Smau Milano 2011 Massimo Farina - smartphone e tablet
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Smau Milano 2011 Massimo Farina - smartphone e tablet

  • 801 views
Uploaded on

La gestione dei dati personali mediante Smartphone e Tablet

La gestione dei dati personali mediante Smartphone e Tablet

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
801
On Slideshare
711
From Embeds
90
Number of Embeds
1

Actions

Shares
Downloads
14
Comments
0
Likes
0

Embeds 90

http://www.smau.it 90

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Milano, 19 - 21 ottobre - Fieramilanocity La gestione dei dati personali mediante Smartphone e Tablet Le recenti linee Guida del Garante Privacy su smartphone e tablet21 ottobre 2011 - ore 16 - Arena Retail - Pad. 3Relatore: Massimo Farina Massimo Farina - www.massimofarina.it - massimo@massimofarina.it
  • 2. Milano, 19 - 21 ottobre - Fieramilanocity PREMESSA Smartphone e Tablet fanno parte della dotazione di lavoro di professionisti e impiegati a tutti i livelli. Smartphone e Tablet fanno parte della vita di tutti i giorni anche al di fuori dall’ambito 2 lavorativo. Smartphone e Tablet sono dispositivi mediante i quali si trattano DATI PERSONALI Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 2
  • 3. QUALE TRATTAMENTO?Milano, 19 - 21 ottobre - Fieramilanocity Rubrica, agenda, appuntamenti, appunti, posta elettronica, pagine web, nonché i dati memorizzati dalle singole applicazioni specializzate, costituiscono risorse preziose per l’utente ma allo stesso tempo rappresentano banche dati mobili che devono essere opportunamente protette. 3 Installazione all’insaputa dell’utenteGEOLOCALIZZAZIONE Trattamento illecito di dati personali Notificazione ex art. 37, d.lgs. 196/03 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 3
  • 4. QUALI RISCHI ?Milano, 19 - 21 ottobre - Fieramilanocity (in generale) il rischio immediato è che nomi, indirizzi e recapiti telefonici memorizzati nel dispositivo mobile possano essere acquisiti a seguito di un “furto” (o una sottrazione anche per un periodo limitato di tempo). La criticità aumenta inevitabilmente se all’interno del 4 dispositivo mobile sono memorizzati dati sensibili (si pensi, ad esempio, ad un terminale utilizzato da un medico specialista che esegue terapie a domicilio e che tiene traccia delle assistenze su tale dispositivo). Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 4
  • 5. LE MOBILE APPS E I MARKET Milano, 19 - 21 ottobre - Fieramilanocity Applicazioni per smartphone, ossia softwareMOBILE APPS che è possibile installare sugli smartphone e sui tablet per fornire funzionalità aggiuntive. 5 MARKET speciali applicazioni che visualizzano una(application vetrina virtuale dalla quale è possibile store) acquisire ulteriori applicazioni • Android Market (Google) • Apple Store (Apple) Principali market • Windows MarketPlace (Microsoft) • Nokia Ovistore (Nokia) Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 5
  • 6. “Smartphone e sistemi tradizionali: Milano, 19 - 21 ottobre - Fieramilanocity cosa cambia?” Tablet e smartphone si differenziano dai netbook eElemento dai notebook più tradizionali per la specificitàtecnico dell’hardware e del software di baseElemento modalità di acquisizione e distribuzione del softwaregiuridico (software acquisition & distribution) 6 controllato dal fornitore del dispositivo, dall’operatore telefonico, dal produttore del sistema operativo o, infine, dal “gestore delSistema centralizzato market” che opera da intermediario tra il produttore/sviluppatore dei software e dei servizi e l’utente finale segue Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 6
  • 7. Milano, 19 - 21 ottobre - Fieramilanocity Il MARKETL’utente acquista software aggiuntivi (es. un videogame)e servizi (es. un servizio di condizioni meteo, un film instreaming, un videogame in multiplayer) avvalendosi diun’applicazione fornita dal gestore denominata market epreinstallata sul dispositivo. 7 L’utilizzo del market richiede la preventiva registrazione dell’utente e l’accettazione, da parte di quest’ultimo, delle condizioni contrattuali prefissate dal gestore del market, cristallizzate in un documento denominato terms of service (ToS). Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 7
  • 8. Milano, 19 - 21 ottobre - Fieramilanocity AUTORITÀ GARANTE PER IL TRATTAMENTO DEI DATI PERSONALI Smartphone e tablet: scenari attuali e prospettive operative 8Agli inizi del 2011 l’Autorità ha avviato un’indagine che ha avutocome interlocutori privilegiati i principali produttori di sistemioperativi per smartphone (nello specifico, Nokia, Microsoft,Apple, Google), al fine di verificare gli accorgimenti adottati daqueste società per garantire la sicurezza nell’utilizzo dellemobile apps sviluppate per i loro sistemi Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 8
  • 9. CONTENUTI DELL’INDAGINEMilano, 19 - 21 ottobre - Fieramilanocity CONOSCITIVA L’authority ha invitato le società ad indicare1. i meccanismi adottati o i requisiti richiesti (in termini, adesempio, di affidabilità o di adeguato rispetto di misure disicurezza) per selezionare preventivamente gli sviluppatoriterzi (quelli, cioè, non direttamente dipendenti dalla società) 9autorizzati a distribuire le application di propria creazionesulle piattaforme di market di quest’ultima e quali condizionie procedure siano previste per un’eventuale revocadell’autorizzazione; Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 9
  • 10. Milano, 19 - 21 ottobre - Fieramilanocity RISCONTRI PERVENUTI LE SOCIETÀ HANNO RISPOSO CHE1. In tutti e quattro i casi, lo sviluppatore terzo può proporre leapplicazioni di propria creazione per la distribuzione sulla piattaforma dimarket dell’intermediario prescelto soltanto a seguito del 10perfezionamento di una procedura di registrazione ed all’accettazione dispecifici accordi contrattuali predisposti, proprio, da quest’ultimo; neconsegue una marcata eterogeneità delle clausole contrattuali cui glisviluppatori sono vincolati, a seconda che decidano di proporre leproprie creazioni all’una o all’altra delle quattro diverse società. Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 10
  • 11. CONTENUTI DELL’INDAGINEMilano, 19 - 21 ottobre - Fieramilanocity CONOSCITIVA L’authority ha invitato le società ad indicare2. meccanismi adottati per valutare le diverse funzionalitàdelle application e per verificare se la raccolta di dati 11personali effettuata dallo sviluppatore, per il tramitedell’applicazione, sia effettivamente pertinente rispetto allepredette funzionalità e alle finalità della raccolta. Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 11
  • 12. RISCONTRI PERVENUTI Milano, 19 - 21 ottobre - Fieramilanocity LE SOCIETÀ HANNO RISPOSO CHE In quest’ambito è stato possibile, tuttavia, identificare due diversi e contrapposti modelli di condotta, che si distinguono per il modo in cui viene garantita la sicurezza delle applicazioni messe in vendita tramite il market e possono 12 essere definiti nel modo seguente:• privacy by process• privacy by platform Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 12
  • 13. Milano, 19 - 21 ottobre - Fieramilanocity PRIVACY BY PROCESS Il processo di accreditamento dei potenziali sviluppatori e di inserimento delle loro applicazioni nel market viene sottoposto ad un rigido controllo, tipicamente formalizzato in un accordo ToS (Terms of Service – condizioni di contratto) tra il soggetto interessato a pubblicare il suo software sul market e il gestore del market stesso. Inoltre, l’applicazione viene controllata allo scopo di garantirne la sicurezza sotto il profilo tecnico prima dell’immissione nel mercato. 13ESEMPIO: App Store di Applechi pubblica a nome di una azienda (e non come sviluppatoreindipendente), infatti, deve fornire visura della propria iscrizione al registrodelle imprese e qualsiasi applicazione sottomessa, prima di essere resadisponibile sull’App Store, viene testata da un apposito team e, solo dopoaverne verificato la correttezza tecnica, è pubblicata sullo store accessibileagli utenti. Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 13
  • 14. Milano, 19 - 21 ottobre - Fieramilanocity PRIVACY BY PLATFORM il gestore del market non effettua un controllo preventivo sull’applicazione, ma affida la tutela dei diritti dell’utente alla solidità della piattaforma di sistema operativo, alle sue funzionalità che permettono all’utente di avere coscienza di quali dati saranno oggetto di trattamento da parte dell’applicazione disponibile sul market, facendo ricorso a meccanismi di ranking gestiti dai fruitori del servizio 14 ESEMPIO: Android Marketla pubblicazione non è soggetta ad alcuna verifica da parte di Google.Nonostante questo, le applicazioni malevole o fraudolente sono eliminatein tempi brevissimi dall’Android Market, a seguito di segnalazioni degliutenti o delle aziende usate come esca Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 14
  • 15. CONTENUTI DELL’INDAGINEMilano, 19 - 21 ottobre - Fieramilanocity CONOSCITIVA L’authority ha invitato le società ad indicare 3. le policies interne per assicurare il rispetto della normativa in materia di protezione dei dati personali e quali meccanismi siano adottati per verificare la conformità delle application già distribuite alla predetta normativa, nel caso 15 in cui pervengano segnalazioni da parte degli utenti. Risposte eterogenee Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 15
  • 16. QUALI RISCHI ? Milano, 19 - 21 ottobre - Fieramilanocity (secondo il Garante)1. il rischio cagionato dalla carenza di consapevolezza dell’utente in ordine a profili di assoluta rilevanza che lo riguardano in maniera diretta e possiedono potenziali attitudini lesive dei suoi diritti in materia di protezione dei dati personali; 162. le specificità legate all’utilizzo di applicazioni, specie quelle ad opera di sviluppatori terzi, che raccolgono dati sulla vita privata (dai contatti alla posizione geografica, sino alle abitudini di consumi e comportamenti, a dati relativi alla salute ed alla vita di relazione); Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 16
  • 17. QUALI RISCHI ? Milano, 19 - 21 ottobre - Fieramilanocity (secondo il Garante)3. la possibilità che i soggetti che trattano le informazioni personali degli utenti, anche eventualmente di carattere sensibile, possano renderle “pubbliche” ovvero comunicarle ad altri soggetti determinati, sia per finalità commerciali che di altro genere, non specificamente 17 correlate alla raccolta e, più in generale, non conformi ai desideri dell’utente medesimo, innanzitutto per l’indubbia attitudine dei dati a favorire attività di profilazione dell’utente; Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 17
  • 18. QUALI RISCHI ? Milano, 19 - 21 ottobre - Fieramilanocity (secondo il Garante)4. la possibilità che, in assenza di regole specifiche, i dati così raccolti possano essere archiviati sui sistemi del fornitore del servizio applicativo per periodi di tempo ultronei rispetto alla fornitura del servizio stesso, potenzialmente indeterminati; che, addirittura, possano 18 continuare a costituire oggetto di trattamento perfino successivamente al momento in cui l’utente ha cessato di far ricorso ad una determinata applicazione ovvero di utilizzare uno specifico dispositivo. Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 18
  • 19. OBIETTIVI DA RAGGIUNGERE Milano, 19 - 21 ottobre - Fieramilanocity (secondo il Garante)1. implementare sia la trasparenza nelle modalità di funzionamento delle applicazioni, con specifico riguardo al trattamento delle informazioni personali degli utenti, sia il controllo esercitabile, nonchè la dimensione;2. combinazione di accorgimenti tecnici - sufficientemente generali da non modificare le strategie di mercato ma comunque ragionevolmente 19 efficaci - e di norme contrattualistiche da inserire negli accordi proposti dai gestori dei market e rivolti sia agli sviluppatori delle applicazioni che agli utenti finali. Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 19
  • 20. MISURE DI SICUREZZA Milano, 19 - 21 ottobre - Fieramilanocity APPLICABILI Telefoni cellulari e tablet sono classificati Credenziali come dispositivi personali prima che d’accesso portatili. Il loro contesto di utilizzo non è multiutente. Pertanto mancano concetti quali username, password, home directory, access control list. 20Non è possibile definire all’accensione o al ripristinodiverse credenziali di dalla condizione di stand-accesso ma soltanto dei by, il terminale chiede uncodici di sblocco. codice di accesso per abilitare l’interfaccia utente Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 20
  • 21. CRITICITÀ Milano, 19 - 21 ottobre - Fieramilanocity Terminali dotati di funzionalità USB-Storage (che possono essere utilizzati come unità di salvataggio dati per PC quando connessi attraverso un cavo USB).In questa modalità, il terminale si Proposta di soluzionecomporta alla stregua di un comune È consigliato installarependrive, rendendo accessibili ipropri dati dal navigatore del un’applicazione in grado di 21filesystem del computer in uso. crittografare i dati prima delleEventuali blocchi posti al terminale loro memorizzazione,possono risultare inutili, essendo ponendo un’ulteriore barrieradirettamente accessibile il contenuto d’accesso rappresentata dadella memoria locale e quella di una password alfanumericaeventuali memory card installate sultelefono. che inibisce la lettura dei dati e le funzionalità Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 21
  • 22. MISURE DI SICUREZZA Milano, 19 - 21 ottobre - Fieramilanocity APPLICABILI Gli aggiornamenti, come in ambiente PC, risolvono malfunzionamenti edaggiornamenti eventuali vulnerabilità, migliorano le prestazioni e la compatibilità con le applicazioni.I principali produttori, forniscono I terminali basati su Android, 22strumenti gratuiti per beneficiano di un sistema dil’aggiornamento automatico del aggiornamento attraverso la retefirmware dei dispositivi: è cellulare o la connessionesufficiente avviare l’utility e wireless: il terminale provvedeconnettere il terminale con il cavo automaticamente al recuperoin dotazione per verificare la dell’aggiornamento e avvisadisponibilità di una nuova versione l’utente di effettuaredel software di sistema l’aggiornamento software. Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 22
  • 23. CRITICITÀ Milano, 19 - 21 ottobre - FieramilanocityRispetto all’aggiornamento del software del PC, l’aggiornamento delfirmware di un terminale è una operazione critica che, se interrotta (acausa di mancanza di alimentazione o distaccamento del cavo dati) puòprovocare il danneggiamento del dispositivo e l’impossibilità di procedea un ripristino o al recupero dei dati in esso memorizzati suggerimento 23- è necessario avere la batteria sempre carica ed essere collegato auna sorgente di alimentazione durante il processo di aggiornamento.- prima di effettuare l’aggiornamento del firmware è comunqueconsigliato eseguire un back-up completo del contenuto della memoriadel telefono (operazione eseguita automaticamente da alcune utility diaggiornamento). Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 23
  • 24. MISURE DI SICUREZZA Milano, 19 - 21 ottobre - Fieramilanocity APPLICABILI I produttori di telefoni cellulari e computer palmari forniscono applicazioni che consentono di gestire alcune funzionalità del telefono direttamente da PC: lettura messaggi ricevuti e invio nuovi messaggi,Back-up 24 accesso ai contenuti multimediali, gestione della rubrica e anche il back-up dell’intero contenuto del dispositivo, per ripristinarlo a seguito di un aggiornamento del firmware o di un reset forzato Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 24
  • 25. MISURE DI SICUREZZA Milano, 19 - 21 ottobre - Fieramilanocity APPLICABILI I software antivirus sono disponibili per i maggiori sistemi operativi (Windows Mobile e Symbian OS), mentre non sono installabili sui sistemi operativi proprietari. Un discorso a parte meritano gli ambienti più moderni, quali iOS (che equipaggia i terminali iPhone e iPad) e Android: come già visto, la distribuzione del softwareantivirus attraverso gli application store offre maggiori tutele per gli utenti finali, che possono contare su un sistema 25 centralizzato di segnalazione di software malevolo. Nel caso particolare della piattaforma Apple, poi, i meccanismi di protezione e isolamento delle applicazioni e il processo di valutazione/certificazione delle applicazioni prima della pubblicazione sull’App Store rappresentano una barriera molto efficace per la diffusione di malware. Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 25
  • 26. Milano, 19 - 21 ottobre - Fieramilanocity l’attenzione Grazie per l attenzione 21 ottobre 2011 massimo@massimofarina.it http://www.massimofarina.it 26 http://www.diricto.itRINGRAZIAMENTI: Ringrazio Stefano Sanna, il cui supporto è stato difondamentale importanza per l’analisi e la comprensione di tutti gliaspetti tecnici relativi a smartphone e tablet. Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 26
  • 27. Milano, 19 - 21 ottobre - Fieramilanocity LICENZAAttribuzione - Non Commerciale - Condividi allo stesso modo 2.5 Tu sei libero di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare lopera, di creare opere derivate alle seguenti condizioni: • Attribuzione. Devi riconoscere il contributo dellautore originario. • Non commerciale. Non puoi usare quest’opera per scopi commerciali. • Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi27 distribuire l’opera risultante solo per mezzo di una licenza identica a questa. In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera. Se ottieni il permesso dal titolare del diritto dautore, è possibile rinunciare ad ognuna di queste condizioni. Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra Massimo Farina - www.massimofarina.it - massimo@massimofarina.it 27