Datamanager settembre 2011 | » Pubbliredazionale: Accesso illecito ai dati dei clienti:
nuove misure per i gruppi bancari
Il pubbliredazionale di Datamanager sulle normative introdotte per tenere traccia degli accessi ai dati dei clienti effettuati all'interno di banche o poste italiane. La soluzione SecureLog per adeguarsi.
Il pubbliredazionale di Datamanager sulle normative introdotte per tenere traccia degli accessi ai dati dei clienti effettuati all'interno di banche o poste italiane. La soluzione SecureLog per adeguarsi.
Basta accessi indebiti ai dati dei conti correnti di ignari cittadini. Dopo centinaia di reclami, segnalazioni e quesiti posti dai "correntisti" e dopo una serrata attività di verifiche ispettive su oltre 400 banche tra il 2008 e il 2010, l'Autorità Garante per la Privacy ha deciso di intervenire. E lo ha fatto in modo sistematico, introducendo una disciplina che impone di tracciare ogni singola operazione di accesso ai dati dei clienti sia svolta da qualunque figura all'interno di una banca o di Poste Italiane. Evitando così che informazioni riservate finiscano nelle mani di terzi, e che questi ultimi le utilizzino a scopi personali, per esempio, per avvantaggiarsi in cause di separazioni giudiziali e in procedure esecutive.
Le prescrizioni del Garante sono dettagliate nella delibera n. 11A07238 del 12 maggio 2011, pubblicata il 3 giugno in Gazzetta Ufficiale. Che aggiorna e modifica le procedure di verifica codificate dall'Authority nel 2008. Tra le novità la previsione, prima assente, che "per ogni operazione di accesso ai dati bancari effettuata da un incaricato" debbano essere conservati file di log, cioè registrazioni informatiche, contenenti "almeno": il codice identificativo dell'operatore, la data e l'ora dell'accesso, il codice di postazione di lavoro effettuata, il codice del cliente interessato dall'operazione e la tipologia del suo rapporto contrattuale con l'istituto.
Il periodo di conservazione dei log è fissato a un minimo di 24 mesi. Così che diventi terribilmente complicata la vita dell'amministratore di sistema che intenda intrufolarsi nei dati altrui e far perdere le proprie tracce. Non solo. Le banche dovranno attivare "specifici alert", cioè allarmi, che individuino comportamenti "anomali" o a rischio e una procedura di controllo interno (audit) annuale che dovrà essere adeguatamente documentata e svolta da un personale diverso rispetto a chi accede ai dati dei clienti. Eventuali violazioni dovranno essere comunicate "tempestivamente" al Garante, ma anche, "senza ritardo", all'interessato.
I soggetti a cui si applica il provvedimento, cioè banche, società all'interno di gruppi bancari e Poste Italiane, avranno 30 mesi per adeguarsi alle nuove regole di comportamento. Un lasso di tempo che, vista la rilevanza delle novità, impone di agire fin da subito. E le soluzioni per rispettare i dettami del Garante in modo efficace ed efficiente, minimizzando i costi, non mancano. Per restare in suolo italiano, c'è SecureLog di Sata Hts Hi Tech Services (www.securelog.it). Una suite di gestione dei log già in funzione presso importanti aziende di telecomunicazioni, finanziarie e pubbliche amministrazioni centrali, che consente al titolare del trattamento di sapere, senza necessità di alcuna competenza tecnica, chi abbia effettuato l'accesso ai dati dei "correntisti", quando e per compiere quali operazioni. SecureLog gestisce log da svariate fonti e ne consente il filtraggio a seconda del contenuto, risparmiando così spazio nello storage e consentendone la conservazione per intervalli temporali diversi. In caso di anomalie negli accessi ai dati, poi, una e-mail avvisa immediatamente il titolare, evitando di incorrere in violazioni della normativa.
Per ulteriori informazioni su SecureLog visitate la sezione dedicata sul nostro sito.
Leggi l'articolo originale su DataManager
.
Le prescrizioni del Garante sono dettagliate nella delibera n. 11A07238 del 12 maggio 2011, pubblicata il 3 giugno in Gazzetta Ufficiale. Che aggiorna e modifica le procedure di verifica codificate dall'Authority nel 2008. Tra le novità la previsione, prima assente, che "per ogni operazione di accesso ai dati bancari effettuata da un incaricato" debbano essere conservati file di log, cioè registrazioni informatiche, contenenti "almeno": il codice identificativo dell'operatore, la data e l'ora dell'accesso, il codice di postazione di lavoro effettuata, il codice del cliente interessato dall'operazione e la tipologia del suo rapporto contrattuale con l'istituto.
Il periodo di conservazione dei log è fissato a un minimo di 24 mesi. Così che diventi terribilmente complicata la vita dell'amministratore di sistema che intenda intrufolarsi nei dati altrui e far perdere le proprie tracce. Non solo. Le banche dovranno attivare "specifici alert", cioè allarmi, che individuino comportamenti "anomali" o a rischio e una procedura di controllo interno (audit) annuale che dovrà essere adeguatamente documentata e svolta da un personale diverso rispetto a chi accede ai dati dei clienti. Eventuali violazioni dovranno essere comunicate "tempestivamente" al Garante, ma anche, "senza ritardo", all'interessato.
I soggetti a cui si applica il provvedimento, cioè banche, società all'interno di gruppi bancari e Poste Italiane, avranno 30 mesi per adeguarsi alle nuove regole di comportamento. Un lasso di tempo che, vista la rilevanza delle novità, impone di agire fin da subito. E le soluzioni per rispettare i dettami del Garante in modo efficace ed efficiente, minimizzando i costi, non mancano. Per restare in suolo italiano, c'è SecureLog di Sata Hts Hi Tech Services (www.securelog.it). Una suite di gestione dei log già in funzione presso importanti aziende di telecomunicazioni, finanziarie e pubbliche amministrazioni centrali, che consente al titolare del trattamento di sapere, senza necessità di alcuna competenza tecnica, chi abbia effettuato l'accesso ai dati dei "correntisti", quando e per compiere quali operazioni. SecureLog gestisce log da svariate fonti e ne consente il filtraggio a seconda del contenuto, risparmiando così spazio nello storage e consentendone la conservazione per intervalli temporali diversi. In caso di anomalie negli accessi ai dati, poi, una e-mail avvisa immediatamente il titolare, evitando di incorrere in violazioni della normativa.
Per ulteriori informazioni su SecureLog visitate la sezione dedicata sul nostro sito.
Leggi l'articolo originale su DataManager
| < Prec. | Succ. > |
|---|
