FRITZBox 7530

Posted on 21 Giugno 2019 by

L'introduzione ideale al profilo 35b

Con il FRITZBox 7530 disponi di primo accesso ideale alla rete domestica veloce con il profilo 35b. Oltre al modem ADSL/VDSL e a un router wireless riuniti in un solo dispositivo, il FRITZ!Box 7530 dispone anche di un centralino telefonico DECT integrato, di Ethernet a Gigabit, di una porta USB e del media server.

WiFi Mesh con FRITZ!

Per consentire l'accesso continuo a video, musica e foto nella rete domestica, fino all'angolino più remoto di ogni stanza, il FRITZ!Box 7530 si affida alla WiFi Mesh. I dispositivi FRITZ! distribuiti nella casa sono operativi in un'unica rete, si scambiano i dati tra loro e ottimizzano le prestazioni di tutti i dispositivi nella rete wireless.

Con la rete mesh si può godere molto semplicemente della massima velocità nella navigazione, nella visualizzazione di video o nel gaming. Adesso, sono i programmi mozzafiato in HD e la tua musica favorita ad aspettare te, e non al contrario!

Scoprite di più sulla WiFi Mesh

Massima sicurezza con il FRITZ!Box

Con il FRITZ!Box di AVM, vai sul sicuro! Le sue caratteristiche di sicurezza proteggono la tua comunicazione. Viene testato e migliorato continuamente. Grazie agli aggiornamenti gratuiti sei sempre al sicuro.

Centralino per connessioni basate su IP

Il FRITZBox 7530 contiene un centralino per le moderne connessioni basate su IP. Puoi collegare via DECT fino a sei telefoni cordless. C'è posto anche per il telefono analogico o il fax. Sono inoltre disponibili diverse segreterie telefoniche, rubriche online e numerose funzioni comfort.

Svariate possibilità di connessione

Il FRITZBox 7530 è disponibile direttamente per la connessione al profilo 35b. Offre inoltre wireless AC veloce e wireless N in modalità duale. Sul router stesso si trovano inoltre quattro porte LAN Gigabit e una porta USB. Tramite queste porte puoi non solo integrare tutti i tuoi terminali nella rete senza fatica, ma anche integrare la tua stampante e predisporre una memoria USB. Potrai così vedere film, immagini e ascoltare musica quando e dove desideri.

FRITZ!OS: un concentrato di funzione

FRITZ!OS, il sistema operativo del FRITZ!Box, mette regolarmente a tua disposizione nuove funzioni. Grazie alle FRITZ!App puoi accedere ai tuoi dati con lo smartphone anche quando sei fuori casa, telefonare nella rete domestica o controllare la tua smart home. Oltre ai dispositivi Smart Home FRITZ!, il FRITZBox 7530 supporta anche dispositivi di terzi con la tecnologia DECT-ULE/HAN-FUN. E ricorda: tutti gli aggiornamenti e tutte le app per i prodotti FRITZ! sono gratuiti.

GDPR: da fine maggio le sanzioni

Posted on 19 Giugno 2019 by

Verso il primo anno dall'entrata in vigore del Regolamento Privacy 679/2016: in vista ispezioni e sanzioni in caso di violazioni relative a GDPR.

Recentemente, il Garante della protezione dei dati personali ha definito il regolamento europeo come “la prima e più importante risposta che il diritto abbia espresso nei confronti della rivoluzione digitale”.

La nuova normativa ha avuto un impatto positivo nella sensibilità dei cittadini. Infatti, secondo i dati pubblicati dall’Autorità Garante nel bilancio relativo al primo anno dall’entrata in vigore del GDPR.

Al 31 marzo scorso sono stati registrati 7.219 reclami, in costante aumento dal 2018, e ben 946 notifiche di data breach, di cui 641 solo negli ultimi sei mesi, a questi dati si aggiungono il numero dei contatti con l’Ufficio relazioni del Garante, quasi 10.000 e le comunicazioni dei dati di contatto dei Responsabili Protezione Dati quasi 50.000.

GDPR: controlli Privacy e GdF nelle imprese, la novità adesso è data dalla dall’immediatezza della scadenza del periodo di tolleranza per le inadempienze previsto dall’art. 22 del Decreto legislativo 10 agosto 2018, n. 101, dal 20 maggio il Garante potrà applicare senza alleggerimenti le sanzioni previste dal GDPR per l’inosservanza al corretto trattamento dei dati.

Al termine del periodo di tolleranza prenderanno il via le ispezioni in collaborazione con la Guardia di Finanza.

In ambito privato destinatari delle ispezioni saranno i grandi istituti di credito, chi esegue attività di profilazione con sistemi di fidelizzazione su larga scala e chi tratta i dati sulla salute. In ambito pubblico, si porrà l’attenzione sul funzionamento di SPID (Sistema Pubblico di Identità Digitale) e sulle grandi banche dati.

In presenza di una violazione si possono avere varie conseguenze:

l’autorità di controllo può imporre al titolare delle misure procedurali o tecniche di natura correttiva, da attuare nell’immediatezza, compreso il potere di limitare, sospendere o addirittura bloccare i trattamenti;
se la violazione comporta danni agli interessati, il titolare, insieme al responsabile del trattamento, dovrà provvedere al risarcimento dei danni, materiali e morali;
la violazione può portare a danni reputazionali a carico del titolare con gravi conseguenze sull’attività dell’azienda;
la violazione può comportare responsabilità per mancato rispetto delle pattuizioni contrattuali con altri titolari o contitolari;
la violazione può portare all’applicazione di sanzioni amministrative da parte dell’autorità di controllo;
la violazione può portare all’applicazione di eventuali sanzioni penali.

Il regolamento europeo distingue due gruppi di violazioni.

Nel primo caso le sanzioni possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, e riguardano:

inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
inosservanza degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.

Un secondo gruppo di violazioni, per il quale sono previste sanzioni fino 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Riguardano:

inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
inosservanza dei diritti degli interessati a norma degli articoli da 12 a 22;
inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

In ogni caso le sanzioni devono essere considerate un’arma dissuasiva, non certo una punizione le sanzioni saranno, quindi, proporzionate anche all’azienda, in modo da non costringerla a chiudere l’attività.

L’autorità di controllo ha il potere di irrogare sanzioni correttive.

Essi consistono nel:

rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme;
rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme;
ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la conformità;
imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto;
ordinare la rettifica, la cancellazione o l’aggiornamento dei dati personali;
revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti;
infliggere le sanzioni amministrative pecuniarie;
ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

Il timore dell’erogazione della sanzione non deve ritenersi l’unico fattore che dovrebbe condurre il titolare al rispetto delle disposizioni in materia, ma è opportuno che egli comprenda il nuovo approccio contenuto nel GDPR. Il titolare deve dimostrare, infatti, la sostanza degli adempimenti e non rispettarli formalmente come accadeva in passato. L’adempimento delle richieste normative deve così essere dimostrato e non meramente eseguito.

Secondo una ricerca pubblicata a febbraio 2019 dall’Information Security & Privacy della School of Management del Politecnico di Milano solo il 23% delle imprese italiane si è adeguata al GDPR, la nuova normativa Ue sulla privacy in vigore da fine maggio 2018, il 59% ha progetti in corso, l’88% ha un budget dedicato.

Nel workshop organizzato da PrivacyLab a metà aprile 2019 sono numerosi i siti istituzionali ancora senza informativa privacy aggiornata, uno studio di Federprivacy evidenzia fenomeno più grave ed esteso: il 47% dei siti web dei comuni italiani utilizza protocolli non sicuri, e il 36% non rende noti i recapiti per contattare il DPO, figura obbligatoria per tutte le pubbliche amministrazioni.

Online navigare sicuri

Posted on 14 Giugno 2019 by

Online navigare in sicurezza? Ecco come fare con i browser più sicuri.

La Techwarn, per i nostri lettori ha messo a disposizione questo interessante articolo.

Tutti noi accediamo ad internet almeno una volta al giorno. E non ci rendiamo nemmeno conto di quanti dati lasciamo in giro sul web, non solo attraverso messaggi, mail e social, ma anche semplicemente con la navigazione e l’apertura di siti web.

Lo strumento conosciuto a tutti e che usiamo maggiormente per navigare online è il browser, un software che ci permette di impostare un motore di ricerca, cercare direttamente siti web e salvare i preferiti, tra le varie cose.

Come ben sappiamo però non tutti i browser sono uguali e non tutti ci garantiscono gli stessi servizi e le stesse caratteristiche. Se i più usati sono sicuramente Chrome di Google, Safari per i sistemi iOS e Mozilla Firefox, esistono altri browser che ci permettono di navigare online in completa sicurezza e migliorando di molto la nostra privacy.

Certo, da una parte abbiamo la certezza che tutto sia compatibile, di poter avere le migliori estensioni e di poter sincronizzare diversi dispositivi, dall’altra abbiamo la possibilità di migliorare la nostra sicurezza online.

Nonostante i continui miglioramenti da parte dei browser più famosi, c’è ancora molto da fare in questo ambito, ecco perché esistono delle alternative valide e a costo zero. Andiamo dunque a vedere quali sono browser alternativi e più sicuri.

TOR

Sicuramente uno dei browser più attenti alla privacy e alla sicurezza dell’utente. Questo software infatti garantisce una crittografia totale della rete mentre navighiamo, inoltre protegge i nostri dati personali e ci rende anonimi anche mentre comunichiamo.

È disponibile in download gratuito per Windows, Mac e anche Linux e si tratta di un’applicazione open source.

OPERA
Opera è sicuramente più conosciuto di Tor e in molti casi si trova anche già preinstallato su alcuni dispositivi, soprattutto PC (mentre nei dispositivi mobili è presente la versione mini). Con questo browser, oltre ad essere molto veloce, avrete a disposizione un blocco annunci, il blocco del tracciamento della posizione, l’anonimato e una VPN integrata. Che cos’è una VPN? È un tunnel virtuale ultra sicuro in cui connettervi e tenere lontano possibili infiltrazioni di virus e malware vari.

EPIC BROWSER

Invece questo browser, al contrario di Opera, è dedicato interamente ai sistemi iOS, dunque ai Mac. Anche in questo caso, il browser non salva i dati della cronologia, non ha perdite DNS; non consente i coolie di terze parti e tutti i dati vengono eliminati immediatamente al momento della chiusura del browser.

Questi browser sono tutti completamente gratuiti e - come molti altri browser non famosi quanto la triade Chrome, Safari e Firefox - consentono all’utente di proteggersi da alcune insidie del web a cui siamo esposti molto facilmente ogni volta che ci colleghiamo ad internet.

Articolo di Stefania Grosso di Techwarn

Pseudonimizzazione

Posted on 9 Aprile 2019 by

Che cos’è e cosa viene richiesto dal GDPR

La pseudonimizzazione è una tecnica che consiste nel conservare i dati in una forma che impedisce l’identificazione del soggetto senza l'utilizzo di informazioni aggiuntive.

Il presente articolo è stato pubblicato sul sito www.infogdpr.eu e qui sotto riportato.

Sommario

Pseudonimizzazione al centro del GDPR

Il GDPR, in applicazione dal 25 Maggio 2018, pone tra gli aspetti principali la pseudonimizzazione, una parola difficile da pronunciare, poco chiara ai più ma essenziale. Infatti, la quessto è uno strumento fondamentale per proteggere i dati personali e sensibili di persone fisiche e giuridiche al fine di garantire loro piena e totale riservatezza.

Questa tecnica consiste nel conservare i dati in una forma che impedisce l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive.

Al fine di limitare il rischio di violazioni di privacy e furti d’identità, il GDPR spinge le organizzazioni a pseudonimizzare i propri dati.

Cosa dice il nuovo regolamento europeo sulla protezione dei dati? Download del regolamento formato PDF.

La situazione in Europa

Fin qui tutto chiaro, peccato però, che non tutte le aziende europee siano pienamente consapevoli di questa richiesta.

L’analisi condotta da Delphix evidenzia che fra gli stati membri analizzati nello studio, la Francia vanta un 38% di rispondenti che dichiarano di avere compreso il principio della pseudonimizzazione. Nel Regno Unito e in Germania questa quota diminuisce al 21%. In Italia non si è neanche riusciti a produrre una quantificazione percentuale e Delphix ha evidenziato una situazione “preoccupante”.

Proviamo a fare chiarezza

La pseudonimizzazione, o cifratura, consiste nel modificare e mascherare i dati personali e sensibili di una persona fisica al fine di non renderli direttamente e facilmente attribuibili allo stesso senza l’utilizzo di informazioni aggiuntive.

Risulta evidente che il dato e le informazioni aggiuntive, comunemente chiamate chiavi, debbano essere materialmente conservati in zone differenti, ad esempio server distinti, al fine di impedire un facile ricongiungimento.

Questa tecnica consente quindi di aumentare la protezione di un dato.

Si parla di pseudonimizzazione o cifratura e non di anonimizzazione poiché non esistono tecniche informatiche per rendere completamente anonimo un dato: in verità ci sarebbero anche ma se implementate non si avrebbe più la possibilità di leggere il dato originale.

Vi sono due tipologie di pseudonimizzazione in base alle chiavi utilizzate:

Pseudonimizzazione simmetrica o asimmetrica

Nella pseudonimizzazione simmetrica si utilizza la stessa chiave per cifrare, o mascherare, il dato e per renderlo nuovamente leggibile. Ovviamente questa tecnica crea il problema di come condividere la chiave senza che questa venga scoperta.

Nella pseudonimizzazione asimmettrica si utilizzano due chiavi distinte: la prima per cifrare il dato, la seconda per decifrarlo. In questo modo è possibile facilitare la condivisione poiché si utilizza una chiave per crittografare, visibile a chiunque, e una chiave per decifrare che conosce solo il destinatario rendendo quindi non necessaria la sua condivisione.

La pseudonimizzazione è sicura al 100%?

Purtroppo non è una tecnica infallibile: eventuali malintenzionati potrebbero tentare di identificare una chiave mediante tecniche di forza bruta (brute-force attack).

L’attacco brute-force consiste nell’uso di un algoritmo che prova teoricamente tutte le possibili chiavi di lettura fino a scoprire quella effettivamente corretta.

Questa motivazione ha portato allo sviluppo nuove tecniche ancora più sicure, tra cui la tokenizzazione.

https, chrome chiede i siti sicuri

Posted on 19 Luglio 2018 by

HTTPS entro 22 luglio 2018?, perché passare?

Già nel 2017 Google ha cercato, pian piano, di spingere i webmaster a rendere più sicuri i propri siti web, facendo comparire la dicitura “Non sicuro” nella barra degli indirizzi di Chrome, per quei siti sprovvisti di certificato ssl e contenenti form di login o e-commerce.

Questo però è stato solo il primo passo per abituare i webmaster e gli utenti al protocollo internet crittografato. Nei prossimi mesi infatti, l’azienda di Mountain View darà un ulteriore incentivo, se così vogliamo chiamarlo, per promuovere il passaggio.

I cambiamenti previsti dal 22 luglio 2018

Google ha recentemente dichiarato che da luglio il suo browser Chrome segnalerà come “non sicura” qualsiasi pagina sprovvista di certificato ssl, indipendentemente dal suo contenuto.

Quindi anche un semplice blog verrà segnalato come non sicuro pur non costituendo alcun tipo di pericolo per l’utente.

L’intenzione è quella di rendere HTTPS il nuovo standard per la navigazione sul web. Come dichiarato da Google stessa, Chrome permetterà agli utenti di sapere immediatamente se il sito su cui stanno navigando è a rischio per la sicurezza o meno.

Segnalazione sito non sicuro — Esempio di come Google segnalerà i siti sprovvisti di certificato ssl

Cos’è un certificato ssl e a cosa serve

SSL (Secure Socket Layer) è un protocollo che permette di criptare i dati trasferiti in rete da un’applicazione ad un’altra e di rendere, in questo modo, la trasmissione altamente affidabile e sicura.

Per garantire che una connessione sia sicura, è necessario che un’autorità preposta fornisca un una chiave di criptazione sotto forma di certificato.

Il protocollo HTTPS utilizza tale chiave per criptare il traffico in entrambe le direzioni e impedire che dei malintenzionati possano intromettersi nella comunicazione tra due applicazioni. Questa protezione è fondamentale quando si effettuano acquisti o si inseriscono dati sensibili su un sito web.

Sito web protetto da https — Esempio di sito web in HTTPS

Quando navighiamo su un sito internet che non supporta HTTPS, le informazioni che vengono scambiate tra il server sul quale viene ospitato il sito e il nostro browser potrebbero essere intercettate da soggetti terzi.

Tipologie di certificati

Le autorità di certificazione rilasciano tre tipologie di certificati SSL

Certificato DV (Domain Validation): questo certificato valida il nome a dominio di un sito web. È il certificato più economico e il più semplice da ottenere e viene emesso in tempi rapidi. Questo certificato permette di criptare il traffico sul sito web senza però effettuare alcuna verifica sull’identità del proprietario.
Certificato OV (Organization Validation): questo certificato oltre a criptare lo scambio di dati verifica anche l’identità dell’azienda richiedente. Durante la fase di verifica vengono controllati i dati aziendali forniti dal richiedente in modo da poter confermarne l’autenticità rispetto al dominio da certificare.
Certificato EV (Extended Validation): questo certificato consiste nel più alto livello di verifica, poiché la fase di validazione dei dati aziendali è molto accurata. Questo certificato permette di esporre il proprio nome aziendale nella barra degli indirizzi, la cosiddetta Green bar.

Ti starai chiedendo quale sia il certificato più adatto a te. Ogni sito ha esigenze diverse ma in linea di massima ti posso dire che se possiedi un semplice sito su cui non avvengono pagamenti può bastarti un certificato DV per garantire la sicurezza tua e dei tuoi utenti.

Se possiedi un e-commerce, la soluzione migliore è quella di acquistare un certificato OV che garantisce anche la validità della tua azienda.

Se hai necessità di “fare branding” oltre che garantire la sicurezza, allora il certificato EV è quello che fa per te perché è dotato della tecnologia della Green Bar che mostra il tuo nome aziendale nella barra degli indirizzi.

Perché passare ad HTTPS?

Fino a poco tempo fa chi possedeva un sito web semplice, che non prevedeva transazioni monetarie o aree riservate poteva tranquillamente utilizzare HTTP. Oggi invece, come accennato nel primo paragrafo, è di fondamentale importanza passare al protocollo sicuro che diventerà ben presto il nuovo standard.

Utilizzare un certificato ssl è utile per:

la sicurezza del sito, permettendo di criptare sia il traffico in entrata e in uscita garantendo che terze parti non possano interferire nelle comunicazioni;
mostrarsi all’utente come un’azienda affidabile. Per l’utente comune leggere la scritta verde “Sicuro” accanto all’indirizzo del sito anziché la scritta “Non sicuro” genera in lui molta più fiducia perché si sente più protetto pur non conoscendone probabilmente il reale significato;
la visibilità su Google. Già da tempo il motore di ricerca dà maggiore spazio ai siti dotati di certificato ssl nei suoi risultati di ricerca e questo avverrà sempre di più. A parità di autorevolezza compare quasi sempre prima un sito in https rispetto ad uno in http.

Quindi, oltre che per la sicurezza, diventa importante proteggere il proprio sito anche per un discorso di immagine e popolarità.

Come adeguare il proprio sito agli standard di Google

Se gestisci autonomamente il tuo hosting, per acquistare un certificato ssl puoi rivolgerti direttamente al tuo hosting provider. Ricordati però che non basta acquistarlo ma una volta ottenuto il certificato dovrai ricordarti di:

sostituire nel database tutti i riferimenti ad http;
se presenti, sostituire anche nei file tutti i riferimenti ad http;
impostare i redirect da http ad https.

Se non sei un “tecnico” e non sai da dove iniziare ti consiglio, prima di acquistare il tuo certificato, puoi rivolgeri a noi acquistando on line il certificato o al tuo webmaster in modo che possa eseguire la migrazione ad HTTPS senza incorrere in errori e malfunzionamenti.

Se lo desideri possiamo offrirti il supporto di cui hai bisogno per passare ad HTTPS. Contattaci e ci occuperemo di tutto noi scegliendo ed installando il certificato più adatto alle tue esigenze.

Sanzioni amministrative GDPR

Posted on 27 Febbraio 2018 by

sanzioni amministrative pecuniarie, articolo 83 del regolamento europeo 679/2016

Sanzioni amministrative pecuniarie, ragguagli sull'articolo 83 del nuovo regolamento europeo privacy 679/2016

1. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi dell’Articolo 83 del Regolamento Europeo 679/2016 siano in ogni singolo caso effettive, proporzionate e dissuasive.

2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all'articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:

la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
il carattere doloso o colposo della violazione;
le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
le categorie di dati personali interessate dalla violazione;
la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42; e
eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

3. Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave.

4. In conformità del paragrafo 2 dell'articolo 83, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:

gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8 (condizioni applicabili al consenso dei minori), 11, da 25 a 39, 42 e 43;
gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43;
gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4.

5. In conformità del paragrafo 2 dell'articolo 83, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:

i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5 (Principi applicabili al trattamento di dati personali), 6 (Liceità del trattamento), 7 (Condizioni per il consenso ) e 9 (Trattamento di categorie particolari di dati personali) ;
i diritti degli interessati a norma degli articoli da 12 a 22;
i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49;
qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.

6. In conformità del paragrafo 2 dell'art.83, l'inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

7. Fatti salvi i poteri correttivi delle autorità di controllo a norma dell'articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.

8. L'esercizio da parte dell'autorità di controllo dei poteri attribuiti dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell'Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo.

9. Se l'ordinamento giuridico dello Stato membro non prevede sanzioni amministrative pecuniarie, il presente articolo può essere applicato in maniera tale che l'azione sanzionatoria sia avviata dall'autorità di controllo competente e la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali, garantendo nel contempo che i mezzi di ricorso siano effettivi e abbiano effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autorità di controllo. In ogni caso, le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive. Tali Stati membri notificano alla Commissione le disposizioni di legge adottate a norma del presente paragrafo al più tardi entro 25 maggio 2018 e comunicano senza ritardo ogni successiva modifica.

KB4074588

Posted on 24 Febbraio 2018 by

KB4074588, Mouse e tastiera non funzionano più!.

Come risolvere il bug dell’update KB4074588

Microsoft ha recentemente rilasciato un update per Windows 10, codice KB4074588, che sta causando diversi preblemi agli utenti per non parlare dei system admin ed a tutto lo staff IT.

Al momento in cui si redige il presente articolo troviamo già tra i nostri clienti già 11 PC aggiornati che hanno il problema: qualsiasi periferica USB smette di funzionare, beh, cosa non da poco, infatti basti pensare che tastiera e mouse oggi sono esclusivamente USB ed è abbastanza difficile trovare adattatori ed anche trovandoli, ormai moltissimi PC e/o Laptop, ne sono privi.

Risultato: non si può più accedere alla macchina, almeno che non si riesca ad eseguire un punto di ripristino che riporti il sistema a prima dell'aggiornamento, che comunque non è procedura facile se non è possibile ne digitare al PC ne muove un mouse perchè non vengono più visti dal sistema.

Non è chiaro cosa faccia scaturire il problema, ma l'aggiornamento KB4074588, nei sistemi affetti, compromette le porte USB impedendo a mouse e tastiera di funzionare.

L’utente viene lasciato senza la possibilità di interagire col proprio PC, in nessun modo.

Come risolvere questo gran casino?, questa è qualche soluzione:

Riprendere il controllo della macchina

Se il PC/server ha le porte PS/2, usatele per controllare la macchina. In caso contrario, una soluzione percorribile è l’accesso remoto con un remote desktop software come Supremo – se presente – o attraverso Remote Desktop (RDP).

Se persino questa strada non fosse disponibile, potete forzare la Safe Mode (mouse e tastiera funzionano in safe) causando diversi hard-shutdown del sistema. Sconsigliamo vivamente questo metodo in quanto è pericoloso e può compromettere definitivamente il sistema operativo.

Risolvere il problema

Eseguite il comando appwiz.cpl:

Disinstallate l’aggiornamento KB4074588:

Aprite le impostazioni di Windows e selezionate Update & Security:

Cliccate su Advanced options:

Attivate Pause Updates:

Ora potete riavviare la macchina e riprendere ad utilizzare mouse e tastiera. L’opzione Pause Updates impedirà a Windows di aggiornarsi per qualche settimana, dando tempo a Microsoft di risolvere il problema.

Non esitate a contattarci per ulteriori ragguagli.

GDPR (Privacy, 679/2016)

Posted on 18 Dicembre 2017 by

GDPR, l'Italia, insieme al resto delle nazioni europee, dovrà prepararsi ad un nuovo cambiamento rilevante relativo al trattamento dei dati personali ed alla loro protezione. Questa volta è l'Unione Europea a dettare un nuovo approccio che farà registrare, senza distinzioni, un forte impatto su legislazioni, aziende, cittadini, authority di tutto il continente europeo.
Il nuovo regolamento europeo entrerà in vigore nel 2018 e coinvolgerà tutti coloro che producono, conservano o cancellano dati, promuovendo, addirittura, la creazione di nuove figure professionali specifiche.
Tutti abbiamo appreso del recente provvedimento del garante per la protezione dei dati personali relativo alla necessità di implementare una serie e informazioni e/o comunicazioni relativamente alla presenza di cookie all'interno di portali e siti web (argomento ben noto a tutti i web designer o web agency che si occupano di realizzazione si siti web).
L’ultimo intervento dell’UE, assolutamente indispensabile nell’era digitale e del web, ha invece come obiettivo la previsione di una regolamentazione comune tra i vari Stati ai quali verrà concesso un periodo di almeno due anni per cercare di coordinare le normative esistenti con il nuovo assetto giuridico di riferimento.

Il Regolamento dell’Unione Europea sulla protezione dei dati (GDPR, 679/2016), è stato approvato nel dicembre 2016 e porterà significativi cambiamenti nel corso di 2/3 anni. Il testo presenta, infatti, alcune novità molto interessanti per il nostro quadro giuridico.

Nell'era di Internet occorreva una regolamentzione dei dati che circolano sui cloud, delle banche dati delle forze dell’ordine intercomunicanti tra loro e dei social network, nasce la GDPR, si era manifestata da tempo l’esigenza di prevedere una regolamentazione che fosse comune tra i vari Paesi, soprattutto, in caso di scambio di dati oltre le frontiere.

Al contempo, tuttavia, alcuni interpreti hanno messo in evidenza la forse eccessiva libertà che il Regolamento lascia agli Stati di integrare e dettagliare il quadro giuridico con il rischio di perdere l’attenzione verso l’uniformità sovranazionale.

L’attenzione del legislatore europeo ha reso necessario l'introduzione della nuova GDPR, rivolta ai privati, alle aziende e al settore pubblico, e mira a garantire un ambiente dei dati sicuro. Riassumendo, le novità che hanno più attirato gli operatori del settore sono le seguenti:

il diritto all’oblio;
la portabilità dei dati;
l'analisi del rischio e la valutazione dell’impatto sulla privacy;
l'informativa più dettagliata con maggiori tutele per l’interessato (nonché, obblighi per i controller);
la cosiddetta privacy by design;
la nascita del Data Protection Officer.

Il regolamento generale sulla protezione dei dati (GDPR) mira sia a rafforzare il livello della loro protezione per le persone fisiche i cui dati personali sono oggetto di trattamento, sia a migliorare le opportunità per le imprese nel mercato unico digitale attraverso la riduzione di oneri amministrativi.

Il rafforzamento dei diritti di protezione offrirà, sicuramente, un maggiore controllo sui dati personali. Si avranno, infatti, norme più specifiche che consentiranno ai responsabili del trattamento di trattare i dati attraverso l'obbligo di consenso delle persone interessate ed una migliore informazione su quanto accade ai dati personali una volta condivisi. Inoltre, se un giovane di meno di 16 anni desidererà utilizzare servizi in linea, il prestatore dovrà verificare il consenso dei genitori.

Per quanto riguarda le imprese, il regolamento prevede un insieme unico di regole valido in tutta l'UE al fine di evitare situazioni in cui norme nazionali possano ostacolare lo scambio di dati transfrontaliero.
Si creeranno, in questo modo, condizioni di concorrenza leale e le imprese saranno incoraggiate a trarre beneficio dal mercato unico digitale.

Aumenteranno le responsabilità, inoltre, dei responsabili del trattamento dei dati. Le autorità pubbliche e le imprese dovranno designare un responsabile della protezione dei dati incaricato di garantire il rispetto delle norme. Il regolamento, inoltre, mira a proteggere i dati personali trattati ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, inclusa la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.

Lo scorso 29 gennaio, durante il convegno organizzato da Europrivacy a Milano, si è discusso circa l'importanza del pianificare la GDPR per essere pronti entro i 24 mesi. Sei grandi campi come risk management, privacy by design, la nuova figura del DPO, data breach, servizi IT e profilazione contro anonimizzazione, si incrociano con le sfide organizzative, di budget, tecnologiche e legislative che si dovranno vincere per stare al passo.

Un punto particolaremente interessante è quello che impone, alle realtà che controllanti, obblighi sia di analisi del rischio e di previsione sull’impatto che certi tipi di trattamenti possono avere sulla privacy, sia di creazione di nuove figure professionali quali, ad esempio, il Data Protection Officer che si dovrà occupare di valutare la situazione della privacy e delle misure di sicurezza sia nel pubblico sia nel privato.

Notevole anche l’attenzione posta sulla privacy by design, ovvero, sulla valutazione del livello di privacy di un prodotto o di un servizio già al momento della sua creazione o attivazione così da radicare il principio di protezione dei dati personali nel prodotto o servizio stesso.
Le misure di privacy by design imposte dalla direttiva europea sono impegnative e chi non si adeguerà a tale regolamento e violerà il trattamento dei dati personali dei cittadini rischia multe parecchio "salate".

Dal 2018, dunque, i cittadini potranno affidarsi alle autorità nazionali per il cosiddetto 'data breache', ovvero, la notificazione delle violazioni. Quello che possiamo affermare sin d'ora è che tutte le novità apportate dal nuovo regolamento europeo avranno, senza alcun dubbio, effetti pratici su tutti i sistemi informatici dal momento che tutti i soggetti che trattano dati personali, piattaforme web comprese, dovranno occuparsi di minimizzare tali trattamenti garantendo, in modo prioritario ed in misura ancora maggiore di quanto fatto sinora, trasparenza, compatibilità e sicurezza.

Qui alcuni link utili:

Gazzetta Ufficiale Legge L119

Regolamento EU GDPR 2016/679 Italiano

Il GDPR in Italiano 2016-679UE testo integrale - CyberLaws

Slide Powerpoint nuovo regolamento GDPR L119

Telecamera IP CUBE

Posted on 19 Novembre 2017 by

Questa nuova telecamera di sicurezza intelligente di nuova generazione (o monitor per bambini) di Annke con la visualizzazione Wi-Fi Internet è una comoda soluzione di sorveglianza wireless che ti permette di tenere sempre d'occhio ciò che ti interessava sia nella stanza accanto che in strada. Una configurazione Wi-Fi a una sola volta consente di collegare la fotocamera alla rete e di iniziare la visualizzazione in pochi secondi. L'ultima rilevazione PIR funziona con il rilevamento del movimento, in modo da ridurre notevolmente l'allarme falso. Alimentato dal cavo Ethernet, questa fotocamera può essere il tuo compagno più affidabile sia nella sicurezza domestica che in quella aziendale.

- 1080P Alta risoluzione video, registrazione e visione in tempo reale;
- Un tocco Wi-Fi e configurazione WPS, reale plug and play;
- Rimuovi due-modo audio con la costruzione-nel microfono e nell'altoparlante

Supporto del rilevamento PIR (infrarosso passivo), ridurre il falso allarme

Intrusione di supporto e rilevamento delle traverse, PoE (Power over Ethernet)

PoE—Power over Ethernet

La funzione PoE (Power over Ethernet) consente di accendere la telecamera tramite la porta Ethernet e di trasmettere contemporaneamente il segnale video. Quindi non è necessaria alcuna alimentazione aggiuntiva quando si collega la fotocamera a NVR.

Smart VCA (analisi del contenuto video)

Nel tentativo di risparmiare tempo per riprodurre il video, sono disponibili i rilevamenti di attraversamento della linea e il rilevamento delle intrusioni. Quindi è possibile collegare la telecamera ad un NVR che supporta VCA per la seconda volta la ricerca e l'analisi video.

Clear Two-way Audio

Tramite questa innovativa telecamere puoi parlare e ascoltare le tue iniziative di shinning mentre sei seduto in ufficio o in viaggio d'affari? Il microfono e l'altoparlante incorporati consentono di farlo sui dispositivi mobili da qualsiasi parte del mondo.

Accesso remoto P2P più semplice

La tecnologia P2P all'avanguardia apre la strada per un accesso remoto molto più facile ai dispositivi Android e IOS. La visualizzazione e la registrazione da smartphone, tablet o PC non sono mai così semplici e senza problemi.

Una volta attivata l'allarme se si tratta di rilevamento del movimento di rilevazione PIR o motion, un avviso di avviso immediato o un avviso di posta elettronica verrà inviato ai tuoi dispositivi mobili per informarti ASAP, misure così efficaci possono essere prese prima che sia troppo tardi.

Dotato di LED a matrice ad alte prestazioni di nuova generazione, la fotocamera genera una visione notturna in bianco e nero da 10m / 32ft e fornisce una protezione 24 ore su 24 per la tua casa e il tuo business.

Design notevole Dual Stream

Il flusso principale è applicato per la registrazione locale e il sottotensione è per la visualizzazione mobile remota, per cui non si verificherà mai alcuna interferenza tra di loro per rendere più visibile la visualizzazione in tempo reale e la registrazione senza soluzione di continuità.

Nebbiogeno

Posted on 4 Agosto 2017 by

Nebbiogeno il sistema di antifurto blocca il ladro in un attimo.

Ogni azienda, grande o piccola, ha un sistema d’allarme per proteggere i propri valori. Tuttavia, nonostante ogni precauzione che tu possa prendere, non si può prevenire un tentativo di effrazione. Solo i sistemi di sicurezza attiva come i nebbiogeni impediscono che i tuoi averi vengano rubati o danneggiati.

Una volta penetrati all’interno del tuo edificio, nessun sistema d’allarme può impedire attivamente che i ladri rubino i tuoi averi. I nebbiogeni riempiono l’aria con una nebbia densa che impedisce ai criminali di vedere e quindi di rubare. L’effetto dura abbastanza a lungo da permettere l’arrivo della polizia! La nebbia è innocua e non causerà alcun danno!

Per completare un sistema di sicurezza uno dei componenti piú utilizzati negli ultimi anni, se ci riferiamo in modo particolare a negozi ed uffici, è l’antifurto nebbiogeno.

Questi sistemi sono apparecchiature che consentono, in particolari circostanze, di aumentare la sicurezza di impianti antifurto ed antieffrazione già esistenti. Nel caso di un gioielleria, ma anche di un qualsiasi negozio con merce preziosa, ad esempio, il rapido riempirsi dì fumo dell’ambiente dove è in corso il tentativo di furto, disorienta sicuramente i ladri ed impedisce loro di prendere gli oggetti per rubarli. In piú ci regala un vantaggio sul fattore tempo. I malfattori per un minuto non vedono assolutamente nulla e sono costretti a scappare.

In Italia gli allarmi di tipo nebbiogeno non sono molto diffusi ad eccezione di alcuni settori molto particolari.

Sicuramente le gioiellerie, le boutique, i negozi di elettronica e cine-foto ottica potrebbero trarne sicuro vantaggio ed essere installati come componente aggiuntivo ad un impianto di antifurto. Il sistema con nebbiogeno infatti può collegarsi alla centralina e ai sensori ed essere attivati al movimento di un intruso nell’ area protetta.

Caratteristica principale di questi prodotti è la velocità con la quale ì locali vengono riempiti da una densa e fitta nebbia. In 5 secondi il fumo copre completamente la visibilità, rendendo impossibile la vista per almeno 1 minuti. Nel frattempo suona la sirena, la centralina attiva il combinatore telefonico e parte la chiamata alle forze dell’ordine e al proprietario del negozio o della casa

Per quanto riguarda la connessione all’impianto antifurto esistente, si tratta di un semplice contatto di comando. La nebbia emessa dal dispositivo è assolutamente innocua e non è tossica, almeno se si tratta di impianti certificati; ovviamente i dispositivi vanno ricaricati con il kit liquido dopo l’uso. I prodotti che vengono ospitati nel negozio non sono danneggiati, anche se si tratta di cose delicate di elettronica.

Alcuni generatori utilizzano uno speciale ‘‘marcatore” (anche questo non nocivo per la salute) che addirittura contamina le persone che si trovano nei locali quando l’impianto si attiva, aggiungendo maggior sicurezza al sistema. I ladri, a meno che non si cambino, sono macchiati di vernice, anche in questo caso non tossica.

Infine, questi impianti sono assolutamente legali e sono previsti dalla normativa europea EN50131-8. Ventilando i locali, la nebbia scompare rapidamente senza lasciare alcuna traccia né conseguenze sugli oggetti.

Sul mercato ci sono diversi produttori, anche italiani, di buona qualità. Per il prezzo si parte da 500 euro per un prodotto medio, dipende ovviamente anche dalla grandezza dell’ ambiente da proteggere.

rimanere sempre accesa e poi perché la fuoriuscita non è cosi veloce come in un dispositivo appositamente studiato per questo scopo. Probabilmente una soluzione del genere potrebbe andare bene per la vetrina di una piccola gioielleria dove il fumo emesso potrebbe nascondere tutto in pochi secondi.

Petya o WannaCry

Posted on 27 Giugno 2017 by

Uno sviluppatore pubblica il necessario per ripulire i PC infetti dal malware e rendere i dischi fissi criptati di nuovo accessibili. Il cyber-crimine, almeno in questo caso, non paga. In attesa di varianti future a prova di decodifica

Roma - Analizzando il "sequestro" crittografico del disco fisso operato da Petya, un ricercatore noto come leostone è riuscito a crackare il codice del malware e a permettere agli utenti infetti di riprendere il controllo dei dischi fissi.

Petya è una nuova genìa di ransomware progettata per criptare il disco fisso a partire dal Master Boot Record, una procedura che rende in sostanza inaccessibili i dati e complica vieppiù i tentativi di disinfezione (o anche di studio del codice) da parte di utenti e analisti.

A quanto ha scoperto leostone, però, il payload di codifica del ransomware non è perfetto, anzi tutt'altro: estraendo 512 byte di verifica dal settore 55 e 8 byte dal settore 54 del disco infetto (entrambe codificati in Base64), gli utenti possono generare la chiave di decodifica necessaria a sbloccare i dati all'avvio del malware tramite un apposito sito Web.L'estrazione dei byte necessari alla decodifica è facilitata dalla disponibilità di un tool da far girare con il disco infetto collegato a un PC terzo, e il risultato finale della procedura consiste nello sblocco del drive senza dover pagare i Bitcoin di riscatto richiesti dai cyber-criminali.

Gli autori di Petya non sono stati sufficientemente abili da inibire la decodifica, suggerisce leostone, anche se le cose potrebbero cambiare piuttosto in fretta: i pessimisti si aspettano la distribuzione di una nuova variante del ransomware capace di neutralizzare i punti deboli del codice sfruttati dallo sviluppatore.

Alfonso Maruccia

Continua a Leggere→

Kit Smart Atlantis GSM

Posted on 1 Marzo 2016 by

Atlantis +Alarm A750 è tra i piu' innovativi sistemi di allarme oggi presente sul mercato. Dotato di centralina GSM e sensori senza fili, lo potrai installare con semplicità senza opere murarie. E' espandibile sino a 99 dispositivi gestibili in maniera indipendente. +Alarm A750 rappresenta un sistema unico nel suo genere, infatti +Alarm e' il primo sistema di allarme che può essere totalmente gestito tramite APP gratuita (da Smartphone e/o Tablet) per Android e iOS. Il centro del sistema di allarme passa dalla tradizionale centralina allo Smartphone.
Con la APP puoi configurare il sistema attivando i singoli sensori, attribuire loro un proprio nome (ad esempio "porta d'ingresso", "finestra sala", "camera da letto" etc…). Puoi procedere, sempre attraverso l’APP, alla configurazione dei sensori e delle telecamere opzionali che possono essere abbinate al sistema di allarme in maniera semplice e rapida scansionando il QRcode. E' possibile combinare i sensori alle telecamere, facendo in modo che quando questi scattano, tu possa visualizzare immediatamente lo stato dell’immobile tramite la telecamera abbinata. Un’altra funzione che apprezzerai particolarmente e' la bi-direzionalità dei sensori. Questa funzione permette al sensore di indicare alla centralina ed al tuo Smartphone il livello di carica delle sue batterie.
Il sistema di allarme può interagire con una o piu' telecamere di sorveglianza. Tali telecamere, in alta risoluzione, motorizzate e senza fili, possono essere controllate e monitorate direttamente dalla APP.
Tante nuove ed ulteriori funzioni sono disponibili con +Alarm A750 e con i sensori opzionali a disposizione.

Continua a Leggere→

Guida alla riservatezza dei dati

Posted on 24 Febbraio 2016 by

Sicurezza e Riservatezza dei dati

I dati personali oggetto di trattamento devono essere custoditi in azienda in modo da ridurre al minimo i rischi di illecito accesso, distruzione o perdita attraverso idonee misure di sicurezza, ossia tutti gli accorgimenti tecnici e organizzativi messi in pratica per garantirne protezione, privacy e riservatezza.

Se il Responsabile del trattamento sceglie di utilizzare dispositivi elettronici o programmi informatici per la gestione dei dati deve prevederne l’accesso controllato tramite livelli di autorizzazione e garantire che non si attuino in azienda trattamenti contrari alle norme di legge o diversi da quelli per i quali i dati sono stati raccolti.

Nello specifico il Responsabile dovrà adottare specifici criteri e procedure dettate dall’articolo 33 del Codice Privacy, come ad esempio l’utilizzo di uno username identificativo e password per accedere ai dati, l’utilizzo di software antivirus e per il backup periodico dei dati.

Misure di sicurezza utili ad assicurare la riservatezza

Il trattamento dei dati personali con strumenti elettronici è consentito solo se sono adottate specifiche misure minime fra le quali si individuano:

autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
protezione degli strumenti elettronici e dei dati rispetto al trattamento illecito dei dati stessi e ad accessi non consentiti;
adozione di procedure per la custodia di copie di sicurezza;
adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Per i dati sensibili e giudiziari sono previste ulteriori misure in aggiunta a quanto già accennato come il Documento Programmatico per la Sicurezza.

L’articolo 34 del Codice della Privacy prevede espressamente che vengano adottate procedure per la realizzazione e la custodia di copie di sicurezza e il ripristino della disponibilità dei dati e dei sistemi. In pratica il Responsabile del trattamento, tramite l’amministratore del sistema informativo, dovrà provvedere a realizzare e custodire copie di backup ossia copie di sicurezza dei dati e delle informazioni contenute su strumenti elettronici, assicurandone la massima riservatezza.

Solitamente le informazioni riservate vengono archiviate su dispositivi esterni cioè non incorporati nell’unità centrale e consentono di trasferire da un computer all’altro grosse quantità di informazioni. Fra questi si possono individuare gli hard disk removibili.

La causa di perdita di dati e informazioni può dipendere da:

eventi distruttivi, naturali o artificiali;
guasti ai sistemi;
malfunzionamenti o degrado dei componenti elettronici;
incuria o disattenzione.

Il rischio di perdita o furto di dati, comunque, è anche rappresentato da:

comportamenti sleali e fraudolenti;
virus informatici; (al momento in crescità)
furto di strumenti contenenti dati.

In effetti, quando capita uno dei suddetti eventi, il backup può limitare la perdita del patrimonio di informazioni memorizzate. In tal caso occorre adottare tempestivamente ogni possibile procedura di ripristino dei dati.

Le misure minime di sicurezza obbligatorie previste dalla normativa sono:

attivazione di una procedura di backup settimanale;
predisposizione di una procedura di disaster recovery ossia di ripristino dei dati in caso di danneggiamento o perdita;
installazione di software antivirus e di sistemi firewall;
adeguamento della struttura aziendale alle normative in materia di prevenzione e sicurezza.

Se si utilizza un server per la memorizzazione dei dati è necessario che sia collegato ad un gruppo di continuità che consenta di escludere la perdita di dati a causa di sbalzi di tensione o interruzione della corrente elettrica.

I dati inseriti nei backup devono essere custoditi e protetti da accessi indesiderati mediante procedure che inibiscano la lettura dei dati in essi contenuti, magari utilizzando un’applicazione crittografica.

Firma digitale

La firma digitale consente di scambiare documenti informatici aventi validità legale poiché permette la verifica dell’identità del mittente, rende impossibile al mittente disconoscere un documento da lui firmato, rende impossibile al destinatario modificare un documento firmato da qualcun altro.

Possono dotarsi di firma digitale le persone fisiche rivolgendosi ai certificatori accreditati che garantiscono l’identità dei soggetti che utilizzano la firma digitale. I certificatori accreditati sono soggetti pubblici o privati che emettono certificati qualificati conformi alla Direttiva Europea 1999/93/CE e alla normativa nazionale in materia. L’elenco dei certificatori accreditati è disponibile nel sito di DigitPA, l’Ente Nazionale per la digitalizzazione della Pubblica Amministrazione. La verifica della firma può essere effettuata tramite diversi software resi disponibili gratuitamente.

La firma digitale è, in pratica, un sistema a chiavi crittografiche asimmetriche che viene creato mediante un dispositivo con elevate caratteristiche di sicurezza che, in genere, è una smart card. Dal punto di vista tecnico la firma digitale è una sequenza di byte in grado di associare in modo univoco un documento elettronico alla persona che l’ha generato garantendone provenienza, autenticità e integrità.

Sicurezza e riservatezza dei sistemi

Il Codice Privacy prevede concrete disposizioni in merito al trattamento dei dati tramite strumenti informatici. Nello specifico, l’allegato B del Codice contiene il Disciplinare Tecnico ossia una serie di modalità tecniche necessarie ad adottare concretamente le misure minime per la sicurezza dei sistemi. Tali misure dovranno essere adottate dal titolare, dal responsabile o dall’incaricato.

La normativa prevede che il trattamento dei dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autorizzazione per i quali siano, comunque, previsti specifici profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. Periodicamente, e comunque con cadenza annuale, occorre verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

I dati personali devono essere protetti anche dal rischio di intrusione esterna e dall’azione di programmi in grado di violare la privacy. Per questo dovranno essere predisposti idonei strumenti elettronici che siano in grado di prevenire la vulnerabilità dei sistemi e correggano eventuali difetti, quali antivirus, antispyware e firewall, da aggiornare con cadenza almeno semestrale.

Almeno una volta l’anno occorre provvedere all’aggiornamento dei sistemi in modo da correggere gli errori. Questa operazione potrà essere facilmente compiuta anche tramite il download da Internet di patch o di service pack ossia di nuove versioni dei sistemi operativi e dei vari programmi applicativi.

Gestione password

I soggetti autorizzati ad accedere ai sistemi possono farlo se dotati di credenziali di autenticazione che consistono in un codice associato all’incaricato e una parola chiave riservata e segreta, conosciuta solamente dall’incaricato ovvero con l’utilizzo di smart card individuali. Il codice associato all’incaricato ossia lo user-id o user-name, una volta utilizzato, non può essere assegnato ad altri soggetti, neppure in tempi diversi.

Gli incaricati dovranno essere sensibilizzati ad adottare le necessarie cautele per assicurare la segretezza della parola chiave nonché la diligente custodia dei dispositivi in uso esclusivo dell’incaricato e a non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento (i sistemi, a tal fine, permettono di predisporre uno screen saver con richiesta di password).

La parola chiave deve essere composta da almeno otto caratteri ovvero, nel caso in cui lo strumento elettronico non lo permetta, in un numero di caratteri pari al massimo consentito dal sistema. Non deve contenere riferimenti riconducibili all’incaricato e deve essere modificata dall’incaricato stesso al primo utilizzo dello strumento elettronico e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili la parola chiave deve essere modificata ogni tre mesi.

Le credenziali di autenticazione non utilizzate dopo sei mesi dovranno essere disattivate.

Sicurezza archivi cartacei

Particolare importanza rivestono gli archivi cartacei soprattutto nei casi in cui, al loro interno, sono contenuti dai sensibili relativi ai dipendenti, informazioni concernenti procedimenti disciplinari, dati giudiziari relativi a partecipazioni a gare o informazioni connesse alle transazioni commerciali come ad esempio fatture o contratti.

Ai responsabili del trattamento dovranno essere impartite specifiche istruzioni per iscritto che prevedano la custodia di atti e documenti. L’accesso agli archivi contenenti dati sensibili o giudiziari può essere consentito anche dopo l’orario di chiusura ma deve essere controllato. E’ necessario, pertanto, adottare policy finalizzate alla gestione dei dati cartacei contenuti negli archivi. In tal caso è necessario che venga eseguito il controllo degli accessi dei lavoratori, preventivamente autorizzati, nei locali in cui sono custodite tali banche dati. Questa operazione può essere eseguita tramite l’installazione di un lettore badge che consenta il riconoscimento del soggetto autorizzato e ne permetta l’accesso.

Comunicazioni telefoniche e la riservatezza

L’art. 123 del Codice Privacy ha fissato a sei mesi il limite temporale per la conservazione dei dati di traffico telefonico per finalità di fatturazione, pagamenti in caso di interconnessione e di commercializzazione di servizi. E’ prevista, inoltre, la conservazione dei dati di traffico telefonico relativi ai servizi offerti per tutti i fornitori di servizi di comunicazione al fine di accertare e reprimere i reati.

Il fornitore sul quale incombe l’obbligo di conservare i dati di traffico ai sensi dell’articolo 132 del Codice è quello che mette a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione. Con il termine “servizi di comunicazione elettronica” devono intendersi quelli consistenti nella trasmissione di segnali su reti di comunicazioni elettroniche.

L’obbligo di conservazione riguarda i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, nonché i dati inerenti al traffico telematico, esclusi comunque i contenuti delle comunicazioni. In particolare, sono oggetto di conservazione i dati che i fornitori sottopongono a trattamento per la trasmissione della comunicazione o per la relativa fatturazione.

Allo scadere dei termini previsti dalle disposizioni vigenti i dati di traffico sono resi non disponibili per le elaborazioni dei sistemi informativi e le relative consultazioni. Dovranno essere cancellate o rese anonime anche le informazioni contenute in data base e nei supporti per la realizzazione di copie di sicurezza (backup e disaster recovery).

Sicurezza Ransomware e Cryptolocker

Posted on 6 Febbraio 2016 by

La MBLI S.a.S., da sempre attenta alle problematiche legate alla sicurezza da infezioni ed attacchi informatici, da oltre 90 giorni si è spesso imbattuta in richieste di intervento a seguito dell'infezione del famigerato virus Cryptolocker, della famiglia ransomware, ha pensato opportuno sviluppare una apposita offerta relativa alla messa in sicurezza (per quanto possibile), dei sistemi informatici, in modo da preservare i dati e risparmiare una notevole somma di denaro in caso di infezione.

La MBLI S.a.S, grazie alla partnership con la iRecovery, azienda specializzata nel recupero dei dati è in grado di recuperare/decriptare i dati corrotti dal Virus, con una percentuale molto vicina al 90% dei casi. Se nella eventualità che esistesse una variante non ancora individuata, i nostri tecnici effettuerebbero delle procedure per la ricerca dei nuovi algoritmi di decryptaggio.

L'offerta consiste nell'effettuare una analisi preventiva atta ad identificare e misurare il grado di sicurezza che ha la Vs. attuale rete, prendendo in considerazione gli elementi hardware (firewall, Switch, Server) e gli elementi software (firewall, antivirus, sistemi di lettura email e software).

Effettuata l'analisi verrà effettuata una relazione tecnica che permetterà di analizzare i costi ed i tempi per la messa in sicurezza dei Vs. preziosi dati, nonchè rassicurare i Vs. clienti che nulla accadrà ai dati che elaborate/archiviate per loro conto, come prevista dalla normativa sulla Privacy.

La MBLI S.a.S., ha inoltre sviluppato un Pacchetto Sicurezza, comprendente un dispositivio hardware e la nostra sicurezza, permette nella maggior parte dei casi di raggiungere un grado di sicurezza soddisfacente ad un costo parecchio interessante. L'offerta è disponbile sul nostro sito nell'area Brochure e Pubblicità oppure potete effettuare il download direttamente dal seguente Link: Offerta Sicurezza.

Non esitate a contattarci ai nostri recapiti o compilando il form, sarete ricontattati nel più breve tempo possibile.

ransomware, Ransomware,

CryptoLocker il ransomware

Posted on 6 Febbraio 2016 by

CryptoLocker assieme a Teslalocker e alle loro varianti del famigerato ransomware, il trojan che cripta i dati della vittima e richiede un pagamento per la decriptazione, continua a mietere vittime. In questi giorni, infatti, i nostri uffici sono stati contattati molteplici volte per il recupero dati dai loro hard disk bloccati dal potente virus.

Esiste la soluzione per CryptoLocker, CBT-Locker e CryptoWall? Nonostante le suite di sicurezza siano progettate per trovare tale minaccia, può capitare, infatti, che CryptoLocker non sia individuato del tutto, o solo dopo che la cifratura è iniziata o è stata completata, in specie se una nuova versione sconosciuta a un antivirus viene distribuita. Se un attacco è sospettato o è ai primi stadi, poiché è necessario un po’ di tempo perché sia completata la cifratura, la rimozione immediata del malware (un procedimento relativamente semplice) prima del completamento della cifratura può significativamente ridurre la perdita di dati.

Generalmente, CryptoLocker si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime, o viene caricato su un computer già facente parte di una botnet. Un file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione pdf, avvalendosi del fatto che i recenti sistemi Windows non mostrano di default le estensioni dei file (un file chiamato nomefile.pdf.exe sarà mostrato come nomefile.pdf nonostante sia un eseguibile). Alcune varianti del malware possono invece contenere il Trojan Zeus, che a sua volta, installa CryptoLocker.

Continua a Leggere→