Premetto di non essere una programmatrice, quindi qualche punto potrebbe anche essere palese o banale, ma ci tengo a precisarlo affinchè il prodotto possa essere maggiormente conforme alle richieste.

Ho bisogno di un programma che:

- possa monitorare l'accesso di qualsiasi utente (multiaccount su macchina stand alone o account su rete windows) ad una cartella specifica (ad es. cartella PRIVACY);

- le informazioni (ovvero i campi) salienti sono: Utente, Computer, File (della cartella specifica), Lettura o Modifica, Data e Ora;

- esegua quotidianamente il log di queste informazioni in un file (possibilmente crittografato: specificare i bit);

- dovrà fornire una MASCHERA di controllo, accedibile solo ad un preciso utente predefinito (non necessariamente l'amministratore), attraverso la quale sarà possibile monitorare i dati (possibilmente l'analisi dovrebbe poter essere fatta anche in remoto);

- la maschera dovrà avere un aspetto Windows like, ovvero graficamente simile allo stile di Windows Xp:

- la maschera dovrà contenere una casella di Assistenza remota che se spuntata abilita al monitoraggio in remoto temporaneo;

- i dati dovranno essere ordinabili alfabeticamente (A to Z - 0 to 9 e Z to A 9 to 0) per ciascuno dei campi salienti, dovrà inoltre essere possibile fare una ricerca incrociata fino a 3 chiavi (ovvero campi di selezione);

- l'output della ricerca dovrà essere stampabile;

- il programma dovrà inoltre impedire che altri utenti o altri programmi possano accedere, modificare o cancellare il programma stesso, il file log che il programma genera, la cartella specifica (ad es. PRIVACY) ed i file che tale cartella contiene;

- giri indifferentemente sia su macchina stand alone, che su rete, ovvero possa essere implementata come application server su piattaforma Windows;

- al primo lancio (installazione), il programma chiederà:
a) cartella da monitorare;
b) utente abilitato al monitoraggio;
c) assegnerà User ID e pw temporanea.

- al secondo lancio (accesso alla maschera), l'utente DOVRA' modificare Uid e PW che rimarranno definitivi;

- ai lanci successivi (accesso alla maschera) dovranno essere inseriti User id e pw inserite dall'utente nella fase precedente;

- dovrà avere un sistema antipirateria. Un tecnico lo installerà on site, senza lasciare il supporto originale di installazione. Il software se copiato integralmente dalla macchina sulla quale è stato installato non dovrà funzionare su altra macchina.

- il programma sarà in due versioni:
Light: monitoraggio di una sola cartella;
Full: monitoraggio di tutte le cartelle.

A grandi linee credo sia tutto, riservandomi di aggiungere piccole modifiche in caso di assoluta necessità, e comunque non dopo l'assegnazione del progetto.

Eventuali bug dovranno essere sollecitamente corretti dal programmatore non oltre i 5 gg lavorativi dalla segnalazione.

Chiunque sia interessato può comunicarmi:
- il costo per i sorgenti del progetto menzionato oppure
- il costo a licenza del progetto menzionato.


Grazie a tutti per l'attenzione, ciao.


:sofico:

Un paio di precisazioni.

In questo momento non chiedo assolutamente codice o parti di programma, ma semplicemente:

1) la stima da parte del programmatore dei tempi e dei costi per il lavoro menzionato;

2) uno schema che illustri le funzionalità del programma (HOW TO... ovviamente in italiano o, al limite, work flow. Non una sola riga di codice per capirci);

3) eventuali migliorie funzionali previste dal programmatore.


Una volta acquisiti i progetti, commissionerò ad un solo utente (che nominerò pubblicamente), lo sviluppo del programma.

Veniamo al dunque: PAGAMENTO.

Il pagamento avverrà come descritto, nelle modalità preferite dal programmatore (assegno, vaglia, o altro):

10% nel momento in cui commissionerò il lavoro;
30% quando mi verrà consegnata la prima beta funzionante;
60% (saldo) quando il programma sarà ultimato ovvero sarà consegnata la versione finale perfettamente funzionanate.


P.s. pregherei le persone eventulamente interessate di comunicarmelo: basta un messaggino su questo trade.
Grazie

N.b. qualsiasi richiesta, commento o chiarimento gradirei avvenisse tramite forum per ovvi motivi di trasparenza.

Originariamente inviato da ValeriaVitolo
30% quando verrà consegnata a me e ad un moderatore del forum la prima beta funzionante;
60% (saldo) quando il programma sarà ultimato ovvero sarà consegnata la versione finale perfettamente funzionanate a me e ad un moderatore del forum.

Non vedo cosa c'entri il forum... Prendii i tuoi accordi privati e via...

Chiedo scusa se ho coinvoloto i moderatori.

Cercavo solo una figura super partes.


Modifico il post.

P.s. cmq non credo che la qualità di moderatore possa autorizzare chicchessia ad avere un atteggiamento linguistico così presuntuoso e prevaricante. Il forum è di tutti e non dei moderatori credo.
Delusa.

Originariamente inviato da ValeriaVitolo
Chiedo scusa se ho coinvoloto i moderatori.

Cercavo solo una figura super partes.


Modifico il post.

P.s. cmq non credo che la qualità di moderatore possa autorizzare chicchessia ad avere un atteggiamento linguistico così presuntuoso e prevaricante. Il forum è di tutti e non dei moderatori credo.
Delusa.



nn capisco cosa c entrino i moderatori... scusa ma nn è un programma per te e/o la tua azienda?

Originariamente inviato da ValeriaVitolo
P.s. cmq non credo che la qualità di moderatore possa autorizzare chicchessia ad avere un atteggiamento linguistico così presuntuoso e prevaricante. Il forum è di tutti e non dei moderatori credo.
Delusa.

:eek: :eekk:

Scusa, ma dai di matto? Penso che il buon cionci (che vedo rinuncia a risponderti :asd: ) intenda dire che puoi condurre trattative private SUL forum (vedi tasto pvt) senza che necessariamente tutti sappiano quanto offri!
Deluso.

Originariamente inviato da ValeriaVitolo
P.s. cmq non credo che la qualità di moderatore possa autorizzare chicchessia ad avere un atteggiamento linguistico così presuntuoso e prevaricante. Il forum è di tutti e non dei moderatori credo.
Delusa.
Mmmmhhh...presuntuoso e prevaricante ? Sinceramente non mi sembra:boh:

E non vedo nemmeno il bisogno di una figura super partes... Per "accordi privati" intendevo un contratto o un incarico ufficiale che tu dai al programmatore...

Sappi che comunque il lavoro del programmatore non finisce quando il progetto è stato consegnato ai tuoi clienti...un progetto del genere è soggetto a mesi di sviluppo post consegna...

Probabilmente ho interpretato male....

Questione chiusa.

Byez.

Le persono di questo forum so brave solo a scrivere una mezza routine....

e a fare polemica! :p

Se è davvero importante per te rivolgiti altrove, magari contatta una vera software house.
Il programma che chiedi non è semplice, e richiede supporto....

Fossi in te non perderei più tempo....

Una parentesi per il mod.: quel ".... e via...." potevi rispamiartelo.

:oink:

parli per esperienza diretta o per dare aria alla bocca?

a me puzza tanto di clone.... 2 messaggi e già si fa il gradasso....

Originariamente inviato da FLASHCODE
Una parentesi per il mod.: quel ".... e via...." potevi rispamiartelo.

:oink:
Ma dovete fare la parafrasi di ogni mia parola ?!?!? Se vuoi ti spiego anche quella parte della frase... Prendi i tuoi accordi privati e "poi sei a posto"... Ok ? Va bene così ?

Mi piacerebbe vedere cosa sai fare te... In questo forum ci sono persone che possono dare filo da torcere a qualsiasi programmatore di qualsiasi software house...se poi pensi che non ci siano persone valide perchè lo frequenti ?!?!?

Io ho parlato privatamento con ValeriaVitolo...

infatti le ho detto che non è corretto postare sul forum queste cose...

concordo con cionci... il forum (soprattutto questa sezione) ha ben altri obiettivi!

Se ho postato in questo forum è semplicemente perchè, dato il livello tecnico complessivo di HWUPGRADE, sono convinta sia frequentato da programmatori capaci.

E' pur vero che nessuno ha manifestato interesse: ma questo non significa certo incapacità!
Con mio estremo rammarico se entro domenica non riceverò almeno una dichiarazione di interesse non posterò più in questo trade.

..... la mia vita è fatta di sogni che svaniscono purtroppo....
ma non demordo.

Ciao a tutti e grazie per i consigli.



P.s. Questo trade serve per altri scopi...., e non certo quello di voler interpretare a tutti i costi una frase di un mod o di un utente.... QUESTIONE CHIUSA grazie.

Per me l'offerta di lavoro fine a se stessa va benissimo postarla...nessun problema...

Mi impiccio visto che il thread è in bella mostra...
E' consapevole che utilizzare un programma simile è contro la legge sulla privacy ?

Cmq sia esistono programmi (credo anche free) tipo FolderGuard o roba simile che impediscono l'uso di cartelle, cd rom o altro...

Originariamente inviato da massimo78
Mi impiccio visto che il thread è in bella mostra...
E' consapevole che utilizzare un programma simile è contro la legge sulla privacy ?

Non necessariamente...

Originariamente inviato da ilsensine
Non necessariamente...

beh in teoria quando lavori in un azienda non sono tenuti neppure a leggere i logfiles del proxy (per la navigazione) vengono archiviati e nessuno senza una magistratura può leggerli...

che poi in italy fanno tutti come vogliono è diverso, però obbiettivamente non so tu... io non lo farei per principio un programma simile...

Moooolto interessante......

Quasi quasi.... :D :D :D :D :D :D

http://www.winability.com/folderguard/




P.s. per quanto concerne la privacy....
Leggere, modificare o cancellare un file non rientra nei diritti tutelati da tale legge.
Navigare su internet lo è giacchè si potrebbero evincere informazioni sensibili: abitudini sessuali, credo, ecc.

Ciao.

Originariamente inviato da ValeriaVitolo
Moooolto interessante......

Quasi quasi.... :D :D :D :D :D :D



http://www.winability.com/folderguard/

secodno me la cosa migliore è "cercare su google" o su tucows prima di partire col custom ;)

FolderGuard ti impedisce di leggere nella cartella... eticamente la trovo una soluzione migliore.

Originariamente inviato da massimo78
beh in teoria quando lavori in un azienda non sono tenuti neppure a leggere i logfiles del proxy (per la navigazione) vengono archiviati e nessuno senza una magistratura può leggerli...

che poi in italy fanno tutti come vogliono è diverso, però obbiettivamente non so tu... io non lo farei per principio un programma simile...
Le mail aziendali possono essere controllate ad esempio, previo avvertimento dei dipendenti.
Monitorare l'accesso a una cartella riservata interna mi sembra ragionevole.

Originariamente inviato da ValeriaVitolo
P.s. per quanto concerne la privacy....
Leggere, modificare o cancellare un file non rientra nei diritti tutelati da tale legge.
Navigare su internet lo è giacchè si potrebbero evincere informazioni sensibili: abitudini sessuali, credo, ecc.

Ciao.

Eh no perchè se tu metti una cartella in cui l'utente x non ha accesso (magari dentro ci sono documenti/mail private tue) e lui viola l'accesso.. è lui ad aver violato la privacy.

Un altro conto è tenere una cartella senza alcuna protezione, ma loggando cio che lui fa sulla macchina, e andare a farsi gli affari suoi... questo è differente...

pensa che da quando è cambiata la legge sulla privacy (mi sembra dall'anno passato) è vietato anche l'uso di programmi come PCAnywhere o Terminali remoti su macchine non esclusivamente private... (esempio macchine statali o aziendali in cui sono soggette a multiutenza).

Originariamente inviato da ilsensine
Le mail aziendali possono essere controllate ad esempio, previo avvertimento dei dipendenti.
Monitorare l'accesso a una cartella riservata interna mi sembra ragionevole.

in teoria le mail non è così scontato che sia possibile leggerle...
cmq certo se mandi un avviso prima dove specifichi questa cosa, è chiaro... ma si deve avvisare in forma chiara...

In realtà non viene monitorato cosa l'utente X fa sulla macchina: ad esempio cosa scrive (che potrebbe essere un diritto tutelato), ma semplicemente se accede, modifica o cancella un file o una cartella.

La legge sulla privacy non menziona queste azioni come diritto tutelato o tutelabile.

E' pur vero che la cartella (o le cartelle) in questione sono protette (anche semplicemente da S.O., ad es. con XP usando l'opzione: rendi cartella privata).

Ma si sa, le protezioni durano finchè non si trova l'escamotage....


ANZI la legge sulla privacy stabilisce che le cartelle (o i file) "delicati" DEVONO essere protette da eventuali utenti (non autorizzati) e addirittura da altri PROGRAMMI!

Il monitoraggio delle azioni serve solo a tutela di chi ha "l'onere" di custoridere i dati riservati (sensibili).

Originariamente inviato da ValeriaVitolo
In realtà non viene monitorato cosa l'utente X fa sulla macchina: ad esempio cosa scrive (che potrebbe essere un diritto tutelato), ma semplicemente se accede, modifica o cancella un file o una cartella.
La legge sulla privacy non menziona queste azioni come diritto tutelato o tutelabile.


eh no... perchè dal momento in cui tenta di modificare lo deve aprire... e nel momento in cui lo apre legge il contenuto.. ecco lì che è violata la privacy (se il file è un file privato o che cmq lui non deve leggere).


E' pur vero che la cartella (o le cartelle) in questione sono protette (anche semplicemente da S.O., ad es. con XP usando l'opzione: rendi cartella privata).
Ma si sa, le protezioni durano finchè non si trova l'escamotage....
ANZI la legge sulla privacy stabilisce che le cartelle (o i file) "delicati" DEVONO essere protette da eventuali utenti (non autorizzati) e addirittura da altri PROGRAMMI!
Il monitoraggio delle azioni serve solo a tutela di chi ha "l'onere" di custoridere i dati riservati (sensibili).

Appunto ma vedi che allora torni al discorso mio di prima... è meglio impedire... piuttosto che sorvegliare... ? :rolleyes:

tu vuoi essere sicura che i tuoi utenti non aprano la tua cartella o vuoi sapere solo qual'ora lo facciano ? che te ne viene a saperlo ?
E' meglio che non entrino e stop... no?

Il monitoraggio delle azioni serve solo a tutela di chi ha "l'onere" di custoridere i dati riservati (sensibili).

L'onere di custodire i dati è PENALE e non si scherza; immagina che un povero dipendente abbia questo incarico e gli vengano trafugati i dati..... Va in galera!
Almeno così si potrebbe risalire al colpevole....

Magari, e non lo escludo, per essere davvero zelanti, si potrebbe fare in modo che il file log (degli accessi dell'utente X) sia consultabile se e solo se esiste una procedura giudiziaria.


Cmq sono contenta di questo dialogo... ci accresce... e magari convince qualcuno chissà
:cool:

Originariamente inviato da ValeriaVitolo
Il monitoraggio delle azioni serve solo a tutela di chi ha "l'onere" di custoridere i dati riservati (sensibili).

L'onere di custodire i dati è PENALE e non si scherza; immagina che un povero dipendente abbia questo incarico e gli vengano trafugati i dati..... Va in galera!
Almeno così si potrebbe risalire al colpevole....

Magari, e non lo escludo, per essere davvero zelanti, si potrebbe fare in modo che il file log (degli accessi dell'utente X) sia consultabile se e solo se esiste una procedura giudiziaria.


Cmq sono contenta di questo dialogo... ci accresce... e magari convince qualcuno chissà
:cool:

non sono molto convinto di questo esempio... potresti farmene uno + realistico ?

per dire...

Hai una cartella su un pc che non deve essere sfiorata poichè ci sono dati come le buste paga di tutto il personale.
Come si fa per non far trafugare i dati ? :rolleyes:
O si Locka in pc in qualche modo e lo si fa usare solamente al tizio che ne è responsabile (ad esempio mettendolo su un portatile che si da a lui) nel caso il tizio non volesse tale carica di responsabilità si mette su unità rimovibile, e si chiude il cassaforte (ogni azienda ne ha una).
Se è così importante... nel caso non lo sia non vedo tutto questo rischio penale...

P.s. MEDITATE GENTE MEDITATE
Stato d'insolvenza e ammissione alla Prodi bis per Trend, controllata di Finmatica (Milano: FMAT.MI - notizie - bacheca) . E' questa la la richiesta uscita dal Tribunale di Brescia nell'udienza per l'istanza di fallimento di Finmatica spa. Inoltre, la procura di Brescia ha aperto un'altra indagine contro ignoti per il reato di truffa in relazione al collocamento del bond Finmatica 2002-2005 da 100 milioni di euro. Secondo fonti giudiziarie al momento non ci sono indagati. L'indagine della procura di Brescia sulla società di software presieduta da Pierluigi Crudele, partita lo scorso gennaio per le ipotesi di reato di falso in bilancio, aggiotaggio e ostacolo alla vigilanza, per i quali sono stati indagati Pierluigi Crudele, l'ex ad Fabio Bottari e altri ex ammministratori della società, si allarga pertanto a una nuova fattispecie di reato. La procura ha anche avviato una rogatoria in Lussemburgo, dove era quotato il bond da 100 milioni emesso nel 2002 da Finmatica bv, una controllata olandese del gruppo.


PECHINO - Lenovo, primo produttore cinese di Personal Computer, ha annunciato oggi di aver acquistato la divisione Pc del leader mondiale dell'informatica, l'americana Ibm, per 1,25 miliardi di dollari. L'annuncio è stato fatto a Pechino dal presidente di Lenovo, Liu Chuanzhi
:(

e che centra? :confused:

Esempio realistico:

La parrocchia di Monte di Venere (ehehhe) conserva i dati sensibili dei fedeli (il credo lo è).

Il parroco evoluto, s'è preso un computerino sul quale tiene registrati i fedeli ed attraverso il quale stampa nulla osta e attestati di cresima....

Il pc non lo usa solo lui ma anche altri, magari anche i bambini che fanno il corso per la comunione...

Per la legge sulla privacy si deve nominare un RESPONSABILE che ovviamente sarà il parroco stesso.

Il resto è ovvio quindi evito di scriverlo....

CIao.

Originariamente inviato da ValeriaVitolo
Esempio realistico:

La parrocchia di Monte di Venere (ehehhe) conserva i dati sensibili dei fedeli (il credo lo è).

Il parroco evoluto, s'è preso un computerino sul quale tiene registrati i fedeli ed attraverso il quale stampa nulla osta e attestati di cresima....

Il pc non lo usa solo lui ma anche altri, magari anche i bambini che fanno il corso per la comunione...

Per la legge sulla privacy si deve nominare un RESPONSABILE che ovviamente sarà il parroco stesso.

Il resto è ovvio quindi evito di scriverlo....

CIao.

se fossi il parroco (cosa molto improbabile :D ) comprerei una licenza di Winrar e rarrerei tutto usando la password e la criptazione del db :rolleyes: :p

Originariamente inviato da FLASHCODE
Le persono di questo forum so brave solo a scrivere una mezza routine....

e a fare polemica! :p

Se è davvero importante per te rivolgiti altrove, magari contatta una vera software house.
Il programma che chiedi non è semplice, e richiede supporto....

Fossi in te non perderei più tempo....

:oink:

Non è per niente carino quello che dici! :nonsifa:
Un sezione come questa serve soprattutto ad essere aiutati a risolvere i propri problemi, non deve necessariamente essere un convegno di super programmatori bravissimi, a cosa servirebbe altrimenti?

comunque secondo me le specifiche son scritte un po' male...

Mmmmm Winrar è interessante.... ma

1) Winrar fa crittazione a 128 bit: sicura ma non eccessivamente;

2) Se perdi la chiave hai perso i dati;

3) Winrar non tutela dalla cancellazione da parte di utenti e/o di altri sw;

4) Winrar è di pubblico dominio, mentre il sw proprietario è molto + remunerativo :p;


......


specifiche scritte male? Ti sarei molto grata se mi aiutassi a scriverle meglio....
E cmq, nessuno si fa avanti..... :cry:

Originariamente inviato da ValeriaVitolo
specifiche scritte male? Ti sarei molto grata se mi aiutassi a scriverle meglio....
E cmq, nessuno si fa avanti..... :cry:

scrivile in linguaggio naturale senza fare schemi che se non sei esperta ti vengono male.

la formalizzazione delle specifiche spetta all'analista.

quindi tu scrivile in linguaggio informale

x quel ke riguarda la criptazione, usa drivecrypt

Mmmmmmmmm

Credo proprio tu abbia ragione.

Ho letto un pò e mi sembra soddisfacente come prodotto

Se non riuscirò nell'IMPRESA di coinvolgere qualcuno (mi sembro Cristoforo Colombo.... ) che per me resta prioritaria, senz'altro terrò in considerazione 2 prodotti:
Folder guard e Drivecrypt

Grazie per il consiglio.

Ciao.

P.s. se qualcuno si dichiarerà interessato magari riscrivo meglio le specifiche....
Grazie.

Originariamente inviato da ValeriaVitolo
Mmmmm Winrar è interessante.... ma

1) Winrar fa crittazione a 128 bit: sicura ma non eccessivamente;

2) Se perdi la chiave hai perso i dati;

3) Winrar non tutela dalla cancellazione da parte di utenti e/o di altri sw;

4) Winrar è di pubblico dominio, mentre il sw proprietario è molto + remunerativo :p;



1) domanda... (seria non scherzo) : Sai cosa significa il numero di bit di una crittografia ? In altre parole, sai di cosa stai parlando?

2) Se perdi la chiave sei un "furbone" ;)

3) Ascolta se la metti su questo piano , basta il più idiota della terra, per chiuderti le partizioni del disco o formattarti la macchina in modo che non puoi recuperare i dati :rolleyes:

Originariamente inviato da ValeriaVitolo
Mmmmm Winrar è interessante.... ma

1) Winrar fa crittazione a 128 bit: sicura ma non eccessivamente;

2) Se perdi la chiave hai perso i dati;

3) Winrar non tutela dalla cancellazione da parte di utenti e/o di altri sw;

4) Winrar è di pubblico dominio, mentre il sw proprietario è molto + remunerativo :p;



1) domanda... (seria non scherzo) : Sai cosa significa il numero di bit di una crittografia ? In altre parole, sai di cosa stai parlando?

2) Se perdi la chiave sei un "furbone" ;)

3) Ascolta se la metti su questo piano , basta il più idiota della terra, per chiuderti le partizioni del disco o formattarti la macchina in modo che non puoi recuperare i dati :rolleyes:

4) Winrar non è di pubblico dominio , è a pagamento... shareware.

1) so cosa significa il numero di bit in crittografia: oggi il riferimento (state of the art) è 256 bit;

2) non è che io perdo la chiave è il cliente che va tutelato, à tu compris?

3) dipende che tipo di protezione c'è sulla macchina.....

4) di pubblico dominio nel senso che può procurarselo chiunque.

Alla fine non sto dicendo che il tuo discorso sia sbagliato massimo 78, il fatto è che si può fare di più (e anche molto) sia in termini di sicurezza, sia in termini di operabilità, sia in termini di tutela del cliente e dei suoi dati.


Niente di personale, solo uno scambio di punti di vista eh.

se si usa un algoritmo di criptaggio "sicuro", cioè ke l'unico modo x accedere è trocare la chiave con la forza bruta anke 128 bit possono essere sufficienti a meno di non usare risorse inaccessibili ad una persona comune.
Questo perchè nel caso peggiore si dovrebbero analizzare 2^128 chiavi diverse.... nel caso migliore hai culo e la bekki a prima botta (ma se hai tanto culo fare 6+1 al superenalotto sarebbe uno skerzo al confronto)....nel caso medio non ricordo di preciso ma dovrebbe essere la radice quadrata ad okkio, e quindi 2^64...
considerando un calcolatore ke ti controlla 1 miliardo di kiavi al secondo(ke non è tanto facile con i computer odierni...) fatti il conto di quanto tempo avresti bisogno x forzare l'algoritmo (a meno di botte di culo impreviste)

Certo il winrar non ho idea ke tipo di algoritmo di cifratura utilizzi, però se trovi un prog equivalente ke usi kiavi a 128 bit ti puoi ritenere piuttosto al sicuro (x usi non militari...)

Come paragone nel sito dell'RSA se non sbaglio c'è un contest x trovare i divisori di numeri primi di diverse lunghezze...
se non sbaglio il + lungo è a 2048 bit....

Non sarebbe meglio usare NTFS?

Originariamente inviato da end.is.forever
Non sarebbe meglio usare NTFS?
Infatti...senza password dell'utente non di può accedere ai dati... Ovviamente non con il sistema di protezione di XP, ma con quello di 2000 che si può settare in ogni piccolo particolare (utenti multipli e diversi livelli di privilegio)...

PS: sapete come abilitare il sistema di protezione classico di 2000 anche su XP ?

Allora.....

Visto che oramai dispero che possa esserci una persona interessata allo sviluppo di un sw ad hoc.... almeno vediamo cosa si può fare con quello che c'è già.

La legge sulla privacy: D.Lgs 196/2003
http://www.giustizia.it/cassazione/leggi/dlgs196_03.html

I dati che la legge sulla privacy vuole tutelare sono quelli dell'individuo e definisce come sensibili (quelli + delicati), i dati su: salute, credo religioso, abitudini sessuali. In caso di violazione reclusione fino a 2 anni e multa fino a 125000 eurozzi.

Impone alcuni obblighi fondamentali:

- accesso esclusivo alla persona autorizzata;
- la pw della persona autorizzata deve essere nota solo a lui, deve cambiare ogni 6 mesi (e non deve contenere riferimenti riconducibili al soggetto responsabile: magari nell'Uid);
- crittazione dei dati riservati;
- protezione dei dati contro utenti e programmi (non autorizzati);
- ripristino dei dati "persi o inaccessibili" entro 7 giorni;
- cancellazione definitiva dei file riservati non più necessari (ad es. il cliente che cambia commercialista....).

Allora: ci troveremo essenzialmente due realtà.

1) "Grande azienda" può dedicare una macchina esclusivamente per il trattamento dati;

2) "Parroco di Monte di Venere": una sola macchina fa tutto (cioè diversi utenti sono abilitati all'accesso), o addirittura è in rete con i pc di altri parroci (della stessa parrocchia) che intervengono sugli stessi dati: ad esempio il parroco di turno accede all'archivio e stampa l'attestato di cresima.

Vogliamo vedere insieme come risolvere questi due casi limite?


Grazie.



P.s. ovviamente un sw proprietario pure se meno efficace e più costoso, garantirebbe una fidelizzazione maggiore, cioè il cliente sarebbe "costretto" ad averci come unici referenti..... ma se non se po fa..... :(

in ogni caso non è che per fare questo lavoro bisogna essere dei "bravi" programmatori, il fatto è che bisogna conoscere ed avere esperienza con le librerie di windows che offrono le funzionalità richieste da questo tipo di applicazione.

Anche se sei un ottimo programmatore C++, dovresti leggerti un sacco di documenti MSDN riguardanti questo genere di funzioni e librerie, poi fare esperienza a riguardo, poi fare il progetto di questa applicazione e infine svilupparla.

Così sparando magari una cavolata, in Italia persone con questo tipo di conoscenze di questi aspetti "di nicchia" della programmazione in windows, ne esistono pochissime, direi massimo una decina/ventina, quindi è un po' dura trovarne uno su questo forum.

E' meglio se vai su una community riguardante specificatamente la programmazione "win32", anche se dubito che troverai qualcuno "disoccupato".

L'unica via che vedo praticabile è assumere/pagare un programmare che abbia conoscenze di programmazione win32, lo metti 2 mesi a studiarsi la documentazione MSDN riguardo questi aspetti, lo metti altri 3 mesi a farsi esperienza facendo prove e test. Quindi 2 mesi a preparare il progetto dell'applicazione e 4 mesi per svilupparla e testarla.

Infine... a mio parere esiste certamente un sw con questo tipo di funzionalità (ovviamente non lo fa in modo preciso rispetto alle tue esigenze) ma lo svilupparlo da sè è una strada lunga e impegnativa.

bye

Originariamente inviato da FLASHCODE
Le persono di questo forum so brave solo a scrivere una mezza routine....

sorry?

Mmmm....
evidentemente, a questo stadio di analisi, devo concordare con DUPA almeno su un punto: non posso trovare su un forum un programmatore che mi dia la certezza matematica di tutelare il cliente al 100%.

Quindi non mi resta che scartare questa ipotesi, e riallacciarmi all'analisi di quello che c'è già disponibile.


Repne ha fatto un'apertura molto invitante: un db criptato (bene...: supponendo 256 bit, ndr).
Addirittura (ipotizzo), per consentire un accesso multilivello (ovvero con gruppi e permessi associati ad ogni utente), un db che consenta la gestione SICURA degli account e dei privilegi nel db (non potendo demandare questo compito al S.O. che limita solo l'acceso al file e non ai campi).

In realtà non concordo al 100% con REPNE per alcuni fattori non trascrabili e riconducibili alla gestione (cioè il vero e proprio USO) dei dati sensibili.

Se il db stà li e l'unica sua funzione è statica (ovvero solo come contenitore di campi), potrebbe pure funzionare.

Purtroppo lo scenario muta esponenzialmente nel momento in cui i dati vengono usati da e/o in altre applicazioni, generando cioè files esterni al db contenenti informazioni presenti nel db (ovvero riservate e sensibili). O semplicemente quando vengono decrittati per l'uso potrebbe essere stato inserito da qualche altro utente ADMIN un programma che fa sniffing (si dice così?) della memoria Ram....

E ancora, un programma di contabilità non usa un db così com'è stato previsto da REPNE...... (giusto per citare un caso semplice), e non salva in un db così com'è stato previsto da REPNE.

Inoltre il caso di "Grande Azienda" e "Parroco di Monte di Venere" presta il fianco a diverse problematiche....
Ad esempio il pc del parroco può essere connesso a Internet.... (per citare l'esempio più semplice seppure il più ostico).


Scappo a mangiare: To be continued.....


P.s. davvero una bella discussione costruttiva, grazie a tutti.

quello che hai chiesto, per uno che se ne intende di programmazione su win32 e ha buona conoscenza di msdn non dovrebbe essere difficile .........però credo che il $$$$$ sia parecchio alto! .....nella pratica: non credo ti convenga, almeno di non essere una grande azienda con determinate esigenze....

per la sicurezza degli archivi, usa drivecrypt

Repne, purtroppo noi non conosciamo quale sw utilizza il cliente, ovvero non sappiamo certo se fa quello che giustamente supponi (o proponi)....

Il cliente usa un sw genererico che potrebbe non soddisfare alcuno dei punti menzionati:

1) Connettersi al database attraverso account e password in modo da stabilire in maniera univoca "chi" e "quando" si e' connesso al database.
2) Stabilire una connessione "protetta" tra il software e il database.
3) Mantenere un "log" criptato di connessione inaccedibile allo stesso "amministratore" e consultabile solo dagli organo competenti.

Quindi la soluzione di protezione (e log, visto che non necessariamente il sw che chiede uid e pw mantiente un registro degli accessi) spetta al consulente informatico.

E questo è lo scenario, nel quale ci troviamo ad operare.
Inoltre la soluzione che prospetteremo non ha un budget illimitato, anzi: contenere i costi è una priorità.


Quindi (in estrema sintesi) le problematiche sono:

1) A cosa serve il DB privacy: cioè se le informazioni vengono utilizzate esclusivamente all'interno del DB o vengono usate (anche) da altre applicazioni;

2) Chi usa il DB: cioè se le informazioni contenute dal DB vengono usate solo da un utente specifico, o se vengono utilizzate (anche a diversi privilegi di accesso) da più utenti;
Ad. es. supponiamo una clinica che conserva dei dati,
questi dovendo per esigenze operative essere
consultabili da più medici;


3) contenere i costi, ovvero budget non illimitato.



A questo stadio è semplice "partorire" la soluzione elementare:

Caso 1: informazioni utilizzate esclusivamente nel DB, 1 solo utente usa il DB

Soluzione: 1 pc utilizzato per la gestione dati, sconnesso dalla rete locale, sconnesso da internet.
2 soli account: 1 per l'utente "privacy", 1 per manutenzione pc.
Ogni volta che viene effettuata la manutenzione viene salvato il file SecEvent.evt (al fine di risalire eventualmente alle azioni intraprese dal manutentore tecnico).
S.O. Windows XP pro con NTFS.
H.W: soluzione Raid 1 (per il ripristino automatico in caso di corruzione del file riservato);
SW utilizzati:
drivecrypt.
http://www.securstar.com/products_drivecrypt.php.
- per crittare decrittare (e nascondere) automaticamente il file del DB;

Ontrack Data eraser
http://www.ontrackrecuperodati.it/easyrecovery/datarecoveryedition.asp
- per eliminare definitivamente le informazioni riservate non più necessarie


...... continuiamo insieme?

Grz

ho letto questo post casualmente cercavo qualcuno che avesse il codice per gestire l'auditing del flusso dati delle porte usb.....

quello che tu chiedi non e' ne' piu' e ne' meno di cio' che un file server fa, ne ho fatti tantissimi, gestirle in locale invece che in remoto e' inefficente perche' richiederebbe l'installazione di diversi servizi di windows XP professional (home non va bene)
oltre che a qualche software specifico per le personalizzazioni, niente di che, il fatto e' se vuoi un sistema fatto bene devi semplicemente installare un file server ed il gioco e' fatto.
il file server e' separato dai pc e non bisogna installare nulla, funziona con tutti i gruppi di lavoro senza bisogno di installare nulla puoi usare sistemi linux etc etc etc....

contro la soluzione e' hardware/software e non soltanto software....

soluzioni soltanto software non sono pratiche e sopratutto quando si tratta di dati importanti non sono affidabili, e' dal 99 che faccio file server e ne ho visti di tutti i colori, gli utenti sanno distruggere i dati anche quando si utilizzano i sistemi di protezione piu' astuti per salvaguardali e spesso il backup e' l'unica soluzione al disastro(licenziamento in tronco)

pertanto senza girarci attorno, un file server e' quello che cerchi e ha tutte le funzioni che cerchi e molte di piu'....

tu mi chiederai e per un singolo computer devo montare un file server??!

certo, se non vuoi che il tuo commitente dopo 11 mesi e 29 giorni ti chiami dicendo qui non funziona niente...abbiamo perso dati importantissimi etc etc etc storie come il fallimento dell'attività e' colpa del vostro software etc etc etc....

in locale per definizione dettata dall'esperienza non si puo' proteggere nulla o poco altro.....a meno di non blindare letteralmente il sistema operativo, ossia impossibilitare anche a fare il piu' piccolo upgrade al sistema....

pertanto se ti serve un file server di gente disposta a farlo ce ne' un mucchio con tutto quello che richiedi....
lascia stare winrar e altre amenita' da micro ufficio se non addirittura personal....

Plz spiegami meglio....

P.s. ricorda che un requisito importante è l'economicità e Linux per me è il cane di Charlie Brown! :p

se siamo a questo livello allora e' inutile parlarne:

in pratica e' uno scatolotto grande circa 40x40x25 che si connette ad una rete ethernet e fa da hard disk condiviso con tutte le protezioni del caso, log, etc etc etc...

chi fa parte di quel gruppo di lavoro, accedde all'hard disk o cartelle o singoli file, come un normale net disk, se vuoi visionare i log e quant'altro ti connetti con telnet da un qualunque pc connesso in rete ed hai accesso remoto alla macchina....

il sistema operativo su cui gira tutto sto baraccone e' irrilevante, bisogna soltanto scegliere il grado di protezione e quanti gb volere mettere a disposizione degli utenti.
quanto costa sto scatolotto?

hard + software pronto per il test non meno di 2 mila euro a pezzo per un sistema completo + iva + trasporto + qualunque altra spesa aggiuntiva che non sia lo scatolotto, con un sistema da 100+100gb di store, se si ha bisogno di piu' spazio i prezzi aumentano anche se non di molto.....

a questo va aggiunto un ups e tutto quello che serve per proteggere elettricamente un sistema. che ogni ambiente di lavoro dovrebbe gia' avere in dotazione.

Homero: dal basso della mia inesperienza non posso opinare quello che scrivi, anche se resto perplessa sulla capacità del file server di:

- consentire un accesso gerarchico (ovvero privilegi distinti per gruppi) ad uno stesso file...
- crittare e decrittare in maniera trasparente per l'utente i file sensibili...

Inoltre, a causa del costo, trovo sinceramente improponibile questa soluzione per un piccolo studio......



Repne.... inannzitutto i miei complimenti per il tuo lavoro.
Quello che mi esponi è la finalità, e non il mezzo per raggiungerla.
Sarebbe bello se riuscissimo a pianificare qualche soluzione standard.... anche se non ottimizzata.

Mi documento e cerco di postare qualche altra soluzione.

Grazie per l'attenzione.

i privilegi ci sono tutti e sono anche sul singolo file, addirittura ciascun utente puo' avere una propria rappresentazione virtuale dell'hard disk senza spostare fisicamente i dati e senza fare inutili copie.
pertanto su un file A l'utente 1 puo' avere accesso in lettura, l'utente 2 puo' avere accesso in lettura/scrittura l'utente 3 puo' non avere il file nel suo virtual file sistem e quindi ignorarne del tutto l'esistenza.

quindi la precisione sul file e' elementare e non solo gerarchica.

crittare i file sensibili!?!?
il metodo piu' sicuro per crittare i file sensibili e' quello di usare un file sistem che preveda la crittazione sull'intera architettura dei file. e questo e' disponibile in tutte le salse.
se invece si richiede la crittazione on net..ossia anche dalle aventuali intercettazioni via rete esiste lo standard ssl2 che permette questo. ovviamente ci vuole un supporto driver per l'ssl per windows o l'installazione di un driver NFS ambedue disponibili.


per un piccolo studio?!?!?quanto piccolo?!?!? 2000 euro sono un bazzecola per un file server.....considerando che fa bure il backup automatico....

nel caso di 2 computer usati per scrivere un documento in word o database access o un foglio di excel....allora semplicemente basta ridimensione le proprie richieste e fare backup frequenti 3 al giorno dei dati....oltre a dotarsi di pazienza ed attenzione per controllare il comportamento dei singoli utenti (2)

se non si vuole investire in macchinari allora bisogna investire in risorse umane ossia avere collaboratori che non facciano pasticci.....

se si vuole un sistema di controllo automatizzato bisogna pagarlo e il preventivo di 2000 euro e' il piu' risicato in assoluto, ingenere si parte da 3500 euro.....

il problema e' che nessuna persona con un minimo di esperienza e di consapevolezza si imbarchera' in un progetto per la protezione dei dati sapendo che questo in locale non e' tecnicamente possibile vista la vulnerabilità di un sistema multipurpose com'e' windows....
consapevole che ogni perdita o violazione dei dati sarebbe imputata ad una sua responsabilità con conseguenze facilmente immaginabili.

quindi l'unica soluzione e' mettere un server con un relativo amministratore di sistema. oppure fidarsi dei propri collaboratori e fare frequenti backup...

in questo caso software per fare 3 o 4 backup al giorno ce ne sono moltissimi scegline uno e installa questo dopo di che basta controllare le revisioni ogni giorno ed avere un hard disk capiente....

Mmmm.....

Tutto chiaro...

Solo continuo a non essere convinta sul fatto che un file server possa consentire un accesso gerarchico ad uno stesso file.

Cioè, all'interno di un DB, fare in modo che un utente possa vedere dei campi e non altri.


Cmq la tua soluzione è sinceramente la più adatta....

Ci faccio un pensierino, anche se continuo a provare ad allestire una soluzione economica e versatile per tutto il forum.

:cool:

Originariamente inviato da ValeriaVitolo
Cioè, all'interno di un DB, fare in modo che un utente possa vedere dei campi e non altri.
Questo lo può fare qualsiasi DBMS con la struttura delle tabelle progettate ad hoc...

mmmm....
allora si era parlato delle richieste di accesso a cartelle e file e non di gestione intera di un data base.

per gestire un data base serve un altro sistema che si basa in genere su un client/server o meglio un application server.
per 2 o 3 e fino a 10 computer il file server puo' fare anche da application server. al contrario bisogna installare i duesistemi su hardware separati.

in quel caso le maschere e tutto il resto sono configurabili secondo il tipo di accesso effettuato.

naturalmente nessuno puo' accedere agli interi file fisici del data base ossia non e' come in access in cui qualcuno si copia il file .mdb e si e' in automatico appropriato dell'intero archivio. tutta la struttura e' protetta da qualunque tipo di accesso.

pertanto quello che si richiede non e' ne' piu' e ne meno la necessità che la stragrande maggioranza degli uffici cerca.

ovviamente il database center e' a parte ai 2 mila euro di base.

cosi' come il trasporto dei vecchi archivi access(o db4 o quello che e') ai nuovi sistemi sql.....

detto questo basta soltanto decidere e stanziare i soldi

i prezzi sono sempre minimali non penso sia possibile farli con meno...

Originariamente inviato da ValeriaVitolo
1) so cosa significa il numero di bit in crittografia: oggi il riferimento (state of the art) è 256 bit;

2) non è che io perdo la chiave è il cliente che va tutelato, à tu compris?

3) dipende che tipo di protezione c'è sulla macchina.....

4) di pubblico dominio nel senso che può procurarselo chiunque.

Alla fine non sto dicendo che il tuo discorso sia sbagliato massimo 78, il fatto è che si può fare di più (e anche molto) sia in termini di sicurezza, sia in termini di operabilità, sia in termini di tutela del cliente e dei suoi dati.


Niente di personale, solo uno scambio di punti di vista eh.

1) ok , ma sai al livello "pratico" cosa ti cambia avere una criptazione a 128 bit o a 256 bit ? (non sto parlando del fatto che è meglio a 256, io parlo del perchè è meglio... al livello basso in che modo ti cambia la vita).
2) certo sono daccordo, ma sono convinto che ogni possibile soluzione riguardo questo argomento (il recovery della pwd) sia una possibile e potenziale exploit. Cmq alla peggio vista la legge sulla privacy, si può fare una pwd di admin che può recuperare l'archivio.
3) mmm non sono daccordo.
4) per carità è scambio di opinioni ci mancherebbe ;) io sto solo cercando di dimostrarti che a volte le cose semplici sono le più funzionali poiché dipendono molto dal caso e dal contesto.
(cmq di pubblico dominio non significa che sia reperibile da tutti, ma che sia utilizzabile gratuitamente da tutti proprio in quanto di dominio pubblico :D lo dice la parola)

Originariamente inviato da ^TiGeRShArK^
Certo il winrar non ho idea ke tipo di algoritmo di cifratura utilizzi, però se trovi un prog equivalente ke usi kiavi a 128 bit ti puoi ritenere piuttosto al sicuro (x usi non militari...)


winrar dovrebbe usare lo stesso identico sistema che viene usato da winzip, ossia la xor della password (in questo caso chiave di criptazione) che viene applicata al pacchetto. Nell'archivio non è presente la pwd in questo modo e può essere trovata solamente tramite forza bruta.
:)

Bene, bene....

Quello che stiamo provando a formulare è una soluzione efficiente (e se possibile economica) per l'attuazione della legge sulla privacy.

Quindi va bene la teoria purchè si passi poi alla implementazione pratica.

I casi sono:

1) Un solo utente ha accesso ai dati riservati;
I dati vengono gestiti solo nel DB.


2) Più utenti hanno accesso (a vari livelli di privilegio) ai dati riservati;
I dati vengono gestiti solo nel DB;

3) Più utenti hanno accesso (a vari livelli di privilegio) ai dati riservati;
I dati vengono gestiti esternamente al DB.



Posterò qui le soluzioni.


Caso (1): già risolto [migliorie possibili?];

Caso (2):
Teoria (incremento rispetto al caso 1):
Occorre un'applicazione (DBMS?) che possa filtrare gli accessi e che conservi un log criptato delle azioni;

Caso (3):
Occorre un'applicazione (DBMS?) che possa restituire i dati richiesti dal programma esterno, che possa filtrare le richieste in base ai privilegi, che conservi un log criptato delle azioni.


Credo sia tutto.

Ciao :sofico:

scusate ma di quale data base state parlando?!!?!??!
qua non si sta parlando di nulla!!!!!
niente!!!niecht!!!!
ossia facciamo un esempio:

postgreeSQL offre tutte le protezioni del caso con flusso dati ed accesso protetto mediante SSL2.0 cryptazione a 100000milione di bit e rovescio della medaglia girata al quadrato.....

Oracle offre anche il rovescio della medaglia al cubo ossia se gli stai antipaticato perche' chi e' al pc vuol fregare la società lui se ne accorge e tutela i dati......

insomma qui si sta parlando di cosa?!"?!?!
data base privicy etc etc etc.....

basta che tirate fuori dai vostri scritti la razza del software di data base che volete usare o gia' usate per verificare se e' conforme alla protezione dei dati personali, non c'e' altro da girarci attorno....

se volete tutelare un data base precotto fatto con access o excel o framemaker o db4 semplicemente scordatevelo!!!
perche'?!!??!
perche' non e' possibile avere alcun tipo di certificazione tantomeno trovare un programmatore che perda il proprio tempo ad implementare qualcosa che gia' e' sul mercato in tutte le salse salsette salsine....

gestire un flusso per un singolo utente?!?!?
che privicy dovrebbe avere un sistema che e' usato da un singolo utente....

basta windowsPRO e un catennaccio bello solido per chiudere la stanza del pc quando si e' via....

per i gruppi di lavoro e' altra storia.....

discutere sul tipo di cryptazione non serve ad una mazza sia 128bit o 256bit o 1 milione di bit....

esistono degli standard codificati da anni li usano tutti da ebay a paypal agli istituti di credito....sono implementati in quasi tutti software di un certo livello tra questi tutte le implementazioni di sql server piu' diffuse....
mysql+apache postegreeSQL+apache MSSQLserver+IIS etc etc etcce ne sono a iosa che altro andate trovando!?!?
cosa?!!??!
andar dietro a leggi leggine e leggette fatte per complicare la vita alla gente?!?!?
discutere del piu' e del meno o filosofeggiare sul numero di bit di crittazione nella speranza di raggiungere la protezione suprema....
....non riesco proprio a concepire come si possa girare intorno a questioni ormai trite e ritrite di cui tutti gli uffici dotati di una rete di un certo livello come le agenzie assicurative e i collegamenti al PRA, hanno gia' da qualche anno, saranno centinaia soltanto a BARI......e nessuno discute di crypt cropt o crupt.....bit o bot.....sanno che la loro connessione e' sicura che il server dell'istituto di credito fagocita tutto e che in locale non resta altro che le loro annotazioni ma nessun documento ufficiale, che nessuno che non ha login/password/codice telefonico puo' accedere alla rete e consultare gli schedari....a meno che qualche inbecille non lasci il pc accesso con il login attivo.....

quoto completamente homero

mancano dati fondamentali per capirci qualcosa... che genere di dati andrebbero protetti? da cosa? dove? in quanti ci accedono? da dove? che sistema e' attualmente utilizzato? l'analisi presentata e' totalmente campata in aria e priva di significato...

Il problema è che chi ha proposto l'idea - chi ha aperto questo topic - non ha un'idea del tutto precisa di come voglia far funzionare il tutto. A dire la verità anche l'idea fornita è piuttosto vaga...

Un pò di chiarezza:
un cliente mi sottopone un'esigenza (tutela privacy: ovvero così com'è stabilito dalla legge) e aggiunge che se trovo una soluzione efficace ci sono altri clienti (abbastanza importanti!) pronti ad adottarla.

Posto l'OFFERTA di LAVORO così com'è nella pagina iniziale (a dirla tutta cerco un partner programmatore per sviluppare questo ed altri lavori insieme.....)

Ma nessuno si fa avanti.

A dire il vero ricevo due proposte:
1) un utente con msg privato che mi chiede (almeno) 6000 euro + iva..... :eek:
2) homero mi propone un server. :rolleyes:

Beh a me il server non mi SERVER.... cioè se devo acquistare acquisterò solo un sw proprietario.

Solo allora provo a mettere sù una soluzione GENERICA per la privacy che possa essere utile a tutto il forum.... utilizzando programmi già esistenti.

Ovvero cerco di fare un'astrazione dalla piattaforma hw/sw del cliente, ponendo la questione semplicemente sui dati che tratterà (ovvero i dati menzionati dalla legge sulla privacy) e sulla tutela del responsabile della sicurezza.

Eppoi il trade non è mio ma di tutti: cioè se qualcuno ha un'idea ad esempio propone e motiva MySql come DBMS adotteremo quella nel post come soluzione tipo.....

Spero di essere stata ragionevolmente chiara.

:muro:

Originariamente inviato da ValeriaVitolo


A dire il vero ricevo due proposte:
1) un utente con msg privato che mi chiede (almeno) 6000 euro + iva..... :eek:


E ti sembrano tanti 6000 euro + iva per un prodotto che verrà venduto a N utenti?

Quando facevo siti web, per un sito coi controfiocchi fatto per un singolo cliente chiedevano dai 50 milioni di lire in su.

6000 euro credo sia il minimo per trovare un semi-professionista che faccia sto lavoro..

E inoltre come molti avevo sottolineato io e come hanno detto anche molti altri non si capisce un tubo dalle specifiche fornite.

ogni tanto si parla di privilegi di accesso al file server altre volte di database... mah, sembra che ci siano le idee molto confuse.

6000 euro lorde sono un prezzo ridicolo...non capisco perchè nessuno batte ciglio per un idraulico che per mezzora di lavoro ti chiede 500 euro o un meccanico che te ne chiede 800 per un paio d'ore...e per un lavoro di decine e decine di ore ci si scandalizza... se vuoi risparmiare puoi trovare il ragazzino che te lo fa per meno, magari è pure bravo...ma se vuoi un professionista... e poi come la mettiamo con la manutenzione? E se dopo un mese esce fuori un baco? E gli strumenti necessari allo sviluppo chi li mette? Il programmatore? O tu?

E poi sono proprio curioso di sapere quali sono le tariffe della tua azienda... la gente si è abituata troppo male ad usare software "aggratis"...

x Valeria Vitolo

Comunque non ho capito un po' di cose:

1) Tu da quel che ho letto di informatica capisci poco nulla, e qualcuno ti sta commissionando un lavoro che tu vorresti addirittura rivendere a terzi?

2) Se tu capisci poco di informatica ci sarà pure nella tua azienda qualcuno che "capisce" qualcosa e possa venire qui a spiegare i requisiti dell'applicazione al posto tuo, no?

3) Non ho capito se ci sei o ci fai. Cioè ti spaventano 6000 euro??? Nei tuoi primi post dicevi che chi ti avrebbe fatto questo lavoro avrebbe anche dovuto essere "sempre" reperibile per aggiornamenti e menate del genere... hai un'idea di quanto possa costare un servizio di assistenza e manutenzione di codice di questo tipo?

4) Queste leggi qua sulla privacy, sul trattamento dei dati personali sono fatte da gente che di informatica non sa nulla, ho parlato tempo fa con un amico per quel che riguarda il problema dello sniffing dei dati sulle LAN di uffici e per quel che riguarda la legge ogni ufficio del cavolo dovrebbe spendere migliaia e migliaia di euro per mettere in sicurezza l'ufficio?

5) Puoi fare quel cavolo che vuoi per creare un archivio sicuro dei tuoi dati, ma se gli utenti che poi useranno questi dati sono degli "utonti" informatici, i soldi spesi saranno totalmente inutili. In quanto che so magari uno piglia un file excel contenente informazioni "protette" e se lo copia un floppy disk per leggerlo sul portatile tutta la sicurezza va a farsi friggere..
Oppure magari si fa una stampa di alcune pagine del file excel con dentro i dati personali della gente e lo lascia sulla scrivania..
Oppure se uno su internet si becca un virus un worm o una qualunque schifezza che apre il suo pc come una scatoletta di tonno ..
A che cavolo è servito fare duecentomila sistemi di criptazione e sicurezza?

6) Con tutto lo schifo di criminalità che gira voglio proprio vedere quando lo Stato manderà in giro dei suoi uomini (che dovrà tra l'altro istruire) per fare controlli che i dati "sensibili" siano criptati con chiavi Y bit piuttosto che a X bit..

7) Per quel che mi riguarda tanto vale usare il sistema di autenticazione classico di windows, con eventualmente il sistema di criptazione delle cartelle integrato in windows se proprio vuoi fare una cosa un po' + decente..

8) Non ho capito a chi gliene frega qualcosa di sapere se il tizio X all'ora Y ha fatto accesso al file Z.
In sostanza, basta che registri gli orari di login e logout di un utente e presupponi che in quell'arco di tempo quell'utente ha avuto accesso continuo ai file nelle cartelle sulle quali ha i relativi permessi.

In sostanza a mio parere ste menate qui sulla tutela dei dati personali sono un sistema per far fare due lire alle software house che dopo il boom per il bug dell'anno 2000 e gli aggiornamenti all'euro sono rimaste senza una sega da fare.

Se qualcuno mi chiedesse un consiglio a riguardo gli risponderei di andare avanti usando i sistemi che ha sempre usato fregandosene altamente di tutte ste menate burocratiche e di ste leggi scritte da chi di informatica non sa nulla.

bye.

Madmind:
1) che dati andrebbero protetti? Ovviamente quelli tutelati dalla legge sulla privacy (nome, cognome,. reddito, credo religioso, abitudini sessuali, salute, ecc.), che presuppongo siano contenuti in un database.

2) da cosa? Da qualsiasi forma di attacco, di accesso o modifica non autorizzato (sia utenti sia altri programmi).

3) dove? Generalizzando non conosciamo se il database è su un server o su una sola macchina, nè se è connessa ad internet. Per semplicità escluderemo accessi remoti al database, quindi o stessa macchina o rete locale.

4) in quanti ci accedono? La soluzione proposta dovrebbe essere efficace sia che acceda al database un solo utente (caso banale) e sia che possa accedervi un insieme di utenti (diviso in base a gruppi e privilegi). Ovvero per generalizzare diciamo che diverse persone possono accedervi a vari livelli di privilegi: alcuni utenti vedono dei campi, altri no.

5) da dove? Escludiamo la connessione remota, possono accedervi o dalla stessa macchina (multiaccount) o dalla rete lan.

6) che sistema è attualmente usato? La soluzione dovrebbe essere indipendente dal sistema in uso dal cliente: sia esso un file di excel, di access o SQL server.... Magari si può consigliare il cliente di migrare verso una soluzione diversa da quella in uso.

7) analisi campata in aria: credo di essermi espressa ampiamente pur provando a progettare una soluzione generica.....


CN73 e DUPA: 6000 euro + iva (7200 euro, come quotazione minima e possibilità di incremento) credo siano una bella cifra....
Sfruttando programmi già in commercio, al programmatore spetta semplicemente un'applicazione che faccia da filtro tra la richiesta del programma esterno ed il DB.....
Eppoi non posso accettare un prezzo senza conoscere un progetto almeno a grandi linee... non vi pare?
cmq siamo in un libero mercato.... valuterò (ovvero sonderò pure cosa vuole investire il cliente....).


DUPA:

Un programmatore deve solo conoscere l'esigenza.... ed io credo di averla spiegata abbondantemente. Se hai dubbi specifici puoi chiedere... ti risponderò senz'altro.

La legge sulla privacy prevede l'arresto fino a 2 anni e fino a 125000 euro di multa.... bel consiglio che gli dai.


La legge in due parole dice:

Bisogna impedire che utenti (e programmi) non autorizzati accedono ai dati riservati. Il database dei dati deve essere crittato e protetto da pwd. Occorre distruggere i dati riservati non più utili (ad es. un cliente che cambia commercialista, o clinica di cura)


Ecco l'esigenza, la soluzione spetta ai programmatori... nO?

Beh il fatto dei 6000 euro tanti o pochi è una cosa molto soggettiva.

Con questo intendo che, chiesti da una ditta ad una software house, sono poca cosa; se invece sono chiesti ad un programmatore per fare un sw del genere sono tantissimi.

Bisogna infatti vedere quanto riesca a vendere di questo progetto: a quanto ho capito i clienti non sono proprio disposti a sborsare molto; inoltre considerate che un prodotto commerciale di questo tipo è venduto penso a 100-200 euro la copia [vista la natura non professionale del committente dubito che riesca a guadagnarci se chiedete 6000€].

La situazione è difficile: la cosa migliore sarebbe fare un contratto basato sul numero di licenze, utilizzando un sistema di controllo sulle copie (registrazione via web ad esempio). Chiaramente il problema principale è la FIDUCIA: perché voi dovreste fidarvi di un committente che non conoscete? come fa il committente ad essere sicuro che voi non vendiate il prodotto tramite altri canali??

Vi consiglio almeno un incontro di persona... anche se la soluzione ottimale sarebbe un contratto fra persone giuridiche.

1) che dati andrebbero protetti? Ovviamente quelli tutelati dalla legge sulla privacy (nome, cognome,. reddito, credo religioso, abitudini sessuali, salute, ecc.), che presuppongo siano contenuti in un database.

un buon inizio sarebbe allora modificare il post iniziale, poiche' la situazione e' completamente differente se si parla di DB o di semplice cartella su pc in locale.

2) da cosa? Da qualsiasi forma di attacco, di accesso o modifica non autorizzato (sia utenti sia altri programmi).

se si parla di DB da chi o cosa vanno protetti i dati visto che puo' essere tutto impostato tramite permessi delle utenze? (poi anche qui, cambia tanto da DB a DB, non si puo' trovare una soluzione che vada bene per qualsiasi piattaforma).

3) dove? Generalizzando non conosciamo se il database è su un server o su una sola macchina, nè se è connessa ad internet. Per semplicità escluderemo accessi remoti al database, quindi o stessa macchina o rete locale.

in pratica cercate di trovare una soluzione senza nemmeno avere l'idea di quale sia il quadro della situazione... fantastico

5) da dove? Escludiamo la connessione remota, possono accedervi o dalla stessa macchina (multiaccount) o dalla rete lan.

ma se si parla DB continuo a non capire cosa andrebbe protetto... in qualche modo sti benedetti dati li vedranno e se vanno protetti, si concede l'accesso solo alle utenze autorizzate ed e' risolta la faccenda.

6) che sistema è attualmente usato? La soluzione dovrebbe essere indipendente dal sistema in uso dal cliente: sia esso un file di excel, di access o SQL server.... Magari si può consigliare il cliente di migrare verso una soluzione diversa da quella in uso.

si ma state cercando di applicare un concetto di "protezione globale" di qualsiasi dato si trovi su un qualsiasi tipo di macchina, con qualsiasi tipo di OS, partendo dai file excel ai DB di qualsivoglia genere.... non c'e' ne capo ne coda in questo.

7) analisi campata in aria: credo di essermi espressa ampiamente pur provando a progettare una soluzione generica.....

peccato non ci sia alcun senso in cio' che hai scritto... per i motivi di cui sopra.

Allora, quello che vorrei è una soluzione polivalente; diamo per scontata una piattaforma Windows.

Magari che implichi anche un cambiamento del sw (e dell'hw) del cliente, ma che alla fine vada bene per tutti.

Perchè cartella e non DB (cioè file)? Perchè può essere che i dati sensibili siano in una cartella, e non in un singolo file.
Perchè non solo DB? Perchè può essere che un applicativo gestionale richiami alcuni campi all'interno del (o dei) files del DB.


Ad esempio:

Esiste una clinica con db fatto con Access e più utenti che accedono al file dalla lan. il db è diviso in 4 files: medicina generale, ostetricia, ginecologia, malattie infettive.
I file vengono utilizzati nel db, ma pure da un'applicazione esterna TUTTOMEDICO che estrae alcuni campi direttamente da un (o più) file del database.

Probabile soluzione:

Implementazione di un server, con MySql. Filtro dei campi (di uno stesso file) in base ai privilegi di ciascun utente della lan.
Applicazione (o altro) che si frappone tra TUTTOMEDICO ed il DB in modo che gli restituisca (in base ai privilegi) i campi richiesti.

E poi: crittazione dei file, log degli accessi al db, ecc.



..... che sudata!