CMS Made Simple Forums

Un saluto a tutti Voi del forum.
Il Decreto Legislativo 30 Giugno 2003, n.196 pone il vincolo per i sistemi di autenticazione di dotarsi di un sistema automatico che gestisca le scadenze password (da 3 ai 6 mesi al massimo).
Qualcuno ha realizzato sul CMS Made Simple un sistema in grado di adempiere al Decreto Legislativo 30 Giugno 2003, n.196 con il quale si obbliga il sistema di autenticazione del CMS ad avere una scadenza password per ciascun utente registrato (che sia amministratore o utente del portale), oppure detta normativa non comprende (per tipologia) i CMS?
Un grazie a tutti.

premessa... cheppalle 'sta privacy...
si interessassero veramente alla privacy e non alle minchiate... s'interessassero a non catalogare la gente per le sue preferenze sessuali, per la fede religiosa o alcuna fede che ha, per le opinioni politiche... quella è la garanzia di privacy...

a parte la premessa... (ma mica tanto a parte)... il sistema gestisce già il cambio password da parte dell'utente... sia lato backend che frontend...

sinceramente che venga fatto obbligatoriamente con periodicità il cambio di pw mi sembra una minchiata... cosa garantisce che cosa in fatto di privacy una cosa così? I sistemi di intrusione pensa come sono intimoriti da un sistema che ti fa cambiare la pw ogni tre mesi!

Rimane comunque la possibilità (drastica) di dare una scadenza all'account... lato frontend questo è già possibile...

Se posso dire la mia, anch'io trovo un pò eccessive alcune restrizioni (e da quanto ne sò solo in Italia).
Lasciando da parte altri commenti, passando ad un caso pratico, lato back-end del portale, l'amministratore del sito nel momento di generare degli ulteriori account per la gestione di specifiche pagine del sito può stabilire dopo quanto le password debbano essere cambiate dalle stesse utenze?
Oppure il fatto di dare una scadenza all'account (sempre lato back-end) ne implica una completa cancellazione dello stesso profilo utente?

non mi risulta che sia possibile definire l'obbligatorietà del cambio pw... ne lato backend ne lato frontend... rimane una possibilità autonoma dell'utente.

Lato backend non mi risulta nemmeno che possa essere impostata una scadenza dell'account, mentre è possibile farlo lato frontend... cosa succeda alla scadenza non lo so... io di default ho messo 260 mesi... le prime scadono nel 2030...

Vorrei commentare in due battute:
1 - La soluzione per "aggirare" la normativa sarebbe quella di non trattare dati sensibili, ovvero ad esempio creare degli account non legati a nessun tipo di email, nome reale, indirizzo, etc.....e comunicarli agli interessati. Secondo te potrebbe andare?
2 - Per quanto riguarda invece sistemi di newletter suppongo (e spero) che tali sistemi esulino dall'applicazione questa direttiva in quanto non esistono generazione di account, ma solo inoltro di email di comunicazione a fronte di accettazione di condizioni sulla privacy. Che ne pensi?

lo so che il senso delle tue riflessioni è tecnico e non di merito, ma io mi sono letteralmente stufato in questo Paese che ci debba sempre essere il bisogno (o la necessità... che non è poi cosa tanto diversa) di "aggirare" le regole... si fa la norma (alla cazzo di cane) e poi, ovviamente, bisogna trovare il modo di renderla inefficace.

Non sono un avvocato, ma pongo una semplice domanda... è proprio sicuro che un sito (come quelli proposti normalmente) è soggetto a questa normativa? Una raccolta di dati perché sia considerabile tale dovrebbe, a mio avviso, definire un metodo per accertare la validità di tali dati... in vacanza di ciò, tale database dovrebbe essere considerato un semplice inutile elenco di frottole... dobbiamo tutelare le frottole?

Mi spiego meglio.

In un sito come quelli che posso predisporre io... posso pure mettere obbligatoria la registrazione con nome e cognome (e lo faccio), richiedere la data di nascita e l'indirizzo... ma non ho nessun sistema che certifichi la validità di quelle informazioni... non richiedo fotocopie di carte d'identità o passaporti...

Ai miei siti si può iscrivere tal Giuseppe Garibaldi, nato a Nizza il 4 luglio 1807 e residente a Caprera... dovrei tutelare la sua privacy?

I dati raccolti dal sito sono liberamente rilasciati dall'utente, che ne ha la totale disponibilità di modificarli o eliminarli... l'unico dato vero che a noi interessa è la disponibilità dell'utente dell'indirizzo e-mail con il quale si registra. Un indirizzo elettronico, però, non è una cosa tanto diversa da un indirizzo postale tradizionale... Anzi, quello elettronico, per sua stessa caratteristica, permette all'utente ben più "protezione" rispetto ad un indirizzo "analogico"... uno può mettere un antispamm alla sua casella elettronica, proteggere la cassetta delle lettere con un Pitbull è più complicato.

Gli indirizzi "analogici" sono pubblici per loro stessa natura... dal momento che uno mette sulla pubblica via una cassetta per la posta e ci mette sopra un'etichetta con il suo nome... perché dovrebbe essere diverso per una casella elettronica?

Unica eccezione a quanto detto sopra può essere un sito e-commerce...

Sottoscrivo in pieno Protempore!
Non ne posso più di 'sti 4 cialtroni che legiferano su materie da incompetenti quali sono. (vedi proposte Carlucci ecc.).
La scadenza obbligatoria della password è una delle più grosse minchiate da quando l'uomo inventò il cavallo  .

Avete mai presentato la dichiarazione online nel sito dell'Agenzia delle Entrate? La password scade dopo un anno: esattamente il periodo di tempo che intercorre tra un accesso e l'altro!! Quindi ogni volta devo rifare la procedura per riattivarla. E allora la togliessero direttamente e mi facessero accedere solo con la procedura ecc.!!

Vabbe', mi sono sfogato abbastanza (mica tanto, fosse per me...).

Comunque, se non ricordo male, la password deve scadere ogni 3 mesi solo in caso di trattamento di dati "sensibili".

nervino wrote: ...Comunque, se non ricordo male, la password deve scadere ogni 3 mesi solo in caso di trattamento di dati "sensibili".

appunto... c'è una grossa confusione sul significato di "sensibili"... a vedere certe interpretazioni si ritiene "sensibile" anche un indirizzo... ed è una immensa cavolata... i dati "sensibili" sono quelli per i quali ci si può ricondurre a conoscere le preferenze sessuali, le opinioni politiche, la fede o meno in una religione... tutto il resto non è "sensibile", ma semplicemente un dato "personale" tutelato dalla Legge.

In ottemperanza alle finalità della Legge, non è impedito di raccogliere tali dati, quanto rendere effettivo per l'avente diritto (cioè l'utente) di disporne come crede... e questo non mi sembra sia impedito da sistemi di registrazione come quelli previsti in CMSMS.

...tanto più che non sono dati certificati... possono essere una montagna di frottole.