[security] Consegna Worm al fornitore?

[S.Lo Turco]

damnews a libero.it ha scritto  il 11/05/04 14.11:

>Ciao a tutti...
>avrei un problema del quale spero di avere una risposta o un consiglio da parte dei partecipanti alla lista.
>
>Mi occupo di Internal Auditing all'interno di una società finanziaria. 
>Per le copie e salvataggi dei dati vengono utilizzate in alcuni casi dei nastri cosiddetti "WORM", i quali proprio a detta del responsabile del CED hanno dei problemi tecnici. Il fornitore afferma che per capire quali siano effettivamente questi problemi e per risolverli deve poter prendere tali cassette e portarle nella sua azienda dove ha dellemacchine specifiche di ausilio alla risoluzione di tali problemi.
>I dati che ci sono su queste cassette sono sconosciuti anche al responsabile del CED, ma presumibilmente sono dati finanziari dei nostri clienti.
>
>Come Internal Auditor sono stato interpellato in merito per sapere se tali nastri possono essereconsegnati al fornitore o meno...
>qualcuno sa quali possono essere gli eventuali problemi? naturalmente il fornitore è stato nominato responsabile ai sensi della 196/03. 
>
>Ciao e graziemille
>Dam
>
>_______________________________________________
>security mailing list
>security a itlists.org
>http://itlists.org/mailman/listinfo/security
>
>  
>
intanto devi sapere il contenuto perche se ci sono dati sensibili le 
cose sono drasticamente diverse.
il fatto che il fornitore sia stato nominato responsabile del 
trattamento non giustifica nulla, lui deve comunque essere nominato 
incaricato.
ovviamente nel caso sia resp, la nomina degli incaricati la fa lui.
il sistema di iscurezza deve essere conosciuto al titolare quindi 
intergato con il dps aziendale, altrimenti sarebbe il fornitore un 
titolare o contitolare di trattamento.

in ogni caso per adempiere al compito devono essere attivate le nomre di 
sicurezza che avete previso peri trattamenti del caso e il fornitore 
deve attenesi a tali norme.
se tutto questo esiste è possibile farlo operare .

s. lo turco