDPR alla Pizzeria Google: i Miei dati!?!?

    PizzeriaGoogleFilmato di una comicità leggera quanto basta per farci sorridere... e riflettere amaramente rispetto a come gestiamo consapevolmente o inconsapevolmente i nostri dati. Ogni giorno usiamo con piacere e soddisfazione google, i social network, la moneta elettronica, gli e-commerce. I nostri smartphone sono diventati il nostro migliore amico e più intimo confidente sia che si tratti di un Android che di un Apple....e in fondo siamo convinti, o meglio illusi,  che nessuno sia in grado di analizzare e comprendere la mole di dati che tutti insieme produciamo ogni giorno: mail, whatasapp, foto, post, acquisti online, pagamenti con carte di credito etc... ,

    Ma si tratta solo di una illusione,  ci sono soggetti che investono capitali persone e risorse tecnologiche per analizzare, correlare e interpretare tutti i nostri dati: non chiamatela Intelligenza Artificiale, di intelligente non c'è niente, sono algoritmi che muovono e collegano centinaia di milioni di informazioni. L'intelligenza è ben altra cosa..... è quella di chi, con l'intento di avere i vostri dati, vi mette a disposizione gratuitamente prodotti e servizi  la cui gestione costa centinaia di milioni di dollari, e che illudendovi di essere clienti vi trasforma in prodotto da scaffale.

    Nelle nostre scelte siamo travolti dalla moda, dai social, contenti perchè nessuno ti chiede un euro per la tua casella mail o per lo spazio su cui salvare i tuoi file, cediamo più o meno consapevolmente il controllo dei nostri dati ad altri: le nostre foto su facebook non sono più nostre ma di Facebook, Google ispeziona il contenuto delle nostre mail, tutto questo è scritto nelle condizioni contrattuali, che naturalmente nessuno o quasi  guarda, e che accettiamo quando ci iscriviamo ai servizi web. 

    Mi auguro che questo video sia utile a riflettere e a usare consapevolmente tutti gli strumenti che abbiamo.

  • Biometria contro i furbetti del cartellino:strumento sproporzionato e inadeguato a gestire il rischio

    Questa mattina quando su Linkedin ho letto questa notizia "impronte digitali per le presenze, Misure anti-furbetti al Cardarelli" sono rimasto alquanto perplesso. quello che ho percepito subito dal titolo è stata sproporzione e incompetenza. Non è necessario arrivare ad un trattamento di dati biometrici per bloccare furbetti del cartellino, anche perchè c'è modo di aggirare la soluzione... , sarebbe stato più utile e meno costoso concordare/negoziare con la RSU/ispettorato del lavoro un accordo per la videosorveglianza di certe aree ai fini della tutela del patrimonio.
    Mi sorprende anche l'OK dato dal Garante privacy, che di solito invita alla proporzionalità delle misure di controllo. infatti dall'articolo si legge "l’obiettivo principale dell’istallazione del sistema di rilevazione biometrica non è di accertare la prestazione lavorativa del singolo dipendente», bensì «di garantire che ogni dipendente registri l’inizio della prestazione lavorativa unicamente per se stesso e non per altri colleghi»
    Dal punto di vista dell'azienda l'obiettivo è essere certi che ogni dipendente registri solo la propria prestazione lavorativa. Tuttavia è abbastanza noto come le impronte digitali non siano così affidabili come viene raccontato, ma sopratutto le impronte biometriche possono essere clonate con strumenti relativamente semplici ed economici, si veda a titolo di esempio https://mobile.hdblog.it/2016/02/25/bypass-scanner-impronte-pongo/ https://www.tomshw.it/rubare-impronta-digitale-una-foto-possibile-82602
    Quindi se la soluzione è sproporzionata e debole dal punto di vista della clonazione, che senso ha? viene da chiedersi da che parte stanno i furbetti.

  • Cassazione Penale:e video e audio registrazioni sono lecite e utilizzabili come prove documentali nel processo

    samrtphone videoLa Cassazione Penale con la sentenza  del 3 febbraio 2017, n. 5241 chiarisce che non vi è alcun limite al fatto che un soggetto registri, magari tramite il proprio smartphone, una conversazione con un altra persona senza necessità che quest’ultima debba essere preventivamente informata.
    Nel caso di specie, la Suprema corte era chiamata a decidere del ricorso proposto da un agente di polizia indagato per aver indotto indebitamente una prostituta ad avere due rapporti sessuali. Nel fascicolo era presente un video registrato fatto dallo stesso indagato del rapporto tra lo stesso e la persona offesa.

    Il principio espresso è che «le registrazioni, video e/o sonore, tra presenti, o anche di una conversazione telefonica, effettuata da uno dei partecipi al colloquio, o da una persona autorizzata ad assistervi … costituisce prova documentale valida e particolarmente attendibile, perché cristallizza in via definitiva ed oggettiva un fatto storico».
    Anche perché, ricordano i giudici, «la persona che registra (o, come nel nostro caso, che viene filmata dallo stesso autore del fatto) … è pienamente legittimata a rendere testimonianza, e quindi la documentazione del colloquio esclude qualsiasi contestazione sul contenuto dello stesso, anche se la registrazione fosse avvenuta su consiglio o incarico della Polizia Giudiziaria».
    La Suprema Corte riconosce espressamente come «le moderne tecniche di registrazione [sono] alla portata di tutti, per l’uso massiccio dei telefonini smart, che hanno sempre incorporati registratori vocali e video, e l’uso di app dedicate per la registrazione di chiamate e di suoni, consentono una documentazione inconfutabile ed oggettiva del contenuto di colloqui e/o telefonate [nel caso di specie] tra il violentatore e la vittima».

    Con questa sentenza la Suprema corte sgombera finalmente il campo ai dubbi sollevati da molti riguardo alla legittimità di tali fonti di prova, in particolare per quanto riguarda gli aspetti privacy, spesso usati come strumento per invocare la nullità della prova; obiezione che con questa sentenza non trova accoglimento quando la documentazione dei fatti così ottenuta venga effettivamente e solo utilizzata per la tutela dei propri diritti.

    in ogni caso la prova audio o video che sia deve essere acquisita con strumenti e metodologie tipiche della digital forensics atte a garantire originalità e veridicità dei contenuti, in modo da poter essere acquisita in fase di indagini o nella fase dibattimentale.

     

     

  • Informativa Privacy

    INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

    D.Lgs 196/2003

    Ai sensi dell'articolo 13 del decreto legge 196/2003, lo Studio Informatica Forense Fiorenzi Alessandro, di seguito denominato Fiorenzi Alessandro, è titolare dei dati  personali, sensibili e giudiziari raccolti mediante telefono, fax, email, o mediante il siti: alessandrofiorenzi.it, fiorenzialessandro.it, computerforensicsaziendale.it, forensicsaziendale.it, periziaforense.it, studioinformaticaforense.it

    Finalità del trattamento dei dati personali

    Art. 2 Finalità del Trattamento. Fiorenzi Alessandro garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonchè della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. Tutti i dati comunicati dai soggetti interessati, sono trattati esclusivamente per adempimenti connessi all'attività economica dell'azienda, in particolare:

    • per lo svolgimento per lo svolgimento degli incarichi professionali commissionati dai clienti
    • per l'inserimento delle anagrafiche nei database informatici aziendali;
    • per l'elaborazione di statistiche interne;
    • per la registrazione di schede intervento tecnico per assistenza e/o formazione;
    • per l'emissione di preventivi e offerte a clienti attivi e/o potenziali;
    • per l'emissione di richieste preventivi e offerte a fornitori attivi e/o potenziali;
    • per la tenuta della contabilità ordinaria e IVA;
    • per la gestione di incassi e pagamenti;
    • per l'invio di informative commerciali inerenti la propria attività o quella di aziende collegate sempre del settore informatico, a clienti attivi e/o potenziali;
    • per lo scambio di comunicazioni inerenti l'attività economica, amministrativa e commerciale dell'azienda via telefono, posta, spedizioniere, fax, e-mail;
    • per soddisfare gli obblighi previsti dalle norme di legge, dai regolamenti, dalla normativa comunitaria, da norme civilistiche e fiscali.

    Comunicazione e diffusione dei dati

    I dati personali degli interessati, qualora fosse necessario, potranno essere comunicati anche:

    • a tutti i soggetti cui la facoltà di accesso a tali dati è riconosciuta in forza di provvedimenti normativi;
    • ai nostri collaboratori, dipendenti, agenti e fornitori, nell'ambito delle relative mansioni e/o di eventuali obblighi contrattuali con loro, inerenti i rapporti commerciali con gli interessati;
      a società di factoring, società di recupero credito, società di assicurazione del credito;
    • alle aziende produttrici e/o concedenti le licenze d'uso degli eventuali servizi/prodotti forniti, esclusivamente quando la comunicazione risulti necessaria all'utilizzo da parte dell'interessato dei servizi/prodotti acquisiti;
    • agli uffici postali, a spedizionieri e a corrieri per l'invio di documentazione e/o materiale;
    • ai fornitori di servizi di Unified Messaging via Internet, quando l'invio di lettere e comunicazioni agli interessati, inerenti le finalità del trattamento, avvengano tramite questo canale;
    • a tutte quelle persone fisiche e/o giuridiche, pubbliche e/o private (studi di consulenza legale, amministrativa e fiscale, studi di consulenza del lavoro per la compilazione delle buste paga, Uffici Giudiziari, Camere di Commercio, Camere ed Uffici del Lavoro, ecc.), quando la comunicazione risulti necessaria o funzionale allo svolgimento della nostra attività e nei modi e per le finalità sopra illustrate;
    • istituti bancari per la gestione d'incassi e pagamenti derivanti dall'esecuzione dei contratti.

    Natura della raccolta e conseguenze di un eventuale mancato conferimento

    Il conferimento dei propri dati personali,sensibili e/o giudiziari, da parte dei soggetti che intendono aprire un rapporto commerciale con la nostra azienda, anche se puramente informativo sulle nostre attività/servizi, è da ritenersi facoltativo, ma il loro eventuale mancato conferimento potrebbe comportare la mancata prosecuzione del rapporto, del suo corretto svolgimento e degli eventuali adempimenti di legge, anche fiscali. I dati sono conservati presso la nostra sede legale, per il tempo prescritto dalle norme civilistiche e fiscali.

    Le modalità del trattamento

    Il trattamento dei dati personali avviene esclusivamente all'interno della sede dello studio di informatica forense Fiorenzi Alessandro, utilizzando sia supporti cartacei che informatici, per via sia telefonica che telematica, anche attraverso strumenti automatizzati atti a memorizzare, gestire e trasmettere i dati stessi, con l'osservanza di ogni misura cautelativa, che ne garantisca la sicurezza e la riservatezza.

    Titolare del Trattamento dei dati personali

    Il Titolare del trattamento dei dati personali è Fiorenzi AlessandroP.IVA 06170660481, il responsabili del trattamento è il Dott. Alessandro Fiorenzi.

    Diritto di accesso ai dati personali

    L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
    L'interessato ha diritto di ottenere l'indicazione:

    • dell'origine dei dati personali, delle finalità e modalità del trattamento;
    • della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
    • degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2 del dlg. 196/2003;
    • dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

    L'interessato ha diritto di ottenere:

    l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
    la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

    L'interessato ha diritto di opporsi, in tutto o in parte:

    per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;

    al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

    I diritti di cui sopra potranno essere esercitati con richiesta rivolta a mezzo email o fax al titolare del trattamento.

  • IoT: too much trust in devices! Domani potrebbe succedere a te...

    La tecnologia ci sta coccolando e chiaramente questo ci piace e così ci riempiamo di dispositivi che in una qualche maniere pensiamo ci possano essere utili, possano assecondare e migliorare la quotidianità e la qualità della vita, e anche renderci più alla moda, più trendy più fighi.

    Così, a casa, a lavoro, in macchina, per la strada, ci circondiamo di "apparecchi" tutti o quasi plug & play, di ogni genere a partire da smart watch, smart tv, frigo intelligenti, sistemi di video sorveglianza connessi e contrattabili dall'App del telefono, fino ad arrivare a sistemi di allarme collegati ad Internet, o impianti di climatizzazione che possiamo gestire da remoto. chi l'avrebbe detto solo 5 anni fa che saremmo arrivati a questi punti... ed è solo l'inizio.
    Stiamo creando un mondo fighissimo che dovrebbe, almeno nelle intenzioni, migliorare la qualità dalla vita di ognuno, qualcuno addirittura sta già pensando al robot domestico, non il puli-pavimenti che conosciamo oggi, ma un vero robot, che quando non ci sei in casa o mentre dormi, spazza, lava, pulisce i vetri, e ti prepara il pranzo, cena, colazione... . Naturalmente sarà connesso e coordinerà tutti i dispositivi demotici del suo padrone per migliorargli la vita... ma a che costo? oggi ci stiamo circondando di tutti questi dispositivi fidandoci ciecamente del fatto che non potranno nuocerci mai...., del resto come potrebbe nuocerci il frigo? o l'impianti di climatizzazione? o l'apertura elettrica della serratura del portone di casa o delle imposte?
    o la smart tv?... "loro" possono diventare gli occhi, gli orecchi, le braccia di chiunque sia motivato a impossessarsi di casa nostra. Attraverso questi innocui gioielli di tecnologia avventori motivati possono vedere, ascoltare, intervenire nella nostra vita controllare quello che facciamo, decidere dove dobbiamo stare cosa possiamo fare. qualcuno sicuramente pensa che stia esagerando... bhè allora guardatevi questo video....


    Questo video della F-Secure, più di molti altri che ho visto, fa prendere coscienza dei rischi; certo c'è della fiction nel modo di esporre la questione e nella gestione dei tempi, è chiaro non potrebbe essere diverso; ma i rischi sono reali, concreti già oggi. Se avete qualche dubbio pensate all'ultimo leak di wikileaks su CIA e Smartphone e Samrt tv. Quel leak è la dimostrazione di come già qualche anno fa fosse possibile ascoltare, vedere cosa accadeva oltre il telefono, oltre la smart tv.

    Approcciamo la tecnologica con un assoluto senso di fiducia, i social ne sono la prima grande dimostrazione, ormai la gente ci mette tutto senza alcun limite di pudore. Invece dovremmo essere più attenti ad un uso consapevole dei nuovi strumenti che la tecnologia ci mette a disposizione.
    Il fatto che siano facili da usare e che spesso siano anche oggetti di design, non significa che siano altrettanto sicuri. In un futuro molto prossimo dovremo iniziare a pensare alle nostre case, alle nostre automobili, ai nostri dispositivi connessi ad Internet come ad aree da protegge con Firewall e IPS, come se fossero un'azienda. A meno che non vogliamo lasciare che qualcuno si faccia i fatti nostri e poi, un giorno come minimo ci ricatti o ci imprigioni nella nostra smart car o nella smart-home.

    E' necessario promuovere un IoT consapevole sia lato utente che produttore, dovrà nascere un nuovo modo di pensare all'Internet di casa, con dispositivi di protezione della rete, con servizi di monitoraggio e protezione remota della nostra privacy, che proteggeranno la nostra rete casa da attacchi e accessi non autorizzati, perché la smart tv non deve essere raggiungibile e controllabile da Internet, è lei che va in Internet a prelevare i contenuti, le imposte dovranno essere pilotate dall'App solo dopo che si è autenticata sulla nostra vpn casalinga, la serratura del portone principale: non deve essere raggiungibile controllabile da Internet.

    Essere critici non vuol dire aver paura del futuro, vuol dire volere un futuro consapevole.

  • Microsoft patch Win2003 e XP:ma non erano chiusi da anni?.. o forse no?

    Dovrebbe essere saltato agli occhi di tutti, Microsoft da maggio con wannacry ha preso a rilasciare patch anche per Windows 2003 e XP, anche se commercialmente non esistono più per microsoft....o forse invece ne esistono ancora troppi?

    I nostri desktop e portatili ormai sono Windows 7, 8 o per la maggiore Windows 10, ma il fatto che MS abbia deciso di rilasciare patch per due sistemi ormai chiusi da anni è significativo e ci deve far riflettere. Ovvero Microsoft sa di per certo che c'è una parte "importante" di servizi in cui ancora i vecchi window non riescono ad essere sostituiti, e quando ci sono eventi eccezionali... l'unica soluzione è riattivare il patching di questi prodotti ormai chiusi.

    Ma quali sono gli ambienti in cui questi sistemi non riescono ad essere aggiornati e perché? Ci sono ambienti in cui il software è fortemente "sedimentato" al punto che sostituire o aggiornare il sistema operativo corrisponde spesso a cambiare l'intero macchinario. Abbiamo provato a fare una lista non esaustiva di quelli che sono gli ambienti in cui i vecchi Windows sono ancora in funzione e non possono essere sostituiti

    • Macchine industriali certificate con Windows XP o con Windows 2003
    • Macchine a controllo numerico il cui software gira solo su queste piattaforme
    • Sistemi ATM (per la verità pochi in Italia ma in altre parti del mondo lo scenario è ben diverso...)
    • Registratori di cassa, magari con dispositivi barcode non più supportati
    • Stazioni self service
    • Totem e pannelli informativi
    • Sistemi di Automazione industriale:
      • controllo accesso varchi
      • gestione illuminazione
      • gestione climatizzazione
    • I dispositivi sanitari

    in ognuno di questi ambiti spesso si è diffidati dal fare anche i normali aggiornamenti di sicurezza. Purtroppo l'impossibilità di aggiornare questi sistemi a versioni Windows più recenti è, nella maggior parte dei casi, da addebitare al software che ci gira sopra, progettato specificatamente per operare con un certo ambiente e con cervt versioni di librerie di sistema. Un aggiornamento del sistema operativo nella migliore delle ipotesi causa un blocco di alcune funzioni e nella peggiore l'impossibilità di fare qualsiasi cosa.

    E quindi le aziende si tengono le loro piattaforme comprate oltre 10, 15 anni fa e pagate care, perché sostituire windows XP o Windows 2003 vorrebbe dire buttare via e ricomprare tutto ex novo; un investimento che una grossa azienda può anche fare, ma che certo una PMI difficilmente si può sostenere.

    Mi domando, il Garante Privacy dove sta? le misure minime che prevedono "aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente" dove sono applicate in questi contesti? qualcuno mi dirà che sulle macchine a controllo numerico non ho un trattamento di dati personali o sensibili e quindi non ha senso, verissimo ma quella macchina potrebbe essere un vettore di attacco o infezione per quei sistemi che effettuano il trattamento. in caltri casi invece il trattamento di dati personali o sensibili è palese, come per il registratore di cassa o per tutto l'ambito sanitario.

    Sappiamo bene tutti che l'ufficio del Garante è sotto dimensionato, ma invece di andare a fare ispezioni rigorosissime alle aziende che usano l'informatica come strumento per realizzare il loro business, forse... sarebbe il caso di andare a controllare se chi apparati appliance, allinone e software che mette all'interno di tanti dispositivi si impegna a rilasciare aggiornamenti che permettano di mantenere aggiornato e in sicurezza il sistema.

    Non possiamo pensare che il controllo accessi di un'azienda debba rimanere su Windows XP perché non esiste una versione per windows 10 e che l'alternativa sarebbe cambiare il sistema controllo accessi, né che una macchina per la molatura metalli a controllo numerico continui a girare su Window XP perchè altrimenti devo cambiare macchina, tantomeno possiamo accettare che il registratore di cassa che accetta la nostra carte di credito e scannerizza la nostra tessera fedeltà giri solo su Windows XP, per non parlare del mondo sanitario dove sicuramente nessuno è disposto ad accettare che l'ecografo continui a funzionare ancora con il Windows XP rilasciato il 21 ottobre 2001 trattando i nostri dati sanitari. Tutto questo per non parlare di tutto l'Internt of Things!!!

  • Privacy

    L'esercizio di azienda o di libera professione impone complessi adempimenti in termini di privacy.

    La nostra consulenza è orientata alla gestione organizzativa e tecnica delle problematiche legate alla Privacy e al TU Dlgs. 196/2003 e successive integrazioni.

     

    Soluzioni Organizzative:

    • Assessment Privacy
    • Predisposizione documenti privacy: informative, moduli per il consenso, nomina incaricati privacy, nomina responsabile privacy, nomina amministratori di sistema, dps (documento programmatico della sicurezza)
    • Predisposizione notifiche trattamenti al Garante Privacy; comunicazioni con l'ufficio del Garante
    • Consulenza nella gestione delle Banche Dati sia in formato elettronico che in formato digitale.
    • Consulenza materia di compliance per il trattamento di dati personali e sensibili in particolare riguardo ai siti internet, loyalty card, community on-line, direct marketing e profilazione utenti
    • Consulenza in materia di Data Retantion

    Soluzioni tecnologiche

    • Assesment dell'Infrastruttura tecnologia di trattamento dei dati
    • Progettazione e definizione di soluzioni/adeguamenti tecnologici per i trattamenti dati
    • Progettazione e definizione di soluzioni tecnologiche per la compliance normativa
    • Progettazione e definizione di soluzioni per la data retantion

     

    contattci      preventivio
  • Privacy & GDPR

    La nostra consulenza in tema di Privacy e GDPR, permette di rispondere agli adempimenti Privacy Italiani ed Europei andando e tutelare concretamente le informazioni presenti ed trattate in azienda.
    In tema Privacy, alla normativa Italiana si è andato a sommare il recente Regolamento Europeo sulla Data Protection che  impone alle imprese una revisione radicale della Privacy passando ad modello strutturato di gestione della privacy.

    Il nostro Studio è a vostra disposizione per supportarvi nello sviluppo e nell'implementazione di un Modello di Gestione della Privacy, adeguato al vostro ambito lavorativo, che,  rispetti gli obblighi di legge ma non sia di ostacolo al business.

    La nostra consulenza si sviluppa in alcune giornate di affiancamento al vostro personale al fine d'individuare e definire:

    - Organigramma Privacy
    - Classificazione di dati e Trattamenti
    - Analisi dei Rischi Privacy
    - Misure di Sicurezza
    - Informativa Privacy e Consenso Privacy
    - Incarichi e Nomine Privacy
    - Procedure e Istruzioni Privacy
    - Formazione Privacy
    - DPS o Relazione sul Sistema di Gestione Privacy
    - Notificazioni al Garante Privacy
    - Richieste di Autorizzazioni Privacy
    - Audit e Verifiche Privacy

     

    In ragione delle specificità dell'azienda e delle necessità del cliente e della specificità di alcuni trattamenti,  andremo a declinare il Modello di Gestione Privacy  nelle strutture aziendali interessate:

    - Direzione Personale
    - Direzione IT
    - Direzione Legale
    - Direzione Commerciale e Marketing

     

    Lo Studio, oltre a fornire un affiancamento in termini di consulenza,   può fornire il servizio in outsourcing, sollevandovi dalla gestione di tutti gli oneri normativi che in tal caso saranno gestiti dal nostro studio per vostro conto.

    contattci      preventivio
  • QR Corde Carta di Imbarco e ... so chi sei!

    Dammi il QR Code della tua carta di imbarco e ti dirò chi sei!, Potrebbe essere la prima cosa che ci viene in mente a vedere il video di USA Today a questo link https://youtu.be/PdLfmR8CKT4

    Purtroppo non c'è da ridere, la scansione del QR Code delle carte di imbarco negli USA da accesso ad un numero spropositato di informazioni sul titolare della carta, non è un data breach ma potremmo dire che ha la stessa portata.Con questo sarebbe interessante fare la stessa prova sulle carte di imbarco Europee per magari scoprire che anche da noi riusciamo ad acquisire dati personali dal QRcode.

    Ho voluto fare la prova, usando google per cercare le carte di imbarco di alcune compagnie europee, e naturalmente qualche QRCode autentico lo troviamo senza grandi problemi. Leggendo il QRcode di queste carte di imbarco si scopre che ad esempio Lufthansa e RayanAir non mettono alcun dato del titolare del biglietto nel QRCode, riportano solo i dati del viaggio. Alitalia invece si distingue dalle altre. Infatti ho trovato online con google un biglietto Alitalia con QRCode che trovate a questo link Se leggete il QRCode con una qualunque App, viene fuori "M1CASSANELLO/NICOLA FCONRTAZ 0782 261Y018L000431010". E' chiaro che il biglietto è di Cassanello Nicola, gli altri dati non li so decifrare, potrà sembrare una banalità, qualcuno dirà sicuramente cosa vuoi che sia, ma se Lufthansa e RayanAir non riportano nome e cognome prechè mai Alitalia lo fa? si chiama pseudonimizzazione,... un concetto che troviamo nel GDPR e che aiuta la privacy delle persone.

    E' chiaro che negli USA siamo ben lontani dalla protezione dei dati personali che conosciamo in Italia (Alitalia esclusa :-) ) e in Europa. Alcuni concetti basilari introdotti dal GDPR come secuirty by default e by design, o Privacy Impact assessment, introdotti dal GDPR Europeo, rappresentano l'avanguardia di una tutela a cui gli USA e sicuramente anche altri paesi dovrebbero forse ispirarsi.

    In ogni caso quando ci viene consegnato un biglieto o un documento con un QRCode.... provete a leggerlo con la vostra App.... potreste avere delle sorprese!

  • Risk Management

    La consulenza di Risk Management si pone l’obiettivo d'identificare, analizzare e valutare i rischi aziendali (operativi, strategici, finanziari ed esterni) per individuare successivamente le adeguate soluzioni di prevenzione, mitigazione e/o trasferimento dei rischi.

    La nostra consulenza permette in una prima fare di valutare il profilo di rischio del cliente al fine di proporre un adeguato modello di gestione dei rischi, che identifica i singoli fattori di rischio, identifica le misure di prevenzione per la protezione del valore dell’impresa, dell’ente o del singolo.

    L'analisi del rischio oltre a essere un pilastro fondamentale per lo sviluppo del business è anche talvolta richiesta da specifiche norme o leggi

    - ISO 27001
    - Testo Unico Privacy
    - GDPR
    - Dlgs 231/01
    - Testo Unico Bancario
    - BC & DR
    - PCI-DSS

    Lo studio si avvale di metodologie standard affermate sul mercato che forniscono elementi misurabili e confrontabili

    Lo Studio svolge in outsourcing completo o in co-sourcing attività di auditing del processo di Risk Management finalizzata alla verifica del grado di sviluppo della governance dei rischi attraverso l'analisi delle tecniche e delle metodologie d'individuazione, misurazione, monitoraggio e gestione dei rischi stessi.

    contattci      preventivio
  • Servizi

     consulenza servizi

     Il nostro obiettivo è forniVi assistenza qualificata e completa sui temi della sicurezza informatica e della computer forensics. A partire dai servizi di consulenza sulla sicurezza informatica, privacy, dlgs 231, agli accertamenti tecnici e peritali di computer forensics fino agli accertamenti di affidabilità commerciale e finanziaria; nonché alla formazione diretta sui temi di sicurezza, privacy, computer forensics.

    • Consulenza
    • Perizie e accertamenti tecnici informatici
    • Accertamenti commerciali e finanziari
    • Formazione

     

    contattci      preventivio

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.