Il sistema di Data Log Retention studiato da Tglobal in collaborazione con Assoprovider per l'adeguamento da parte di piccoli e medi operatori ottiene il parere di conformità da parte del Garante per la Privacy.

Il Recepimento normativo in tema di dati di traffico telefonico e telematico del Garante per la Privacy è ormai in vigore dal 15 dicembre 2009 e ciò avrebbe dovuto implicare l'obbligo per tutti gli operatori interessati ad adeguarsi entro tale data.

L' obiettivo di tale provvedimento è assicurare che la conservazione dei dati da parte dei fornitori, indispensabile per motivi di pubblica sicurezza, avvenga in modo tale da garantire la tutela dei diritti e delle libertà delle persone evitando eventuali abusi (quali quelli emersi nel recente passato), che possono comportare importanti ripercussioni sulla sfera privata degli individui o violare specifici segreti attinenti a determinate attività, relazioni e professioni. In altre parole una serie di misure di bilanciamento fra sicurezza e privacy .

Il provvedimento del Garante, condivisibile negli intenti, è stato formulato all'indomani degli scandali sulle intercettazioni (Caso Telecom) e quindi pensato per porre dei vincoli alle attività di Data Retention dei grandi operatori e alle loro strutture interne.

Durante le consultazioni, precedenti l'emissione dei provvedimenti ,Assoprovider ha fatto presente che gli adempimenti così pensati fossero incompatibili con le possibilità economiche dei provider di piccole e medie dimensioni; una volta emerse le regole cui adeguarsi Assoprovider ha cercato una soluzione per fare incontrare le richieste del Garante con la dimensione tecnico economica dei piccoli operatori italiani.

Grazie al parere positivo del Garante sulla possibilità di “terziarizzare” la conservazione dei log per tutti i dodici mesi, sollevando così il singolo ISP da tutti gli oneri derivanti dalla gestione e amministrazione dei sistemi di archiviazione dei log, è stata individuata la soluzione nel Sistema Data Log Retention sviluppata da Tglobal, società composta da numerosi provider presenti nel territorio nazionale e che vede la partecipazione della stessa Assoprovider.

Oggi tale soluzione, studiata dai Provider per i Provider, ha ottenuto il parere di conformità da parte del Garante per la Privacy, un risultato molto importante conseguito in collaborazione con Assoprovider e che permette

1. ai piccoli e medi operatori, soci e non di Assoprovider, di adeguarsi alla normativa a prezzi orientati al costo
2. ad una normativa di essere una volta tanto applicabile a tutti i livelli, nell'interesse del paese.

La normativa italiana in merito al Data Retention sui log relativi al traffico telematico (ad esclusione dei contenuti delle comunicazioni), prevede la conservazione di tali dati per un periodo di 6 mesi + 6 mesi.

Nel primo periodo si potrà accedere ai log solo per finalità di accertamento e repressione dei reati.

Nel secondo periodo si potrà accedere ai log solo per esclusive finalità di accertamento e repressione dei reati di cui all'articolo 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici.

Il servizio studiato da Tglobal si differenzia dai sistemi attualmente in commercio, in quanto permette di “terziarizzare” la gestione dei log per tutti i dodici mesi, sollevando l'ISP-cliente da tutti gli oneri derivanti dalla gestione e amministrazione dei sistemi di archiviazione dei log.

L'unico onere dell'ISP sarà quello della raccolta dei log dai propri sistemi, il criptaggio, la marcatura temporale e l'invio a Tglobal: questo può avvenire installando un apposito script PERL sul proprio log server, oppure installando un nuovo log server preconfigurato all'interno dell'azienda su un server fisico o virtuale; in entrambi i casi, il software verrà fornito all'atto della sottoscrizione del contratto.

Il sistema per la raccolta dei log in locale, si basa essenzialmente su un syslog server unito ad un sistema di criptaggio dei file attraverso lo standard PGP (Pretty Good Privacy) che è un sistema nativo di strong authentication in quanto prevede sia il criptaggio asimmetrico dei dati attraverso un certificato pubblico (server) e uno privato (client), sia l'obbligo dell'inserimento di una password per procedere alla decriptazione dei dati.

Inoltre il sistema si integra con la Posta Elettronica Certificata (PEC) con lo scopo di applicare al log una marca temporale.

Il servizio fornito da Tglobal consiste, quindi, in un accesso ad un server remoto (replicato per sicurezza) che conterrà i log di accesso per tutti i 12 mesi. Da parte loro, i server di Tglobal si occuperanno giornalmente di cancellare i log che risiedono sui propri server da più di 12 mesi.

In caso di richiesta da parte dell'autorità giudiziaria, per garantire il corretto accesso ai dati all'interno dei server di Tglobal, sarà necessario accedere ad uno dei due storage attraverso l'interfaccia web su protocollo HTTPS. All'atto del collegamento lo storage richiederà l'autenticazione dell'utente attraverso il sistema di Strong Authentication C.A.S..

Tglobal dispone di due server in due diversi datacenter (uno a Milano certificato ISO 27001 e uno a Padova in via di certificazione) ove sono presenti gli storage per archiviare i log. Ogni storage consiste in un server rack 1 unita basato su tecnologia Intel CoreDuo con due dischi da 500 GB in mirror e con 1 Mbit di banda minima garantita sul nazionale. Ogni coppia di server è destinata a contenere lo storage di 50 clienti; una volta raggiunto tale limite, verrà implementata una seconda coppia di server.

Il contratto di fornitura di servizio ha durata annuale con tacito rinnovo automatico e comprende lo storage base di 5 GB su ciascuno dei due server di Tglobal. Il costo di setup ed il canone annuale del servizio è quello esposto in tabella.