| Nextgolf Home Nextgolf News |
25-01-2012, 10:40
|
|||
|
|||
Citazione:
Vuoi dirmi che figure previste dalla Fig quali Segretario (presente corso Federale per diplomarsi tale), Direttore (presente corso federale per diplomarsi tale, requisito base diploma federale da Segretario) e Arbitri (formati e diplomati dalla federazione stessa) a fronte della certificata formazione (alla voce Organizzazione sportiva e regole per i segretari) ottenuta in maniera ufficiale non possano essere delegati al trattamento di tali dati proprio al fine di valutare al meglio l'applicazione della clausola 3.16.7 EGA HS (ex 25.7 della precedente versione)? Idem come sopra per tutti i componenti della commissione Hcp del circolo, organo obbligatorio per la Fig (e quindi ufficialmente riconosciuto)? Immagino poi che Segretari e Direttori siano sottoposti anche ad una disciplina più estesa di quella dei semplici associati e quindi ogni eventuale abuso doloso all'accesso dati può essere oportunamente normato e sanzionato. E questo mi sembra esplicitamente previsto nella circolare che Carlo ha riportato in un posto precedente di questo stesso thread (NdN Ho provato oggi a scaricare la cricolare 34 ma mi arriva un file senza estensione illeggibile da Mac) "Copio ed incollo dall'allegato D della circolare nr. 34 del 13 Dicembre 2012. 1.2 F.I.G consente all’Utente, quale ad esempio il Circolo sportivo affiliato o aggregato o la Segreteria di quest’ultimo, nonché gli Arbitri o eventuale Soggetti Terzi che forniscono servizi nell’ambito sopra menzionato (per brevità di seguito l‘ “Utente”), l’accesso, anche via internet, ai predetti Dati, necessari il perseguimento delle rispettive funzioni, secondo le condizioni di seguito specificate e nel rispetto del Decreto Legislativo n.196 del 30 giugno 2003 e successive modifiche. A tale riguardo, si precisa che F.I.G rende fruibili i Dati dei propri tesserati che, a partire dal 1 Gennaio 2012 abbiano previamente rilasciato il consenso al trattamento dei dati personali nel rispetto della normativa vigente." Quindi ancora una volta il tutto non mi sembra in contrasto con statuto e normativa privacy della federazione come avevi riportato. Altro caso? Cercando su internet mi sono capitate le normative privacy di molti circoli. Tutte quelle che sono stato a scorrere riportano che il circolo concede l'uso dei dati a Federazione Italiana Golf e circoli associati. Quindi anche il rapporto di privacy tra circolo e associato già prevede questa comunicazione dati, come io ritengo giusto, visto che alla fine la Federazione organizza l'attività sportiva ed implicità in questa funzione dovrebbe essere la trasparenza in questa attività che altrimenti parrebbe più segreta di una riunione della massoneria. Nippe 
|
|
25-01-2012, 10:48
|
|||
|
|||
|
Citazione:
Io rimango scettico in questo in quanto non vedo un solo caso che questo provvedimento possa semplificare, ma solo una zona franca che si viene a creare. Meno male che l'applicazione dell'Hcp Attivo/Inattivo concede la "facoltà" di isolare chi dovesse abusare di questa zona franca. N. PS. Comunque su questo non voglio discutere all'infinito, io ho un'opinione e l'ho giustificata, aspettiamo di vedere se questa gestione creerà dei casi eclatanti o meno oppure si tratta solo di tanto rumore per nulla.
|
|
26-01-2012, 22:15
|
|||
|
|||
|
Citazione:
Nominativo Circolo di Appartenenza Qualifica (GA-NC-RH-HCP) Numero tessera e validità Validità del certificato medico Presenza di provvedimenti disciplinari Exact Handicap Questi sono visibili da tutti; i dati relativi alle gare pregresse ( la cosiddetta scheda handicap) li vedono solo per i propri tesserati e non per altri. Il fatto di usare il numero di tessera anche come PW era una cosa semplice da trovare ed è per questo che è stata modificata la procedura; secondo quello che hai scritto sembrerebbe che questa procedura sia in contrasto con la Circolare 34 e gli allegati. Ti sembra possibile che, soprattutto in relazione alle indicazioni fornite da Filippo sulla consultazione di un legale specializzato, che possano essere incorsi in un errore così marchiano, come scrivere una cosa e farne un'altra? Credimi è la tua intepretazione che è forzata; ti dico per esperienza che l'attenzione posta nelle abilitazioni alle consultazioni dei dati è veramente meticolosa. Per le ProAm, hai indicato anche tu uno dei motivi del perchè è stata adottata la decisione di non contrastare la indicazione dell'EGA. Poi è corretto che tu resti della tua convinzione, se è veramente una convinzione. Comunque devo dire che in questo momento c'è un rapporto da 1 a 7 tra non favorevoli e favorevoli alla nuova decisione.
|
|
27-01-2012, 08:03
|
|||
|
|||
|
Citazione:
I casi in cui si hanno questi problemi sono talmente esigui che per coprirli, il ricorso alla telefonata alla SSZ per un parere, che è sempre in questo caso più che raccomandato fare, è più che sufficiente, senza costituire motivo di un allargamento che, per gli stessi motivi che hanno portato al cambio delle procedure per il rilascio delle PW ai tesserati, è stato deciso di non effettuare. Credo che lo scorso anno su circa 650.000 partecipanti alle gare di Circolo (circa 8000 con una media di circa 80 partecipanti, saranno stati 20-30 i casi in cui questa decisione è stata presa in considerazione; la procedura di consultazione è stata seguita nei rarissimi casi dello scorso anno. lo stesso MT ha chiamato me personalmente per alcuni dubbi che aveva a fronte della Audi dello scorso anno. In cinque minuti abbiamo chiarito tutto. Tieni presente che oggi è previsto che il sistema riporti nella scheda tutti i dati del tesserato (dal 1998 al 2005 per i soli dati di In HCp e di Ex HCp alla fine dell'anno e dal 2006 in poi dai risultati di tutte le gare). Ai fini della 3.16.7 basterebbe sapere i dati (limitati) dell'ultimo semestre o dfell'ultimo anno; questa potrebbe essere una strada percorribile se ce ne saranno effettive e consistenti esigenze. Il sistema ha bisogno, a mio avviso di un avviamento sulla base delle funizoni primarie che deve esercitare e della verifica che le stesse possano essere implementate, prima di prendere in esame richieste marginali, facilmente risolvibile, nei pochissimi casi in cui è può servire, con il ricorso alla informazione attraverso chi nella zona ha possibilità; Richiedere oggi la apertura a tutti i dati motivandoli per la sola esigenbza della 3.16.7 mi sembra, francamente, molto ma molto forzato e non sosteniibile.
|
|
27-01-2012, 09:17
|
||||
|
||||
|
Citazione:
basterebbe e avanzerebbe  già che si stia prendendo in considerazione è positivo 
__________________
In ottemperanza al comma 29 del DDL Intercettazioni rettifico totalmente il contenuto del post appena pubblicato.
|
|
27-01-2012, 10:00
|
|||
|
|||
|
MT, come al solito scappi in avanti.
Non è che ci sia stia pensando ora, ci sono molte cose da prendere in considerazione prima di pensare ad un problema minore come questo. Non è escluso che in una fase successiva possa essere proposta una cosa di questo genere, ma vanno valutate le limitazioni e quello che effettivamente serve. E' un appunto che mi impegno personalmente a proporre a chi di dovere in funzione delle richieste che perverranno in proposito nei prossimi mesi. E se cominci domattina a chiamare solo per giustificare questa richiesta, giuro che ........ sai già come ti rispondo.   :i nlove:
|
|
27-01-2012, 11:37
|
|||
|
|||
|
Lio,
innanzitutto grazie per il contributo alla discussione che nonostante le 25 pagine è interessante e merita di essere letta tutta. Citazione:
Io comunque ho scritto che dove tu sostieni che l'attuale impostazione (chiusura scheda risultati) sarebbe contraria sia alla legislazione sia contro l'informativa privacy stilata da Federgolf vieni smentito dalla circolare 34, dove l'eventuale utilizzo per gli scopi da me sostenuti sono tutti già ampiamente previsti e quindi autorizzati. Citazione:
Venendo nel merito il Codice in materia di protezione dei dati personali prescrive tra le altre cose che: 4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. (Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza). Rispetto all'implementazione osservata nel sistema io noto alcune incongruenze: 1) Le password sono visibili in chiaro agli utenti abilitati. 2) Le comunicazioni tra i dispositivi non avengono per mezzo di cifratura, sarebbe preferibile utilizzare il protocollo HTTPS. 3) Gli addetti dei circoli accedono al sistema con credenziali non univoche, ma relative al circolo (questo l'ho dedotto da quanto scritto qui, magari ogni addetto di segreteria ha la propria utenza personale e quindi il fatto non sussiste) 4) La password è presente in chiaro nel listato html ogni volta che si richiama la scheda giocatori (e si è abilitati alla visualizzazione della password). Questo implica che non è tracciato l'accesso del singolo addetto alla password. 5) Non mi sembra siano stati implementate le disposizioni circa lunghezza mininima, complessità e durata password (ma qui sono veramente pochi quelli in conformi al 100%) Sebbene la normativa non sia proprio cristallina nelle varie interpretazioni che si possono dare a usi e obblighi circa il trattamento dati personali, dati sensibili e dati identificativi la password dovrebbe essere sempre criptata e non leggibile a nessuno se non il sistema di autenticazione, che è poi quello che ho rilevato dalla prima volta in cui ho scritto di questo. Se proprio non si voleva vincolare la comunicazione della password alla presenza di indirizzo mail oppure numero di cellulare per SMS si poteva adottare un sistema che criptasse le password, obbligasse al primo accesso alla sostituzione della stessa e ne permettesse successivamente agli operatori solo la sovrascrittura, che è un metodo di tutela verso l'utente in quanto implicitamente comunica che qualcuno ha operato sulla sua password e che quindi questa non è più sicura. Tutta questa manfrina non solo per il principio della protezione dei dati personali (e certificato medico e info squalifiche POTREBBERO anche ricadere sotte le informazioni sensibili, potrebbero perchè è soggetto ad interpretazioni) ma perchè sfortunatamente molti utenti usano sempre la stessa e o le stesse N password e quindi una volta compromessa una si potrebbe creare un potenziali danno. Sony ha perso nel 2010 i dati personali di milioni di utenti del suo Playstation Network. Il danno maggiore non è stato dato dalle credenziali carte di credito, ma dal fatto che tramite le stesse password sono stati compromessi gli accessi a tutti quei servizi in cui gli utenti condividevano le password, tipo posta elettronica e da qui espste altre informazioni ben più importanti. Da amministratore di sistemi informatici sono soggetto alla normativa privacy e alla compilazione del più menoso Documento Programmatico della Sicurezza e fidati quando ti dico che avere password criptate inaccessibili anche all'utente e amministatore (se la perdi te la resetto, mica te la invio in chiaro) è di gran lunga l'opzione più sicura. Per concludere, ritornando alla Circolare 34 secondo me è anche abbastanza vago il riferimento alla concessione dei dati a soggetti terzi in specialmodo nel momento in cui non vengono menzionati gli usi che i soggetti terzi ne faranno. Nella informativa 2011 c'era in chiaro la comunicazione che i dati venivano concessi a Sysgolf e Unipol per la normale attività della Federazione, mentre adesso viene lasciata una porta aperta in "o eventuale Soggetti Terzi che forniscono servizi nell’ambito sopra menzionato" e " A tale riguardo, si precisa che F.I.G rende fruibili i Dati dei propri tesserati che, a partire dal 1 Gennaio 2012 abbiano previamente rilasciato il consenso al trattamento dei dati personali nel rispetto della normativa vigente." Letta così mi sembra troppo vago e generico. Fruibili a chi? Per quali scopi? se è stata modicata l'informativa va richiesto un ulteriore consenso e non mi sembra ancora di aver firmato nulla (magari lo avete legato al rinnovo tessere che cade entro il 31 marzo e non entro il 01 gennaio). Se è solo per espletare le normale funzioni della Federazione all'allora anche l'accessibilità da parte di Webgolf potrebbe essere contestabile, anche se riconosco che una volta sul sito ogni successiva pubblicità dei dati è sottoposta ad ulteriori ed esplicite richieste di consenso al proprietario dei dati. Quindi per concludere vedi che avendo anche svolto il lavoro con diligenza ci sono sempre dei lati dell'interpretazione che prestano il fianco a critiche. Capisco che non ci sia dietro nè malafede nè sotterfugi per monetizzare i nostri dati e che le scelte intraprese sono per lo più dovute alla difficoltà di coordinare norme, procedure e tempistiche, ciò non toglie che come dici tu il tutto rimane migliorabile. (aggiungerei un ampiamente se me lo concedi  )Nippe Ultima modifica di Nippe : 27-01-2012 alle ore 11:43
|
|
27-01-2012, 12:24
|
||||
|
||||
|
Citazione:
forse ho usato la parola sbagliata. intendevo che già il fatto di non mettere una chiusura totale ma pensare di poter valutare.... è positivo. poi se entro 2 mesi non è fatto ..... ti chiamo....
__________________
In ottemperanza al comma 29 del DDL Intercettazioni rettifico totalmente il contenuto del post appena pubblicato.
|
|
27-01-2012, 13:40
|
|||
|
|||
|
Nippe, giro la tua esposizione a chi sovrintende a questo settore, alzando le braccia.
Sia chiaro che anch'io sono un fruitore del servizio e che l'unica cosa che posso aver contribuito a decidere, come servizio e non poersonalmnente, è quali dati servono per gestire qualcosa e quali servono per gestirne altri. Tu entro nel merito di quale procedura è stata scelta e/o implementata e quale sarebbe stata invece quella da scegliere e/o implkementare per avere la sicurezza degli accessi. Io prendo per valida la scelta fatta, anche perchè è al di fuori del mio ruolo discutere in merito delle scelte fatte. Entro invece nella scelta di quello che serve alla SSZ per vedere i dati che le servono per gestire i suoi compiti e in quelli che sono i dati necessari per gestire una gara.
|
|
27-01-2012, 14:00
|
|||
|
|||
|
Grazie mille,
Per la visibilità mi sono già espresso e come MT non posso far altro che rilevare come positivo l'impegno ad analizzare in futuro un cambio di strategia, sempre all'interno di quanto già oggi concesso dalle norme. Per il resto vediamo se cambia qualcosa. Io, vista l'impostazione in chiaro, ho messo una psw univoca per il sito e questo già basta a circoscrivere i rischi. Nippe
|
 |
| Segnalibri |
| Strumenti discussione | |
| Modalità visualizzazione | |
|
|
Modalità lineare
