Software: i dati dei clienti a rischio nel test delle applicazioni


Mi sono imbattuto in un sondaggio realizzato da Compuware e Ponemon ove vengono riportati i risultati di una recente ricerca sulla natura dei dati impiegati nello sviluppo e nel test delle applicazioni software.

Sulla base di questi risultati sembrerebbe che il 64% delle aziende europee intervistate utilizzi, nel corso di questi test, dati reali dei clienti al posto di dataset fittizi o, se preferite, anonimizzati.
Per la verità, anche in virtù di passate esperienze, sospetto che questa percentuale, almeno per quanto riguarda l'Italia, sia molto superiore.

Qualcuno a questo punto potrebbe obiettare che non c'è nulla di strano perchè nessuno è interessato a questi dati, perchè i test vengono condotti in ambienti separati rispetto a quelli di produzione (anche qui ho delle forti perplessità e, comunque, è peggio che andar di notte, vista la scarsità di misure di protezione che, generalmente, affligge i primi) eccetera, eccetera...

Ovviamente quando passiamo all'esame della reale tipologia dei dati ci troviamo di mezzo un pò di tutto, quindi non soltanto dati anagrafici, recapiti telefonici, elettronici e quant'altro, ma anche numeri di carte di credito, numeri di previdenza sociale, e chi più ne ha più ne metta.

Come se non bastasse il 42% del campione intervistato esternalizza i test ed il 60% condivide con l'organizzazione in outsourcing i dati reali.

Chissà quante di queste "condivisioni" sono citate nelle informative e sono oggetto di consenso specifico ?
Posso già immaginarmelo: "Gentile cliente...la informiamo che i suoi dati più riservati verranno utilizzati durante i test di applicazioni software...non meglio precisate e saranno condivisi con organizzazioni esterne...ma comunque sempre nel rispetto della normativa vigente..."

Infine, per concludere, più di un terzo del campione (35%) non riesce a rendersi conto del fatto che i dati sono stati eventualmente compromessi, il 45% dichiara esplicitamente che questi dati sono soggetti a smarrimento o furto ma, nonostante tutto, il 50% non adotta alcuna procedura per la protezione delle informazioni.

Con buona pace, non soltanto di ogni normativa in materia, ma anche di qualunque elementare forma di buon senso (per favore non chiamiamola sicurezza, significherebbe scomodare un concetto troppo elevato !) .

0 commenti: