HotSpot - Gestione banda e legge

[aleanto]

Sono alle prese con questo problema:

20 stanze di un albergo di cui gestire il collegamento internet;

ora il problema non nasce da come fare, ma da come è regolamentata la legge in tal senso. Ovvero credo sia necessario in qualche modo salvare dei logs di chi e quando naviga, in modo che se ci sono problemi (materiale non consono) si possa risalire a chi in quel momento ha navigato.

Oltre a chiedere se qualcuno conosce la legge e mi da dei riferimenti in merito, chiedo anche se conosce l'eventuale software che gestisce questa cosa.

grazie

[wgator]

Ciao,

per le Leggi Leggine, regolamenti & C, ci vorrebbe un buon "azzeccagarbugli"
in ogni caso, divertiti pure:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1482111
http://www.garanteprivacy.it/garante/doc.jsp?ID=1485429

In sintesi, io che avvocato non sono proprio, ho inteso che non si debba loggare nulla di ciò che fa il cliente dell'hotel eccetto orari di connessione ed eventualmente mac della sua scheda di rete.
In pratica, gli si dà uno username ed una password collegate al suo documento di identità; quando il cliente si connetterà, il sistema di controllo di accesso indicherà e registrerà che il determinato user e relativa password, si sono connessidalle ore tot alle tot... null'altro, altrimenti si rischia di interferire nella sua privacy (niente siti visitati, niente IP ecc.)

[wgator]

Ah, dimenticavo: per software e simili... meglio lasciar perdere, affidati ad un normale "hot spot access gateway" commerciale tipo Zyxel G-4100 o prodotti simili... (dal costo di circa 7 bigliettoni verdi...) alla fine è la strada più sicura ed economicamente conveniente...

[BTS]

un ottimo prodotto... peccato per il prezzo!

[wgator]

Ciao BTS, ben ritrovato

Beh, considerando il costo di un pc dedicato e il relativo software "hot spot billing" direi che è abbastanza conveniente
Inoltre ci si risparmiano parecchie rogne di configurazione, senza considerare la differenza di assorbimento elettrico di un pc contro un apparecchietto del genere.

Sette carte verdi, (IVA compresa) non sono poi tante nel budget di un hotel...
Considera poi che il sistema completo "chiavi in mano", compresi i cablaggi ethernet, gli access point, gli switch & c., se il lavoro lo fa un professionista può costare all'albergatore intorno ai 3.000 euro...

[BTS]

non lo metto in dubbio... però alla fine se ci pensi (mi è capitato di averne qualcuno tra le mani) è un buon ap con qualche feature di amministrazione.

non è un hardware esagerato

[pegasolabs]

Quote:

Originariamente inviato da wgator

null'altro, altrimenti si rischia di interferire nella sua privacy (niente siti visitati, niente IP ecc.)

La normative italiana per l'IT sono un assurdo
E se è un p*d**i*o?

[Ilpastore]

non scherziamo ragazzi. Bisogna conservare anche soruce IP e destination IP.

Altrimenti ch senso ha quello che dite?

cioè, se tu logghi, come è stato detto nome, password e orari e combina qualcosa di illegale, come fai a dirlo?

Cioè, le forze di polizie sanno che quell'ip ha fatto "casino" a "tale ora".

Come fai a sapere chi tra i tuoi nomi e password a quell'ora è stato?

Io loggo source IP, dest IP, e Time (il mac address è inutile)

[Alfonso78]

esatto...

le tracciature in rete devono essere consultabili dalle autorità in caso di necessità...

[wgator]

Ciao Antonio,

mi fa piacere che intervieni anche tu, che sei molto esperto in questo settore. Penso che tu ti riferisca al Decreto Pisanu del Legge 31 luglio 2005, n. 155

Ho letto su vari documenti (poi cercherò le fonti, ora è un po' tardi) che la parte che riguarda il log della navigazione da parte dei clienti è stata abrogata per via di possibili abusi da parte dei gestori dell'internet point.

Nel Febbraio di quest'anno il Garante per la Privacy ha pubblicato sulla G.U. questa nota, che sembrerebbe confermarlo:

"Restano esclusi dall'ambito di applicazione di queste regole - sia perché non assimilabili a veri e propri gestori di servizi tlc e di comunicazione elettronica sia per evitare ingiustificate conservazioni di dati - i gestori di esercizi pubblici e Internet café, i gestori di siti Internet che diffondono contenuti sulla rete ("content provider"), i gestori dei motori di ricerca, le aziende o le amministrazioni pubbliche che mettono a disposizione del personale reti telefoniche e informatiche (es. centralini aziendali) o che si avvalgono di server messi a disposizione da altri soggetti."

Non insito oltre però, non vorrei dare errate informazioni... questa è materia per "azzeccagarbugli" e "legulei", non per tecnici

[wgator]

ecco, ho trovato questa vecchia discussione dove anch'io mi riferivo al testo originario dell'allora ministro dell'Interno Giuseppe Pisanu: http://www.hwupgrade.it/forum/showthread.php?t=1254938

[Ilpastore]

allora, era stato sospeso fino ad una certa data (che però ora non ricordo con esattezza)

poi, come posti anche tu il testo, la privacy riguarda principalmente le attitudini risalenti all'individuo. Se tu sai l'ip (e bada, solo l'ip) in teoria tu sai solo numeri che passano in continuazione, senza sapere effettivamente "a volo" ex. MARIO STA VEDENDO IL SITO PORNO XXXXX.com

Ripeto, non avrebbe senso loggare solo il tempo e il mac, come faccio a risalire a chi è una volta che l'autorità e le forze dell'ordine mi dicono "QUELL'IP ALLE ORE XX:XX del GIORNO XX/XX/200X ha fatto queste cose!!???

chi è?

[Ilpastore]

il punto focale del secondo link che hai postato è questo:

...I dati di traffico telefonico e Internet, che comunque non riguardano il contenuto, sono particolarmente delicati....

[BTS]

e fin qui... ci arrivavamo tutti.


io sono dell'opinione che i log debbano essere i più dettagliati possibile, poi sta al gestore la responsabilità di gestirli nella maniera giusta

[wgator]

Ecco, ho riletto con attenzione ed ora mi risulta abbastanza chiaro, l'attuale testo di riferimento è:

"Sicurezza dei dati di traffico telefonico e telematico - 17 gennaio 2008 pubblicato sulla G.U. n. 30 del 5 febbraio 2008"

In pratica il primo link che ho postato, che riporto anche qui per comodità: http://www.garanteprivacy.it/garante/doc.jsp?ID=1482111

A noi interessa il paragrafo 3 di quel documento, che individua "chi deve conservare i dati" ed il paragrafo 4, che specifica "quali dati vanno conservati"

Per quanto riguarda i gestori di servizi telematici che interessano a noi, definiti come:

"titolari e i gestori di esercizi pubblici o di circoli privati di qualsiasi specie che si limitino a porre a disposizione del pubblico, di clienti o soci apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, ovvero punti di accesso a Internet utilizzando tecnologia senza fili"

sono tenuti a conservare e rendere disponibili, in caso di necessità,

"per esclusive finalità di accertamento e repressione di reati, solo i dati di traffico che risultino nella loro disponibilità in quanto derivanti da attività tecniche strumentali alla resa dei servizi offerti dai medesimi, nonché alla loro fatturazione. Ciò, in ossequio anche ai princìpi di pertinenza e non eccedenza stabiliti dagli artt. 3 e 11 del Codice."

[wgator]

Quindi (in teoria) potrebbe anche esserci il rischio che, conservando "troppi dati", si violino gli artt. 3 e 11 del Codice... tuttavia il problema è solo di tipo legale, tecnicamente i dispositivi come Zyxel G-4100, OvisLink AirLive WIAS-1000G, RayTalk RA-595 (apparati concettualmente molto simili tra loro) consentono di "loggare" tutto ciò che vogliamo... dipende solo da noi come li andremo ad impostare

[aleanto]

Bè innanzitutto ringrazio per la solita precisione e bravura di tutti qui...

Mi sono scaricato i 2 documenti e me li leggo con calma.

Ovviamente se qualcuno è più bravo di me nella legge (ovvero tutti...) magari se riesce a fare un sunto dei punti fondamentali...

Penso che wgator abbia già trovato il nocciolo della questione, rivedo stasera e poi vediamo.

Resto comunque anch'io dell'idea di un unico prodotto (ottimo quello zyxel!) che gestisca tutto.
Ho inviato una richiesta al commerciale zyxel per vedere se ne sa qualcosa in puù anche dal punto di vista legge/gestione.

Appena ho news aggiorno...
Penso che questo sia un argomento molto interessante anche per chi fa internet point, internet cafè ed altro visto che sarà regolamentato dalla stessa legge.

[pegasolabs]

Rimarco quanto ho già detto prima. Io non dormirei sonni tranquilli ad essere fornitore di un sevizio del genere senza poter loggare il traffico. Ovvio che i log dovrebbero essere solo conservati per il periodo di retention e consultati soltanto dall'autorità giudiziaria. Però da qui a proibirmi di tenerne traccia...
Comunque l'agomento è interessante e abbastanza ciclico: sarebbe utile venirne a capo con un ragionevole margine di certezza. Lascio in sticky la discussione per un pò.

[wgator]

Io posso solo dire come a suo tempo avevo "aggirato" la questione della privacy, dato che ho parecchi impianti del genere in giro per la Riviera Adriatica... Avevo "studiato" una specie di "doppio cieco", più che altro per comodità.

I gestori dell'internet point (gli albergatori nel mio caso) conservano i dati personali dei clienti documenti di identità e copie scontrini d'uso del servizio, mentre i log, (traccie di navigazione, IP di partenza, di destinazione, MAC dei pc ecc.) arrivano tutti al mio server dell'ufficio. Ne consegue che io (anche se impazzissi di colpo e controllassi tutti i log) non avrei la minima idea di chi ha generato quel traffico, mentre l'albergatore può solo conoscere gli orari di collegamento degli utenti.

Questo è un servizio ( fornito agli albergatori che hanno aderito al contratto di manutenzione programmata) che avevo attivato in seguito al "Decreto Pisanu" per evitare sanzioni e pasticci.

In caso di richiesta da parte delle Autorità competenti, l'albergatore avrebbe fornito l'identità di una data password e gli orari di attività di quella password, mentre io avrei potuto fornire i tabulati relativi al traffico di quel determinato periodo... Sarebbe poi toccato alla Polizia o ai Carabinieri mettere insieme il tutto.

Boh, per il momento vado avanti così, mi sembra la soluzione migliore... e... se la prossima estate capitate in un Hotel di Rimini e provincia ed usate un Hot Spot wireless, (anche in spiaggia) se non funzionasse bene, nel 90% dei casi, sapete a chi mandare improperi ed anatemi!

[aleanto]

Dal punto di vista tecnico ho trovato la soluzione che fa per me:

- router (con firewall)
- zyxel g4100 utilizzato per gli accessi (a tal proposito qualcuno conosce questo prodotto? chiedo perchè sul loro sito ho trovato la stampante con connessione RJ45 collegabile sulla lan, mentre dal mio fornitore nella foto si vede un cavo tipo seriale con terminazione rj11 anche sulla stampantina; questa sarebbe una rottura in quanto la stampantina dovrebbe restare vicino all'ap);
- switch layer 2 per gestire le porte delle stanze

Ora resta il dubbio sui log, quali e dove tenerli.

Chiara la soluzione di wgator (fatta la legge...) anche se sono d'accordo che come al solito la legge italiana è fatta col

Considerando che io non voglio certo mandarmi i logs in ufficio...