Provvedimento 17.01.08 Garante Privacy GRUPPO TELECOM ITALIA
Provvedimento del 17.01.08 emesso dal Garante Privacy
“Sicurezza dei dati di traffico telefonico e telematico”
Note informative
2
Provvedimento 17.01.08 Garante Privacy GRUPPO TELECOM ITALIA
In data 17.01.2008 l’Autorità Garante per la Privacy ha emesso un provvedimento di carattere generale in relazione alla gestione dei dati di traffico telefonico e telematico che:
Aspetti principali del Provvedimento
Si applica a tutti i fornitori di servizi di comunicazione elettroniche
Prescrive l’adozione di misure di sicurezza di carattere tecnico, organizzativo e procedurale per proteggere opportunamente i dati di traffico (telefonico e telematico), identificando puntualmente due ambiti per cui tali misure sono richieste:
Dati di traffico trattati per finalità di accertamento e repressione dei reati
Dati di traffico trattati per altre finalità (es. fatturazione, customer care)
Interessa principalmente l’operatività delle funzioni DLS.SAG, Domestic mobile services (Customer Operation e Sales), Domestic Fixed Services (Customer Operation e Sales) e le funzioni tecniche, in quanto gestori dei sistemi contenenti dati di traffico, con un’estensione complessiva stimata di circa 30.000 utenti (sia personale interno che risorse esterne).
A fronte del successivo Provvedimento di proroga del 24.07.2008 le prescrizioni dovranno essere adottate:
entro il 30.06.2009 per quanto concerne l’adozione della sola misura di sicurezza di accesso logico con strong authentication limitatamente agli utenti delle strutture di Call Center.
entro il 30.04.2009 per tutte le restanti funzioni interessate.
3
Provvedimento 17.01.08 Garante Privacy GRUPPO TELECOM ITALIA
Prescrizioni di interesse (1 di 2) Le principali prescrizioni che avranno effetto sull’operatività degli utenti saranno:
Dati di traffico
trattati per finalità di
accertamento e
repressione dei reati
(Servizi per Autorità
Giudiziaria)
Adozione di meccanismi di autenticazione per accesso logico a sistemi contenenti dati di traffico trattati per queste finalità basati su utilizzo di dispositivo crittografico (smart card) associato a componente biometrica (impronta digitale). Caratteristiche:
adottato da utenti applicativi + addetti IT operanti su tali sistemi
Impronte digitali presenti solamente nella smartcard in possesso dell’utente (senza creazione di database centralizzati)
Adozione di meccanismi di controllo dell’accesso fisico a sale con attrezzature informatiche con dati di traffico trattato per queste finalità basati su utilizzo di dispostivo crittografico (smartcard) associata a componente biometrica (impronta digitale)
Per tutti gli addetti IT che accederanno alle sale dati interessate
Impronte digitali presenti solamente nella smartcard in possesso dell’utente (senza creazione di database centralizzati)
Attivazione di processi di gestione dei dispositivi (distribuzione, attivazione, sostituzione,..)
Realizzazione di attività formative in merito alla tematica della sicurezza dei dati di traffico
segue
4
Provvedimento 17.01.08 Garante Privacy GRUPPO TELECOM ITALIA
Prescrizioni di interesse (2 di 2) Le principali prescrizioni che avranno effetto sull’operatività degli utenti saranno:
Dati di traffico
trattati per altre finalità (fatturazione
, customer care, ...)
Adozione di meccanismi di autenticazione per accesso logico a sistemi
contenenti dati di traffico trattati per altre finalità basati su utilizzo di
dispositivo crittografico (Token USB o Cellulare aziendale) associato a
PIN.
Per utenti applicativi + addetti IT operanti su tali sistemi
Attivazione di processi di gestione dei dispositivi (distribuzione,
attivazione, sostituzione,..)
5
Provvedimento 17.01.08 Garante Privacy GRUPPO TELECOM ITALIA
Pianificazione generale del progetto di adeguamento
Analisi dei requisiti
Definizione soluzioni
Predisposizione soluzioni
Comunicazione interna
Adeguamenti Ambito SAG (*)
Adeguamenti Ambito Non COP/ SAG(*)
Adeguamenti Ambito COP(*)
Prima deadline provv. Seconda deadline provv.
(*) Attività principali per misure di strong authentication:
• Pilota e test delle soluzioni
• Predisposizione dei sistemi
• Distribuzione dispositivi
• Attivazione dispositivi
• Migrazione utenze
• Addestramento (Ambito SAG)
Chiarimenti con Autorità Garante
Att
ivit
à p
rop
ed
eu
tic
he
D
eli
ve
ry d
ell
e s
olu
zio
ni
Feb 08
Mar 08
Apr 08
Mag 08
Giu 08
Lug 08
Ago 08
Ott 08
Nov 08
Dic 08
Gen 09
Feb 09
Mar 09
Apr 09
Set 08
Giu 09
Mag 09
Gen 08
Top Related