Legge sulla Privacy e SQL Server

Come – spero – molti di voi sapranno, sta per scadere la deroga sull’applicazione della legge sulla privacy (precisamente il 15 Dicembre 2009), e quindi molte aziende si stanno chiedendo cosa fare per poterlo attuare.

Putroppo la legge non brilla per chiarezza, e quindi i dubbi sono molti, sopratutto per quanto riguarda il comportamento da tenere nei confronti dei database e, successivamente, su come poter implementare tutto ciò che serve per essere aderenti alla normativa stessa.

Ho quindi deciso scrivere in un articolo specifico una breve analisi della legge, interprentandola sia nel modo più semplice che in quello più rigoroso, e verificando come, con SQL Server, sia possibile implementare tutte quelle soluzioni che ci permettono di essere conformi a quanto richiesto dalla legge sulla privacy.

L’articolo lo trovate qui:

http://www.ugiss.org/Content/Article/SQL-Server-e-la-legge-sulla-Privacy.aspx

Ovviamente feedback e commenti sono più che benvenuti.

Published sabato 14 novembre 2009 11.40 by dmauri
Filed under: , , , , ,

Comments

# re: Legge sulla Privacy e SQL Server

giovedì 26 novembre 2009 12.08 by ncbni

Ciao,

per prima cosa complimenti per l'articolo, interessante analisi sia tecnica che normativa (concordo con te che la norma vada interpretata e in base all'interpretazione ne derivino diversi livelli di complessita' di implementazione).

Nello specifico, sto facendo qualche test con il Server Side Scripting su 2005 e sembra essere una buona soluzione per il mio caso. L'unico problema che ho trovato e' che non sembra supportare un meccanismo di "logrotate" dei file di trace (come invece fa ad es. per i suoi log), per cui una volta raggiunga la maxsize il trace si ferma. Tu hai avuto modo di affrontare questo problema? Se si come?

Ho pensato ad es a schedulare giornalmente una stored che ricrei il trace con il nome del file generato in base alla data e poi affiancare un meccanismo di archiviazione, ma volevo capire se non c'era qualche meccanismo automatico gia' di SQL Server quantomeno per la parte di rotazione dei log (temo di no).

# re: Legge sulla Privacy e SQL Server

lunedì 30 novembre 2009 10.01 by dino

Ciao, Davide

complimenti per l'articolo, davvero completo e chiaro.

Tuttavia ho qualche domanda da farti in merito alle funzionalità di sql che sulla documentazione non sono molto chiare:

1) ad un certo punto dell'articolo dici che è possibile, da sql2000 in poi, scrivere nel registro di windows login e logout. Dov'è opzione relativa al logout?

2) le funzionalità di auditing di sql2008 sono presenti solo nella versione enterprise?

3) se sì, come immagino, nei books online è riportato che ci sono delle funzionalità di "SQL auditing foundation" in tutte le versioni (ms-help://MS.SQLCC.v10/MS.SQLSVR.v10.en/s10sq_GetStart/html/5da61ff5-12b9-48e6-b3c8-0dacca1751c4.htm): cosa significa (su Google non ho trovato nulla)?

3) Spesso, per soddisfare tali adempimenti, si utilizzano dei sw di gestione ed analisi dei log, che tipicamente possono leggere log da file di testo o dal registro di windows: che tu sappia, esiste qualche tool che consente di leggere i file di tracing di sql e scriverli in file di testo o nel registro di windows?

Grazie

Dino

# re: Legge sulla Privacy e SQL Server

sabato 5 dicembre 2009 17.49 by dmauri

@ncbni

la procedure sp_trace_create, utilizzata per attivare il server-side tracing permette di specificare un funzionamento di tipo rollover, proprio specifiando il valore 2 per il parametro @option, come definito qui:

msdn.microsoft.com/.../ms190362.aspx

Attenzione ovviamente ad importare il contenuto dei file di log prima che questi vengano cancellati in automatico.

# re: Legge sulla Privacy e SQL Server

sabato 5 dicembre 2009 18.16 by dmauri

@dino

1) mmm...nell'articolo pubblicato è rimasto un refuso! Parte dell'articolo l'ho scritta in aereo e per SQL server 2000 sono andato a memoria. Dopo aver fatto una verifica avevo rimosso la frase...ma evidentemente non dalla versione pubblicata. Correggo subito, grazie!

2) confermo che il SQL Server Audit è disponibile solo con la versione Enterprise

3) Bella domanda....a cui non posso risponderti per certo dato che non sono nella "testa" di chi ha scritto la pagina di confronto delle varie versioni di SQL Server. Immagino che intenda il fatto che con il Server-Side tracing si può cmq loggare tutto e quindi fare implicitamente auditing...

3) no, non sono a conoscenza di tali tool. Alcuni tool però si sono ormai adeguati (ad es www.gfi.com/eventsmanager) e leggono direttamente già i log di SQL Server

(C) 2007 User Group Italiano di SQL Server