Responsabilità del trattamento in un server a noleggio

lausent · 03-08-2017, 15:42

Che sia host condiviso o dedicato tutti i siti (almeno quelli che ho visto) recitano grosso modo che non sono minimamente responsabili di quello che uno mette sopra ed anzi è l'utente ad essere il responsabile (il noleggiante per intenderci).

Supponiamo che un privato noleggi un server presso uno dei tanti siti internet per hostare un proprio sito dinamico in altre parole ha degli utenti che si registrano tramite form e pertanto nel database saranno salvati per ogni utente username, password, email (come minimo).
In caso di un attacco hacker riuscito...tradotto vengono rubati i dati degli utenti (se pur minimali) chi è il responsabile?
Dal mio punto di vista se l'attacco sfrutta una mia dimenticanza nel codice bhè la colpa sarebbe mia ma se invece attaccasse direttamente l'host?

Ciò che vorrei capire il "Responsabile del trattamento dei dati" chi è? Dovendo fare una privacy policy (una pagina html ^^' insomma) va specificato chi è la persona o l'azienda.

Nuke987 · 03-08-2017, 23:22

È inutile girarci intorno. Il responsabile sei sempre tu. Sei tu che chiedi, memorizzi ed utilizzi i dati degli utenti. Il tuo compito è anche quello di implementare oppurtuni sistemi di sicurezza che rendano un attacco, qualora andasse a buon fine, vano o che comunque ti dia sufficiente tempo per chiudere la falla. Allo stesso modo anche la scelta del fornitore è una tua responsabilità e diciamo che se prendi il server in Cina non cominciamo bene.

Il minimo sindacale è che le password non devono essere memorizzate in plain text nè con pretenziosi sistemi custom di dubbio valore. Utilizza un algoritmo affidabile in questo modo anche se entrano nel DB non fanno niente per giorni, settimane, mesi o anni a seconda della complessità utilizzata.

Se gli utenti del tuo sito inseriscono informazioni personali, la connessione dovrebbe essere SSL anche self-signed. Se gestisci anche le carte di credito o SEPA le cose si fanno serie. Gli standard di protezione PCI sono abbastanza chiari.

Tornando al provider che ti mette a disposizione il server, non ne troverai uno che nei termini e le condizioni del suo contratto non si sollevi dalla responsabilità del furto di dati dai sistemi dei clienti in hosting presso di lui. Questo ha perfettamente senso perchè un provider non può essere responsabile ad esempio per il sito Wordpress della parrucchiera sotto casa mia fatto a cacchio di cane, mai aggiornato da 5 anni e pieno di malware. Sono cavoli della parrucchiera

lausent · 04-08-2017, 09:57

Quote:

Originariamente inviato da Nuke987

È inutile girarci intorno. Il responsabile sei sempre tu. Sei tu che chiedi, memorizzi ed utilizzi i dati degli utenti. Il tuo compito è anche quello di implementare oppurtuni sistemi di sicurezza che rendano un attacco, qualora andasse a buon fine, vano o che comunque ti dia sufficiente tempo per chiudere la falla. Allo stesso modo anche la scelta del fornitore è una tua responsabilità e diciamo che se prendi il server in Cina non cominciamo bene.

Il minimo sindacale è che le password non devono essere memorizzate in plain text nè con pretenziosi sistemi custom di dubbio valore. Utilizza un algoritmo affidabile in questo modo anche se entrano nel DB non fanno niente per giorni, settimane, mesi o anni a seconda della complessità utilizzata.

Se gli utenti del tuo sito inseriscono informazioni personali, la connessione dovrebbe essere SSL anche self-signed. Se gestisci anche le carte di credito o SEPA le cose si fanno serie. Gli standard di protezione PCI sono abbastanza chiari.

Tornando al provider che ti mette a disposizione il server, non ne troverai uno che nei termini e le condizioni del suo contratto non si sollevi dalla responsabilità del furto di dati dai sistemi dei clienti in hosting presso di lui. Questo ha perfettamente senso perchè un provider non può essere responsabile ad esempio per il sito Wordpress della parrucchiera sotto casa mia fatto a cacchio di cane, mai aggiornato da 5 anni e pieno di malware. Sono cavoli della parrucchiera

Direi che sei stato esaustivo al 100%

Potresti rispondermi anche a questa domanda?
http://www.hwupgrade.it/forum/showthread.php?t=2823781

03-08-2017, 15:42	#1
lausent Member Iscritto dal: Oct 2011 Messaggi: 277	Responsabilità del trattamento in un server a noleggio Che sia host condiviso o dedicato tutti i siti (almeno quelli che ho visto) recitano grosso modo che non sono minimamente responsabili di quello che uno mette sopra ed anzi è l'utente ad essere il responsabile (il noleggiante per intenderci). Supponiamo che un privato noleggi un server presso uno dei tanti siti internet per hostare un proprio sito dinamico in altre parole ha degli utenti che si registrano tramite form e pertanto nel database saranno salvati per ogni utente username, password, email (come minimo). In caso di un attacco hacker riuscito...tradotto vengono rubati i dati degli utenti (se pur minimali) chi è il responsabile? Dal mio punto di vista se l'attacco sfrutta una mia dimenticanza nel codice bhè la colpa sarebbe mia ma se invece attaccasse direttamente l'host? Ciò che vorrei capire il "Responsabile del trattamento dei dati" chi è? Dovendo fare una privacy policy (una pagina html ^^' insomma) va specificato chi è la persona o l'azienda.

03-08-2017, 23:22	#2
Nuke987 Member Iscritto dal: Jul 2009 Messaggi: 275	È inutile girarci intorno. Il responsabile sei sempre tu. Sei tu che chiedi, memorizzi ed utilizzi i dati degli utenti. Il tuo compito è anche quello di implementare oppurtuni sistemi di sicurezza che rendano un attacco, qualora andasse a buon fine, vano o che comunque ti dia sufficiente tempo per chiudere la falla. Allo stesso modo anche la scelta del fornitore è una tua responsabilità e diciamo che se prendi il server in Cina non cominciamo bene. Il minimo sindacale è che le password non devono essere memorizzate in plain text nè con pretenziosi sistemi custom di dubbio valore. Utilizza un algoritmo affidabile in questo modo anche se entrano nel DB non fanno niente per giorni, settimane, mesi o anni a seconda della complessità utilizzata. Se gli utenti del tuo sito inseriscono informazioni personali, la connessione dovrebbe essere SSL anche self-signed. Se gestisci anche le carte di credito o SEPA le cose si fanno serie. Gli standard di protezione PCI sono abbastanza chiari. Tornando al provider che ti mette a disposizione il server, non ne troverai uno che nei termini e le condizioni del suo contratto non si sollevi dalla responsabilità del furto di dati dai sistemi dei clienti in hosting presso di lui. Questo ha perfettamente senso perchè un provider non può essere responsabile ad esempio per il sito Wordpress della parrucchiera sotto casa mia fatto a cacchio di cane, mai aggiornato da 5 anni e pieno di malware. Sono cavoli della parrucchiera Ultima modifica di Nuke987 : 03-08-2017 alle 23:28.

Strumenti
Mostra una versione stampabile Invia questa pagina per email