Password e Privacy
Dal 1/01/2004 è entrato in vigore il D.Lgs 196/2003 relativo alla privacy
e al trattamento dei dati personali che prevede una serie di adempimenti a partire
dall'adeguamento alle "Misure minime di sicurezza", già in
vigore alla stesura del DPS "Documento Programmatico sulla sicurezza"
che dovrà essere approntato entro il 31/12/2004.
Anche gli alberghi, data la loro
attività di registrazione delle anagrafiche dei clienti, rientrano fra
i soggetti che sono tenuti ad adeguarsi alle nuove disposizioni.
Per rispondere a queste nuove esigenze, la nostra società ha sviluppato
una serie di prodotti e servizi che mette a disposizione dei propri clienti:
- il modulo di Sys-Hotel: "Password Privacy";
- l'adeguamento e la configurazione degli accessi sul sistema operativo utilizzato;
- il sistema di protezione per la navigazione in Internet.
- Protezione dei dati e degli accessi al sys-hotel
A. Password Privacy: il sistema di autorizzazione con il profilo utente
(artt. 12, 13, 14 disciplinare tecnico)
Ogni operatore viene riconosciuto con una chiave di Accesso personale che dovrà
indicare attraverso la tastiera al richiamo del menu generale della procedura.
Ogni operatore viene identificato nella procedura con:
- sigla operatore (obbligatoria)
- password di menu (obbligatoria per accedere in modo personalizzato ai programmi
della procedura)
- password di operazione (opzionale, per accedere a particolari funzioni della
procedura, quali: registrazione addebiti, emissione conti, ecc.)
Ogni operatore può variare autonomamente la propria "password"
(art. 5-all.to B disciplinare tecnico).
Gli accessi al sistema da parte dei singoli operatori possono essere visionati
in uno specifico "Giornale di fondo" (Journal), dove sono presenti:
data, ora, codice operatore, programma chiamato e tipo di accesso.
Questo modulo è il livello minimo richiesto che si consiglia di integrare
con il punto B.
B. Password Privacy: il sistema di autorizzazione per l'accesso
a singole funzioni e programmi in base alle mansioni dell'operatore (release
5.2 o superiori)
(artt. 12, 13, 14 disciplinare tecnico)
Con questo modulo, è possibile
implementare il profilo del singolo operatore in base alla mansione assegnata
in quanto si agisce a livello di esecuzione di una particolare funzione del
programma: inserimento, variazione, eliminazione dati. Per esempio: un operatore
può essere autorizzato a leggere le prenotazioni ed effettuare il check-in
ma non a registrare le prenotazioni oppure integrare il conto e non a emetterlo
e incassarlo.
Viene migliorato il livello di sicurezza sia nei confronti della legge che
organizzativamente.
In particolare, per accedere al programma o alla funzione desiderata, può
essere definito uno dei seguenti criteri:
- richiesta di una password definita dalla Direzione dell'albergo e memorizzata
in una tabella protetta;
- richiesta del codice operatore e della password associata all'operatore;
- richiesta di una password oraria, che dovrà essere fornita dalla Sysdat
Delos Spa, valevole per un solo accesso.
2. Sistema di autentificazione informatica
(artt. da 1 a 11 disciplinare tecnico)
Il sistema informativo, i programmi e gli archivi con i dati dei clienti, devono
essere protetti per evitare l'accesso alla memoria dove essi risiedono da parte
di operatori non abilitati al trattamento.
Si tratta di una protezione di carattere sistemistico che può essere
differente in base ai sistemi operativi installati sui PC della rete.
A. Per i sistemi Linux e Unix presenti sui "Server" della rete:
- creazione di un "account" per ogni utente con richiesta di "password"
per ogni operazione di accesso al sistema;
- adeguamento del sistema operativo alla versione più recente qualora
la versione installata non rispetti i requisiti della legge 196/2003.
B. Per i sistemi Windows presenti sui PC della rete:
- creazione di un "account" per ogni utente con richiesta di "password"
per ogni operazione di accesso al sistema;
- eventuale aggiornamento del sistema operativo alla versione Windows 2000 o
XP Professional qualora non sussistano i requisiti di sicurezza previsti dalla
legge 196/2003.
3. Sistema di autentificazione informatica di sys-hotel mediante "badge"
magnetico (art. 2 disciplinare tecnico)
L'autentificazione e l'identificazione degli incaricati al trattamento dei
dati personali viene effettuato mediante una tessera magnetica che l'operatore
dovrà strisciare in sostituzione della digitazione della password da
tastiera.
Per questa particolare operazione viene prevista l'adozione di una particolare
tastiera, che incorpora il lettore magnetico delle tessere.
E' il più alto livello di sicurezza perché identifica in modo
inequivocabile chi ha avuto accesso ai dati evidenziandone l'eventuale responsabilità.
4. Sistema di protezione area Internet
Nell'ambito del sistema informativo, l'accesso da parte di uno o più
PC alla "navigazione" in Internet mette a repentaglio il sistema stesso
per la possibile intrusione da parte di persone non autorizzate.
Per adeguare il sistema informativo secondo il D.Lgs 196/2003 devono essere
attuati i seguenti provvedimenti:
- installare un "Antivirus" per ogni PC della rete dotato di sistema
operativo Windows;
- installare un "firewall" di tipo hardware o di tipo software per
la protezione dei PC collegati a Internet (per tutti i tipi di connessione:
analogico, ISDN, ADSL, HDSL, ecc.);
- attivare uno o più software anti-intrusione.
Le misure previste dalla legge hanno lo scopo di garantire che i dati personali:
- siano trattati solo da chi è in regola con i principi dell'informativa
e del Consenso;
- non siano accessibili a soggetti non autorizzati al loro trattamento;
- siano protetti da intrusioni da parte di terzi sul sistema informatico aziendale.
