Il Garante della Privacy con il suo provvedimento del 27 novembre 2008 ha emesso una serie di Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema.

Senza entrare nello specifico del provvedimento, i suoi effetti si estendono anche ai database imponendo ai DBA di tracciare gli accessi alla base dati su log che poi andranno conservati per un congruo periodo non inferiore ai 6 mesi su memoria ottica non riscrivibile o su supporti non ottici inalterabili.

Paradossalmente, quindi, si renderà necessario loggare tutte le connessioni e le disconnessioni dalla base dati, anche se queste avvengono sempre con lo stesso utente applicativo e con le stesse modalità.

PostgreSQL permette di effettuare tale operazione attraverso due parametri presenti nel file postgresql.conf log_connections e log_disconnections.

Questi parametri, che sono impostati a off per evitare un sovraccarico inutile al sistema andranno reimpostati a on nel suddetto file di configurazione ed effettuato un reload del postmaster affinché tali parametri siano riletti.

Relativamente alle informazioni da loggare, il provvedimento recita:

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi;

Considerato che le informazioni scritte nel log di esercizio hanno la seguente forma

2009-11-12 15:15:56 CET LOG:  connection received: host=127.0.0.1 port=53714
2009-11-12 15:15:56 CET LOG:  connection authorized: user=postgres database=postgres
2009-11-12 15:16:04 CET LOG:  disconnection: session time: 0:00:07.942 user=postgres database=postgres host=127.0.0.1 port=53714

La sola attivazione dei parametri log_connections e log_disconnections appare sufficiente per ottemperare l'obbligo di legge.

Al termine di questo breve howto è d'obbligo una considerazione sulla sostanziale inadeguatezza di tale provvedimento il quale, non tenendo conto del fatto che normalmente un prodotto applicativo accede alla base dati con una singola utenza, genera un inutile carico sui log di esercizio i quali verranno riempiti con righe contenenti sempre le stesse informazioni differenziate soltanto dalla data e ora di accesso.

Il provvedimento diventa esecutivo il 15 dicembre 2009. Entro tale data bisognerà adeguare i propri database per non incorrere in sanzioni.