▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

IETF: il GDPR tocca chiunque abbia un server connesso a Internet

L'IETF ha pubblicato alcune nuove raccomandazioni sulla gestione dei file di log in vista dell'entrata in vigore definitiva del GDPR

Sicurezza
Molte imprese ritengono che il GDPR sia una norma destinata principalmente alle grandi realtà che gestiscono con regolarità molti dati legati ai loro utenti. In realtà la norma è volutamente "di manica larga" nel definire cosa sia un dato personale, tanto che l'Internet Engineering Task Force (IETF) ha pensato bene di pubblicare un documento in cui ricorda che anche un indirizzo IP è qualificabile come dato personale e quindi non va più gestito come accaduto sinora.

Il messaggio dell'IETF è, in pratica, rivolto a tutti coloro che gestiscono un sito o un servizio a cui collegarsi via Internet. Si concentra sulla gestione dei file di log ma è anche una buona opportunità per ripensare in generale la gestione della privacy da parte del proprio sito web.

Secondo l'IETF le nuove norme collegate alla privacy - il GDPR, ma non solo - hanno trasformato in "poor practice" quelle che in precedenza erano best practice nella gestione delle informazioni. Oggi qualsiasi tipo di transazione online, anche semplicemente collegarsi a una pagina web, dà origine a una qualche gestione di dati personali. Per proteggere meglio la privacy dei navigatori, in particolare, chi gestisce server connessi a Internet dovrebbe seguire nuove procedure.
google webNello specifico chi cura il sito o servizio dovrebbe conservare l'indirizzo IP di chi si collega al suo server solo per il lasso di tempo necessario a fornire il servizio richiesto dall'utente. Inoltre non dovrebbe conservare nei file di log tutto l'indirizzo IP ma solo i primi 16 bit (24 per gli indirizzi IPv6), ponendo gli altri a zero. In generale, non dovrebbe conservare gli indirizzi IP legati al traffico in entrata per più di tre giorni (per coprire il weekend, in cui un'azienda è chiusa e quindi non interviene sul sito). Queste raccomandazioni servono a rispettare il principio di "data minimization" previsto dal GDPR.

L'IETF raccomanda inoltre di non conservare nei file di log elementi di identificazione diversi dall'indirizzo IP e di implementare meccanismi adeguati di controllo per quanto riguarda l'accesso ai file di log stessi. Deve insomma tracciare chi accede ai log, quando e per quale ragione. Le deviazioni da queste raccomandazioni, spiega l'iETF, dovrebbero essere "attentamente documentate e comunicate agli utenti".
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Reportage

Red Hat Summit Connect 2024

Reportage

WPC 2024

Speciale

Speciale Data Center

Speciale

Speciale Hybrid Working

Reportage

Cybertech Europe 2024

Calendario Tutto

Gen 23
Nutanix Cloud Day Roadshow - Bari

Magazine Tutti i numeri

ImpresaCity Magazine


Leggi il Magazine

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter