[GTER] Registro de conexões - Marco Civil

Fernando Frediani fhfrediani at gmail.com
Wed Nov 11 13:46:22 -02 2015 

Certamente Roberto.
Guarda o log quem é responsável pelo servidor. Se é um servidor 
compartilhado o Datacenter que provem o serviço é quem tem que guardar 
os logs. Se é um servidor dedicado, físico ou virtual a pessoa que 
contrata. Em resumo, aquele que é responsável pelo conteúdo. Mais 
especificamente quem controla por exemplo o servidor web e as 
ferramentas de log.
Sobre quais protocolos no meu entender são todos aqueles que possuem 
caráter de acesso,serviço e utilidade pública (Facebook, Google 
Services, e-Commerce, etc - na maioria dos casos HTTP e Email). Se você 
tem SSH/RDP aberto ou um ERP ou CRM porém só é utilizado por pessoas de 
uma empresa, os logs daquele acesso só servem à própria empresa para 
identificar para si ataques ou acessos não autorizados.
A guarda pode ser feita em qualquer tipo de storage que a empresa 
considerar adequado, desde seja mantido em sigilo e não compartilhado 
com terceiros como diz o Art.7, VII do MC. O mesmo artigo fala sobre dar 
informações claras ao usuário sobre a coleta de dados, uso, 
armazenamento, etc.

Um dúvida que talvez surja é se o desenvolvedor que paga por algumas VPS 
para executar seu trabalho tem que guardar os logs. De acordo com o Art. 
15 não, a não ser que ele seja ME e hospede também websites para seus 
clientes. Diz lá no Art. 15 "/provedor de aplicações de internet 
constituído na forma de pessoa jurídica e que exerça essa atividade de 
forma organizada, profissionalmente e com fins econômicos/ /deverá 
manter os respectivos registros de acesso a aplicações de internet/".

Fernando

On 11/11/2015 13:04, Roberto Bertó wrote:
> Temos um problema tambem para provedores de conteudo. Imagina gerenciar
> centenas ou milhares de servidores, com cada servidor gerando seu proprio
> log. Será um desafio imenso para os provedores de conteudo.
>
> Datacenters que oferecem servidores (virtuais ou dedicados), oferecem o
> servico de duas formas: gerenciado e nao gerenciado. No caso dos nao
> gerenciados, é impossível o datacenter guardar o log dos acessos web. Neste
> caso ficara o cliente o responsavel pela gerencia dos logs? O proprio
> cliente seria considerado "provedor" e responsavel pela guarda?
>
> E quais protocolos serao exigidos log? HTTP? SSH/RDP? Email?
>
> E a regulamentacao, deveria nos dar prazo de 12 meses no minimo para
> adaptar tudo.
>
> E onde guardar logs? Storages de Objeto pode ser uma solucao simples. Mas
> por outro lado, nao temos um artigo que fala que os logs devem ser
> guardados dentro da infra propria do proprio "provedor".
>
>
>
>
>
>
> Em 11 de novembro de 2015 12:26, Rôney Eduardo <roneyeduardosantos at gmail.com
>> escreveu:
>> De repente seria interessante o CGI.br elaborar uma cartilha
>> explicando a exaustão dos IPs v4, a consequente utilização de CG-NAT e
>> recomendar aos órgãos de justiça, investigação e prossecução (MPU, CNJ
>> e Secretarias de Segurança Pública dos Estados) que sempre solicitem
>> tanto o IP quanto o src-port da conexão.
>>
>> --
>> Rôney Eduardo
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list