- Home
- Categorie
- Impresa, Fisco e Leggi
- Leggi per le Professioni Web
- Log, quanto tenerli?
-
Log, quanto tenerli?
Salve a tutti,
pur avendo cercato a lungo su google, non sono riuscito a trovare quali sarebbero gli obblighi temporali di mantenimento
dei log di accesso di apache di un server web, mi ricordo che un po' di tempo fa c'era stata una richiesta di prolungamento fino a 5 anni ma alla fine mi sembra che non si sia fatto piu' nulla, c'e' nessuno che sa darmi il riferimento preciso della legge attuale?
Grazie
-
Non ci avevo mai pensato :-), sarebbe anche da sapere se i log sono obbligatori (alcuni hosting non li rilasciano neanche).
-
A quanto ne so i log sono obbligatori, il tuo hoster e' obbligato a rilasciarli all'autorita' giudiziaria ma non obbligatoriamente a chi vende il servizio (che cmq li puo' ricavare con relativa facilita'), mentre nel caso di housing di una propria macchina, come nel mio caso, sembrerebbe che sia esclusivamente di compentenza del proprietario del server.
-
Se non ricordo male è la legge Pisanu che regola questo aspetto. Riguarda l'obbligo di conservazione, tra l'altro, dei log dei server, obbligo per il quale non necessita alcuna autorizzazione (poichè è un trattamento previsto pe legge), e che comporta la conservazione dei log fino al 31/12/07, termine prorogato di un anno. L'obbligo si riferisce ai fornitori di rete.
L'originario termine (codice della privay) di conservazione dei dati era di 6+6 mesi,cioè un anno.
-
Ciao BS,
Se ho una macchina in farming, il log lo tiene lo stesso il "fornitore della banda" o devo tenerlo io?
-
Uhm... cosa è il farming ?
-
Una server farm, in pratica ci sta un mio computer connesso direttamente alla rete internet presso il provider.
-
Quindi tu non fornisci alcun accesso ad internet a terzi, se non ho capito male, per cui l'obbligo non ti riguarda.
-
@bsaett said:
Quindi tu non fornisci alcun accesso ad internet a terzi, se non ho capito male, per cui l'obbligo non ti riguarda.
Non e' solo l'accesso ad internet ad aver obbligo di log, l'esempio piu' classico e' proprio un forum, tutti i messaggi sono registrati con tanto di IP perche' il titolare deve cmq riuscire a fornire all'autorita' giudiziaria un esatto riferimento di chi l'ha inviato, o sbaglio????
-
La legislazione in materia è estremamente caotica e in continua evoluzione, per cui potrei sbagliarmi, ma non esiste un obbligo del genere. Anzi la raccolta e la conservazione di dati tali da identificare gli utenti che visitano un forum (parliamo di identificazione fisica) comportano problemi di privacy. In sostanza sarebbe necessario ottenere particolari autorizzazioni.
In genere nei forum ci si limita a tenere l'IP per lo stretto tempo necessario legato ad un nick e nulla più. Ovviamente è necessaria l'informativa per la privacy.
-
Che sia caotica ti do perfettamente ragione ma io non ho parlato di identificazione fisica ma di IP, l'IP pur essendo un numero univoco (ma anche qui ci sarebbe da discuture, vedi ad esempio l'utenza fastweb) non permette una sicura identificazione fisica dell'utente, solo l'autorita' giudiziaria puo' risalire da un IP ad un nome reale, non di certo il gestore di un sito
Riguardo gli IP tutti i motori di forum di questo mondo tengono gli IP loggati per ogni messaggio e non li cancellano di certo, anche il VBulletin usato gli su GT ed il motivo lo ripeto e' quello di permettere una eventuale identificazione di chi ha inviato il messaggio.
-
Pur precisando che in questa specifica materia non ho certezze, per quello che so l'identificazione delle persone avviene tramite i log del provider o dell'hosting, non certo tramite gli IP del forum.
Sempre per quello che so, non mi risulta esista un obbligo per forum e siti web di mantenere IP ai fini dell'identificazione delle persone. In genere il mantenimento di IP e altri dati avviene per fini relativi al funzionamento del forum (per consentire l'erogazione di servizi, per motivi statistici, ecc....) e non per altro (altrimenti sarebbe necessaria l'autorizzazione del Garante e il rispetto degli obblighi che specifico qui sotto).Sempre per quello che mi risulta, la nuova regolamentazione, che dovrebbe partire dal 31 ottobre 2008, impone l'obbligo di conservazione dei dati di traffico per 4 anni (8 per la telefonia), ma sarebbero esclusi da questo obbligo i webmaster (i webmaster che diffondono contenuti invece sarebbero ricompresi, ma non so dirvi che vuol dire "diffondono contenuti", probabilmente, si riferisce a servizi assimilabili alla stampa periodica).
Il problema è che a fronte di un obbligo di conservazione di questo tipo di dati, ci sono degli oneri notevoli (e dispendiosi), in base ai quali la raccolta e conservazione di questo tipo di dati deve farsi su server installati in locali chiusi con accesso contingentato (e registrato), con sistemi con credenziali di autenticazione, sistemi di cifratura ed auditing, e cosette del genere.
Credo che tutto ciò non sia nemmeno possibile chiederlo al gestore di un forum.
-
Con i log di macchina ci fai poco se non hai un riscontro preciso, i log sono una immensa lista di numeri e pagine richiamate, possono essere utili per capire se qualcuno ha tentato di fare qualcosa sul server ma di certo non permettono di identificare una precisa azione nel caso di un utente del forum, ovvero dai log io posso sapere che un dato IP si e' collegato al sito, ha richiamato delle pagine, ha usato delle funzioni, se la polizia postale mi chiede di indentificare chi ha inviato un post diffamatorio sul forum (tanto per fare un esempio) con i log di macchina non ci faccio praticamente nulla.
Per questo motivo tutti i forum tengono traccia degli IP di ogni messaggio inviato, proprio per fornire una precisa identificazione, ed e' una funzione standar del motore.Preciso cmq che l'IP identifica l'utente, ma dall'IP io gestore del forum non posso sapere chi realmente si cela dietro quel numero, solo chi fornisce il servizio di connessione puo' farlo ed infatti gli standard di sicurezza si riferiscono alle societa' di comunicazione non di certo ad un forum, ad esempio se qualcuno rubasse il DB di un forum, sarebbe piu' grave il fatto che abbia una lista di IP o di email?
Altri esempi, all'interno di un email trovi l'IP di chi te l'ha inviata oppure su ogni pagina di wikipedia trovi l'elenco di chi l'ha modificata, ma non per questo ci sia bisogno di che tu abbia elevati standard di sicurezza.
-
Salve posso consigliarvi di leggere quanto riportato in questo link:
