Docs Italia beta

Documenti pubblici, digitali.

Linee Guida OpenID Connect in SPID
Progetto: Documenti in consultazione
Amministrazione: AGID
Informazioni
Sorgente
Azioni

12. Gestione dei log

OpenID Provider e Relying party devono conservare i log di ogni autenticazione e devono essere mantenuti per un tempo pari a 24 mesi.

In particolare devono essere conservate le evidenze di:

  • rilascio di ID e access token a fronte di autenticazione;
  • rilascio di refresh token a fronte di autenticazione;
  • rilascio di ID e access token a fronte di utilizzo del refresh token.

Per ogni rilascio devono essere conservati JWT costituenti richiesta e risposta, occorre, inoltre, tracciare le chiamate e le relative risposte effettuate verso ogni endpoint.

Le tracciature devono essere mantenute nel rispetto del codice della privacy sotto la responsabilità dell’OpenID Provider o del Relying Party e l’accesso ai dati di tracciatura deve essere riservato a personale incaricato.

Al fine di garantire la confidenzialità potrebbero essere adottati meccanismi di cifratura dei dati o impiegati sistemi di basi di dati (DBMS) che realizzano la persistenza cifrata delle informazioni.

Per il mantenimento devono essere messi in atto meccanismi che garantiscono l’integrità e il non ripudio.