Windows XP Professional obbligatorio?

[RunDLL]

Ciao a tutti e grazie per leggere il mio quesito: ho sentito dire che a fine anno, immagino per la legge sulla privacy che obbligherà ogni azienda a tracciare tutti i dati sensibili ed ad allegarli con la dichiarazione dei redditi, sarà obbligatorio ad avere installato Windows XP Professional invece dell'Home Edition. Qualcuno ne sa qualcosa e mi sa dirne il motivo di perchè Windows Home non va bene? Grazie e tanti saluti.

[hydra]

Perchè tale legge prevede che in un'azienda sia installato un dominio e l'home edition non permette di fare il join sul domnio.

[piercing]

Perchè tale legge prevede che in un'azienda sia installato un dominio

sicuro??? puoi incollare l'estratto che lo prevede?

[hydra]

Perchè tale legge prevede che in un'azienda sia installato un dominio

sicuro??? puoi incollare l'estratto che lo prevede?

Mi sembra, non l'ho controllato prima di postare, ma mi sembra di ricordare che sia così. Cmq sempre per la legge sulla privacy mi sembra di si (il gruppo di lavoro non offre le garanzie sulla privacy che offre il dominio e nella nostra azienda ci hanno sbattuto un po' con la storia degli utenti, degli accessi alle cartelle ecc.) E questa mi sembra l'ipotesi più plausibile perchè l'he non possa essere utilizzato in azienda.

[piercing]

non credo proprio che per legge ti possano obbligare ad usare un sistema operativo microsoft... non credi?

non conosco il supporto agli utenti di XPHE, ma sempre un NT è....

io ho una struttura di rete senza dominio ad esempio in ufficio... vuoi provare ad entrare ?

[kadosh]

Non scherziamo su queste cose...sto cercando qualche riscontro nei vari testi ma non ho trovato nulla fino ad ora...

[RunDLL]

non credo proprio che per legge ti possano obbligare ad usare un sistema operativo microsoft... non credi?

Penso non sia tanto un'obbligo a sistemi operativi Microsoft ma nel caso che tu decidessi di installare un Windows tu debba obbligatoriamente installare XP Professional. Stamattina ho richiesto ad un mio fornitore hardware che mi ha riconfermato che la legge obbliga ad installare Windows XP Professinal oltre ad antivirus, firewall sembrerebbe addirittura hardware per forza, sistemi di sorveglianza quali antifurti e telecamere, armadietti a chiave e addirrittura dove si trovano i dati è vietato far entrare chiunque. Ovviamente tutto questo per aziende ed enti.

[piercing]

kad.... che c'è di vero?

ovvio che il fornitore ti dica questo... non mi stupisce affatto...

[kadosh]

Chiariamo le cose: non c'è nessuno stralcio del decreto legge 196/2003 che alluda a quale sistema operativo debba essere adottato dalle aziende e quale no...NESSUN RIFERIMENTO. La legge lascia ampissimo spazio data l'enorme concorrenza presente sul mercato informatico mondiale. Chiunque asserisca il contrario o lo prova con documenti incontrovertibili (ma ne dubito seriamente dato che mi son riletto l'intero decreto cercando allusioni lontane ma NULLA DI NULLA è presente), oppure mente per trar vantaggio dall'azione.

Come scrissi nel Topic del DPS (trovatevelo ) esistono 8 punti fondamentali nel decreto:

Autenticazione
Password
Autorizzazioni
Aggiornamenti
Backup
Cifratura
Supporti
Disaster Recovery

Il resto...chiacchiere da bar...

[RunDLL]

La legge, come è noto, va interpretata, tanto è vero che i magistrati la applicano secondo le loro interpretazioni. Il legislatore potrebbe intendere per "garantire le misure minime di sicurezza" come "rete sotto dominio", una rete senza dominio potrebbe non rispettare le misure minime e qui ecco che entra in gioco obbligatoriamente Windows XP rigorosamente Professional, ripeto per chi decidesse di utilizzare OS Microsoft. Non sto dicendo che è obbligatorio un sistema operativo Microsoft ma qualora si optasse per la casa di Redmond allora bisogna scegliere per forza XP Professional. Daltronde la legge esprime chiaramente anche che bisogna impostare acessori fisici per la protezione dei dati quali allarmi, antifurti, armadietti con chiave ed IGNIFUGHI, gruppi di continuità ed i dati devono essere conservati in un luogo dove non può accedere nessuno tranne i responsabili dichiarati nel documento programmatico. E nei software obbliga ad adottare misure antiintrusione quali antivirus e firewall.

[kadosh]

Run...guarda...se riesci a dimostrare che Win XP Home Edition non è sicuro quanto il Pro ti offro una cena

Forse non hai idea delle implicazioni che hai fatto con le tue affermazioni, ma nessuna legge può impedire il libero arbitrio della scelta di un sistema piuttosto che un altro.
Dunque Win XP Home non potrebbe essere usato mentre Win 98 SE sì perchè può essere messo a dominio, o addirittura il 95 2°?

Gli 8 punti da me sopracitati si possono applicare a Win XP Home senza nessuna restrizione o problema, il far parte di un dominio non implica di certo maggior sicurezza perchè un dominio non è affatto sinonimo di sicurezza, ma solo di usabilità, scalabilità e affidabilità, nulla in più.

La sicurezza non parte dai software che usi per garantirla....ma semplicementi dai metodi che adotti su qualsiasi software usi, rendendoli atti a mantenere gli standard minimi imposti dalle autorità. E stai pur certo che XP Home li mantiene a pieno titolo

[hydra]

Il 98 non può essere usato (per legge) perchè appunto non conforme alle esigenze sulla privacy. Quello che dico io è che appunto la legge prevede che si adottino misure particolari (firewall hardware, antivirus ecc..) e mi sembra appunto che dica di adottare la struttura a dominio. L'HE non ho mai detto che non sia sicuro e/o valido, solamente che non da la possibilità di fare il join sul dominio (infatti HE = edizione per la casa, e solitamente a casa non c'è il dominio......). In questo senso un'azienda che intenda adottare windows come SO dovrebbe appunto adottare W2k e XP Professional. Nel caso del workgroup non intendo forzarlo dall'esterno (ci sono i firewall apposta, no?), io intendo solamente il modo in cui i dati sulla lan sono trattati. La legge appunto mi sembra (vado a memoria perchè ora non l'ho sottomano e non mi ricordo bene...) che preveda che gli utenti che utilizzano i pc della rete siano autenticati e che abbiano diritti di accesso solo a determinate cartelle (logicamente un addetto al magazzino non può e non deve avere accesso alle cartelle dell'amministrativo e così via...)
Che poi uno decida di utilizzare linux come sistema non fa differenza, gli accorgimenti sono gli stessi.

[hydra]

Inoltre

Art. 34
(Trattamenti con strumenti elettronici)

1. Il trattamento di dati personali effettuato con strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilita' dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitart.

Fonte

Già dai punti a) e b) si intuisce che deve essere installato un dominio (anche se non è scritto palesemente): infatti caratteristiche del dominio sono (tra le tante)

[hydra]

ALLEGATO B

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA
(Artt. da 33 a 36 del codice)

Trattamenti con strumenti elettronici

Modalita' tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici:

Sistema di autenticazione informatica

1. Il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

3. Ad ogni incaricato sono assegnate o associate individualmente una o piu' credenziali per l'autenticazione.

4. Con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.

5. La parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi.

6. Il codice per l'identificazione, laddove utilizzato, non puo' essere assegnato ad altri incaricati, neppure in tempi diversi.

7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.

8. Le credenziali sono disattivate anche in caso di perdita della qualita' che consente all'incaricato l'accesso ai dati personali.

9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.

10. Quando l'accesso ai dati e agli strumenti elettronici e' consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita' con le quali il titolare puo' assicurare la disponibilita' di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali e' organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.

11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

Sistema di autorizzazione

12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e' utilizzato un sistema di autorizzazione.

13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.

14. Periodicamente, e comunque almeno annualmente, e' verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Fonte

[pjfry]

Il 98 non può essere usato (per legge) perchè appunto non conforme alle esigenze sulla privacy. ....
....
. La legge appunto mi sembra (vado a memoria perchè ora non l'ho sottomano e non mi ricordo bene...) che preveda che gli utenti che utilizzano i pc della rete siano autenticati e che abbiano diritti di accesso solo a determinate cartelle (logicamente un addetto al magazzino non può e non deve avere accesso alle cartelle dell'amministrativo e così via...)
Che poi uno decida di utilizzare linux come sistema non fa differenza, gli accorgimenti sono gli stessi.

il 98 non supporta ntfs, questo è il problema... se HE lo supporta tutto quello che dici può essere fatto anche in un workgroup, solo che se i pc in rete sono + di 10 l'amministratore impazzisce

[12]

quindi winzoz 98, siccome non è conforme alle leggi sulla privacy, nelle aziende, non può essere installato su nessun computer?

[hydra]

Esatto, il 98 è stato dischiarato non conforme e qundi non è ammesso averlo installato (pensa che al logon basta che tu schiacci esc per accedere al sistema, mentre l'accesso deve essere consentito solo ad un utente registrato...)

Per il discorso del workgroup e del dominio, la legge dice esplicitamente che è necessaria un'autenticazione

a) autenticazione informatica;

Nel workgroup c'è un'autenticazione a livello macchina e non a livello di rete. Se io creo un utente qualsiasi posso accedere alla rete del workgroup, mentre gli utenti definiti a livello di dominio sono salvati sul server e richiedono l'autenticazione per accedere alle risorse di rete. Cmq sul testo della legge non ho trovato riferimenti in merito a non poter utilizzare l'HE.

[pjfry]

Se io creo un utente qualsiasi posso accedere alla rete del workgroup, mentre gli utenti definiti a livello di dominio sono salvati sul server e richiedono l'autenticazione per accedere alle risorse di rete.

se l'utente non è presente con dei diritti anche negli altri pc però non riesci ad accedere ai loro dati

[12]

thx hydra, molto gentile come al solito!

e se la finanza ti fa un controllo può rompere le p***e?? se si in che misura?

[piercing]

hydra.... continuo a non essere d'accordo...

da nessuna parte leggo scritto "dominio"...

tra dominio e autenticazione ci passa un mare...