Risultati
144 risultati
-
AGID
Allegato 5: Misure minime di sicurezza
Il Soggetto erogatore DEVE implementare almeno le seguenti misure di sicurezza:. gestione e tracciatura degli accessi, con una profondità storica tale da consentire la raccolta e l’analisi di informazioni relative a incidenti e malfunzionamenti anche per finalità diagnostiche; le informazioni così raccolte devono essere leggibili e conservate al fine di essere rese disponibili al Gestore e alle Autorità di controllo, ove richiesto;. implementazione di sistemi adeguati di controllo, disaccoppiamento e. filtraggio tipici dei servizi esposti su rete pubblica;. configurazioni di sicurezza di sistema avanzate, da adottare sui. sistemi che ospitano le applicazioni web;. verifica periodica dei livelli di sicurezza comprese le attività di. analisi dei rischi, vulnerability assessment e penetration testing. Le misure di sicurezza e le specifiche tecniche sono adottate in ossequio alla normativa in tema di protezione dei dati personali, in conformità alle [LG SICUREZZA], alle best practice del settore e alle specifiche impartite dal Gestore nella documentazione correlata al rapporto di adesione. Il Gestore e i Soggetti erogatori DEVONO vigilare sull’adeguatezza delle misure e delle specifiche tecniche e procedere alle implementazioni necessarie a mantenere livelli di sicurezza adeguati, nel rispetto del principio di responsabilizzazione di cui all’art. 5, par. 2 GDPR ...
-
AGID
Allegato 4: Domain model del Punto di accesso telematico
Rappresenta una notifica all’utente finale, attivata da un Messaggio. Una notifica è una comunicazione che viene inviata all’utente finale destinatario del Messaggio e che può essere consegnata su più canali. Le notifiche hanno funzione di invitare l’utente finale alla lettura del relativo messaggio. Il seguente diagramma Entity Relationship sintetizza il domain model del Punto di accesso telematico ...
-
AGID
4. Principi generali
Il Gestore DEVE realizzare, mettere a disposizione dei Soggetti erogatori e curare il periodico aggiornamento della documentazione tecnica per l’integrazione tecnologica dei Servizi tramite API (di seguito anche “Documentazione API”) nel rispetto delle linee guida emanate da AgID ai sensi dell’articolo 71 del CAD, e nello specifico delle [LG INTEROP TEC] e [LG SICUREZZA] ...
-
AGID
1. Introduzione
L’art. 64-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82, s.m.i., recante il “Codice dell’amministrazione digitale” (nel seguito anche “CAD”), prevede che “i soggetti di cui all’articolo 2, comma 2, rendono fruibili i propri servizi in rete, in conformità alle Linee guida, tramite il punto di accesso telematico attivato presso la Presidenza del Consiglio dei ministri […]”. Ai sensi dell’art. 64-bis, comma 1-bis, “[…] i soggetti di cui all’art. 2, comma 2, i fornitori di identità digitali e i prestatori di servizi fiduciari qualificati, in sede di evoluzione, progettano e sviluppano i propri sistemi e servizi in modo da garantire l’integrazione e l’interoperabilità tra i diversi sistemi e servizi e con i servizi di cui ai commi 1 e 1 ter, espongono per ogni servizio le interfacce applicative […]”. Le attività di progettazione, sviluppo, gestione e implementazione del Punto di accesso telematico attivato presso la Presidenza del Consiglio dei Ministri sono attribuite alla Società PagoPA S.p.A. (di seguito “Gestore”), ai sensi dell’art. 8 del decreto legge 14 dicembre 2018, n. 135, convertito con modificazioni dalla legge 11 febbraio 2019, n. 12. Le presenti linee guida (di seguito “Linee guida”), relativamente al Punto di accesso telematico di cui all’articolo 64-bis del CAD, individua:. l’architettura logica del Punto di accesso telematico e l’insieme di funzionalità implementate dal Punto di accesso telematico per dare seguito alla realizzazione dei Servizi in rete per il suo tramite;. le integrazione realizzate dal Punto di accesso telematico con le piattaforme previste dal CAD detenute dai soggetti di cui all’art. 2, comma 2, dai fornitori di identità digitali e dai prestatori di servizi fiduciari qualificati;. il modello di governance del Punto di accesso telematico che il Gestore applica per soddisfare le esigenze espresse dai Soggetti erogatori in merito alla realizzazione e messa in esercizio dei Servizi in rete per il tramite del Punto di accesso telematico;. le disposizioni in materia di sicurezza e protezione dei dati personali che il Gestore e i Soggetti erogatori assicurano nella realizzazione e messa in esercizio dei Servizi in rete per il tramite del Punto di accesso telematico. Il Gestore e i Soggetti erogatori nella realizzazione e messa in esercizio del Punto di accesso telematico e dei Servizi in rete realizzati o resi fruibili per il suo tramite e, nondimeno, i soggetti di cui all’art. 2, comma 2, i fornitori di identità digitali e i prestatori di servizi fiduciari qualificati relativamente all’integrazione delle piattaforme previste dal CAD con il Punto di accesso telematico assicurano l’attuazione delle presenti Linee guida ed, in generale, delle linee guida emanate ai sensi dell’articolo 71 del CAD. ...
-
AGID
3. Riferimenti e sigle
Di seguito si riportano gli termini e le definizioni che vengono utilizzati nelle presenti Linee guida:. Tabella 3.3 Termini e definizioni. [AgID]. Agenzia per l’Italia Digitale. [CAD]. Codice Amministrazione Digitale, D.Lgs 7 marzo 2005, n. 82. [PA]. Pubblica Amministrazione. [WCAG]. Web Content Accessibility Guidelines. [App IO]. L’applicazione mobile per l’accesso ai Servizi messi a disposizione dai Soggetti erogatori quale una delle componenti di front-end del Punto di accesso telematico. [Documentazione API]. La documentazione tecnica per l’integrazione tecnologica dei Servizi tramite API, realizzata e curata dal Gestore. [Gestore]. La società PagoPA S.p.A. [Interazioni]. I flussi informativi e operativi che avvengono fra l’utente ed il Soggetto Erogatore tramite il Punto di accesso telematico, compreso l’insieme delle azioni a disposizione dell’utente per la fruizione dei servizi esposti dal Soggetto Erogatore. [Messaggi]. Le comunicazioni che un Soggetto erogatore invia tramite il Punto di accesso telematico agli utenti finali. [Moduli]. I singoli elementi e funzionalità del Punto di accesso telematico. [Punto di accesso telematico]. L’insieme dei sistemi e delle componenti tecnologiche realizzate dal Gestore per l’accesso telematico ai servizi della pubblica amministrazione ai sensi dell’art. 64-bis del CAD. [Soggetti erogatori]. I soggetti che rendono fruibili i propri Servizi in rete per il tramite del Punto di accesso telematico. [Servizi in rete]. I Servizi in rete che i Soggetti erogatori mettono a disposizione tramite il Punto di accesso telematico per la loro fruizione da parte degli utenti. [Portale]. L’insieme dei sistemi e delle componenti tecnologiche sviluppate e gestite dal Gestore per la registrazione e gestione dei Soggetti erogatori e all’integrazione tecnologica con il Punto di accesso telematico. [Sistemi dell’Ente]. L’insieme dei sistemi e delle componenti tecnologiche utilizzate dai Soggetti erogatori per l’offerta dei propri Servizi in rete per il tramite del Punto di accesso telematico. [GDPR]. Il Regolamento (UE) 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. [Codice Privacy]. Il D.Lgs. 196/2003 recante Codice in materia di protezione dei dati personali. [DPIA]. La valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 del GDPR. [Piattaforma PagoPA]. La piattaforma di cui all’art. 5, comma 2 del CAD ...
-
AGID
6. Punto di accesso telematico
Il Punto di accesso telematico DEVE assicurare le funzionalità previste all’allegato 2. Il Gestore PUÒ implementare funzionalità aggiuntive nelle more dell’aggiornamento dell’allegato 2. Le funzionalità implementate in maniera aggiuntiva dal Gestore sono semestralmente motivate e comunicate ad AgID che, a valle delle verifiche di merito, valuta l’aggiornamento dell’allegato 2 ...
-
AGID
2. Ambito di applicazione
Le presenti Linee guida sono destinate ai soggetti di cui all’articolo 2, comma 2 del CAD, così come indicato al comma 1 dell’articolo 64-bis dello stesso, che la attuano per rendere fruibili i propri Servizi in rete per il tramite del Punto di accesso telematico di cui all’articolo 64-bis del CAD, nonché agli altri soggetti che rendono fruibili uno o più servizi tramite il Punto di accesso telematico. Le Linee guida sono altresì destinate ai soggetti di cui all’art. 2, comma 2, i fornitori di identità digitali e i prestatori di servizi fiduciari qualificati che detengono le piattaforme previste dal CAD che le attuano in merito alla integrazione ed interoperabilità delle stesse piattaforme con il Punto di accesso telematico. Le Linee guida sono infine destinate alla società PagoPA S.p.A che le attua in merito alla progettazione, sviluppo e gestione del Punto di accesso telematico attivato presso la Presidenza del Consiglio dei Ministri ...
-
AGID
5. Principi per la realizzazione di Servizi in rete e del Punto di accesso telematico
Lo sviluppo del Punto di accesso telematico da parte del Gestore privilegia lo sviluppo collaborativo e la standardizzazione tecnologica, anche attraverso l’implementazione dei processi di sviluppo e standard aperti e partecipati di cui alle linee guida applicabili emanate ai sensi dell’articolo 71 del CAD (vedi 3.4 Linee guida di riferimento). Le componenti software rese pubbliche dal Gestore (es. API e codice sorgente) permettono di proporre integrazioni e miglioramenti ai moduli a partire dal codice condiviso, e allo stesso tempo l’utente finale ha la possibilità, tramite il sistema di feedback, di comunicare al Gestore la sua opinione rispetto alla sua esperienza nell’uso del Punto di accesso telematico. Il Gestore permette lo sviluppo collaborativo da parte dei Soggetti erogatori sui moduli implementati e conserva piena discrezionalità quanto alla revisione e integrazione nel codice sorgente delle modifiche proposte. La standardizzazione tecnologica, nel rispetto delle linee guida applicabili emanate ai sensi dell’articolo 71 del CAD (vedi 3.4 Linee guida di riferimento), implica che i moduli devono essere sviluppati in modo da garantire:. il massimo grado di riuso da parte dei Soggetti erogatori, evitando o riducendo la duplicazione degli sforzi necessari per procedere alle relative implementazioni; e. il massimo grado di coerenza nell’esperienza degli utenti finali. Il Gestore nella realizzazione del Punto di accesso telematico assicura quanto disposto dal Capo VI “SVILUPPO, ACQUISIZIONE E RIUSO DI SISTEMI INFORMATICI NELLE PUBBLICHE AMMINISTRAZIONI” del CAD attuando le [LG OPEN SOURCE] ...
-
AGID
7. Governance del Punto di accesso telematico
Il rapporto tra Gestore e Soggetti erogatori in merito ai Servizi in rete è regolato dai livelli di qualità attesi nell’erogazione degli stessi, nello specifico sono oggetto di interesse:. i Servizi in rete individuati in accordo dal Soggetto erogatore e Gestore;. il piano di lavoro, condiviso tra Gestore e Soggetto erogatore, per la realizzazione dei Servizi in rete;. deliverable realizzati dal Gestore, dal Soggetto erogatore o da terze parti per conto degli stessi, in attuazione del piano di lavoro per la realizzazione dei Servizi in rete;. API realizzata dal Soggetto erogatore per assicurare l’integrazione con il Punto di accesso telematico, funzionali alla messa in esercizio dei Servizi in rete;. servizi di supporto assicurati dal Gestore per la realizzazione e manutenzione dei Servizi in rete;. servizi di supporto agli utenti da parte del Gestore e del Soggetto erogatore. In quanto segue si riportano gli indicatori di qualità utilizzati dal Gestore e i Soggetti erogatori per definire gli accordi sui livelli qualità dei servizi che il Gestore garantisce ai Soggetti erogatori e che i Soggetti erogatori garantiscono agli utenti finali. Gli stessi indicatori di qualità sono utilizzati dal Gestore e dai Soggetti di cui all’articolo 2, comma 2, dai fornitori di identità digitali e dai prestatori dei servizi fiduciari qualificati per concordare i livelli di qualità assicurati dai servizi resi disponibili, da questi ultimi, al Punto di accesso telematico in ottemperanza al comma 1-bis dell’articolo 50-ter del CAD. 7.4.1. Indicatori sulla qualità dello sviluppo. 7.4.1.1. Difettosità in avvio. Il presente indicatore rileva la difettosità residua funzionale e non funzionale all’avvio di un servizio/API. Nello specifico:. sono raccolti l’aderenza ai requisiti di accessibilità, usabilità, sicurezza e prestazioni per permettere la piena fruizione delle funzionalità dei Servizi in rete da parte degli utenti finali;. sono raccolti l’aderenza ai requisiti di sicurezza e prestazioni per permettere la piena fruizione delle funzionalità delle API realizzate. L’indicatore è determinato come rapporto tra il numero di requisiti funzionali e non funzionali del servizio/API non soddisfatti in fase di collaudo e il numero di requisiti funzionali e non funzionali dello stesso servizio/API individuati dai requirements dello stesso. 7.4.1.2. Difettosità in avvio in esercizio. Il presente indicatore rileva la difettosità residua funzionale e non funzionale nell’esercizio di un servizio. Nello specifico:. sono raccolti l’aderenza ai requisiti di accessibilità, usabilità, sicurezza e prestazioni per permettere la piena fruizione delle funzionalità dei Servizi in rete da parte degli utenti finali;. sono raccolti l’aderenza ai requisiti di sicurezza e prestazioni per permettere la piena fruizione delle funzionalità delle API realizzate. L’indicatore è determinato come rapporto tra il numero di requisiti funzionali e non funzionali del servizio/API non soddisfatti determinati in esercizio e il numero di requisiti funzionali e non funzionali dello stesso servizio/API individuati dai requirements dello stesso. 7.4.2. Indicatori del piano di lavoro. 7.4.2.1. Rispetto del piano di lavoro. L’indicatore verifica il rispetto della pianificazione del piano di lavoro misurando il rispetto della scadenza temporale di ciascuna milestone (determinazione dello scostamento tra data prevista e data effettiva), quali ad esempio:. la date di consegna degli artefatti;. per i cicli agili, ogni data pianificata nello Sprint Planning;. la data pianificata di “pronti al collaudo”;. la data pianificata di termine collaudo con esito positivo;. la data pianificata di avvio in esercizio. Eventuali ripianificazione del piano di lavoro determinato da ritardi da problematiche relative alle API realizzata dal Soggetto erogatore non sono in alcun modo imputabili al Gestore. 7.4.2.2. Giorni di sospensione del collaudo. La sospensione del collaudo è indice di una grave carenza qualitativa e incompletezza delle attività realizzative. La sospensione può attivarsi automaticamente alla presenza di malfunzionamenti bloccanti in collaudo o su decisione del Soggetto erogatore qualora si verifichino situazioni “anomale” che, a giudizio della stessa, sia per numerosità sia per gravità, sia per non rispetto dei tempi massimi previsti per la risoluzione delle difformità, non consentano lo svolgimento o la prosecuzione delle attività di collaudo. L’indicatore è determinato dal tempo trascorso tra la sospensione del collaudo e il suo riavvio. Ogni impedimento determinato da problematiche relative alle API realizzata dal Soggetto erogatore non sono in alcun modo imputabili al Gestore. 7.4.3. Indicatori dei servizi/API realizzati. 7.4.3.1. Tempo di risposta delle richieste su percentile. Il tempo che intercorre tra una request e la relativa response, è indice dell’efficienza di un servizio/API. Nel dettaglio il tempo di risposta è calcolata, in esercizio, come il tempo intercorso tra il momento di ricezione della request e il momento di inoltro della relativa response. Le latenze determinata dal canale di comunicazione del servizio/API non sono oggetto del presente indicatore. Il presente indicatore è determinato dalla media di un percentile fissato delle request pervenute nell’unità di tempo, dove il percentile e l’unità di tempo per la determinazione dell’indicatore sono individuate in accordo tra il Gestore e il Soggetto erogatore per singolo servizio/API, ad esempio tempo medio dell’85% delle richieste pervenute in 10 minuti. La fonte per la determinazione dei tempi di ricezione delle request e il momento di inoltre delle relativa response è rappresentato dai log file tenuti dal Gestore. 7.4.3.2. Numero di richieste per unità di tempo. Il numero di richieste soddisfatte da un servizio/API è indice della capacità di carico gestibile dallo stesso. Il presente indicato è determinato dal numero di request soddisfate, cioè a cui il servizio/API è riuscito a produrre response, nell’unità di tempo, l’unità di tempo per la determinazione dell’indicatore sono individuate in accordo tra il Gestore e il Soggetto erogatore per singolo servizio/API, ad esempio numero di request soddisfatte in 10 minuti. La fonte per la determinazione il numero di request soddisfatte è rappresentato dai log file tenuti dal Gestore. 7.4.3.3. Numero di richieste con risposta di errore per unità di tempo. Il numero di richieste con risposta di errore di un servizio/API è indice inverso della efficacia dello stesso. Il presente indicato è determinato del numero di request con error response nell’unità di tempo, l’unità di tempo per la determinazione dell’indicatore sono individuate in accordo tra il Gestore e il Soggetto erogatore per singolo servizio/API, ad esempio numero di request con error response in 10 minuti. Si evidenzia che tale indicatore è inversamente proporzionale all’efficacia del servizio/API. La fonte per la determinazione del numero di request con error response è rappresentato dai log file tenuti dal Gestore. 7.4.4. Indicatori dei servizi di supporto. 7.4.4.1. Tempestività di ripristino dell’operatività. Il presente indicatore si applica a non conformità funzionali e non funzionali rilevate ed è calcolato come la differenza in ore tra il momento dell’avvio del processo di risoluzione del malfunzionamento e il termine della risoluzione delle stesso. 7.4.4.2. Tempestività di risposta a segnalazioni di anomalie. Il presente indicatore si applica a non conformità funzionali e non funzionali evidenziate dal Soggetto erogatore e/o dagli utenti finali dei Servizi in rete. L’indicatore è calcolato come la differenza in ore tra il momento della segnalazione e la presa in carico della stessa da parte del Gestore. Il presente indicatore si applica anche a non conformità funzionali e non funzionali evidenziate dal Gestore e/o dagli utenti finali dei Servizi in rete. L’indicatore è calcolato come la la differenza in ore tra il momento della segnalazione e la presa in carico della stessa da parte del Soggetto erogatore ...
-
AGID
8. Disposizioni in materia di sicurezza e protezione dei dati personali
8.5.1. Principi. In conformità all’art. 32 e al Considerando 83 del GDPR, il Gestore e i Soggetti erogatori, in qualità di titolari del trattamento e/o responsabili del trattamento, sono tenuti ad adottare tutte le misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:. la pseudonimizzazione e la cifratura dei dati personali;. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. I principi in materia di sicurezza del trattamento si esplicitano nelle seguenti “best practices” per il trattamento dei dati personali, che si aggiungono alle misure organizzative implementate per garantire il rispetto dei principi in materia di trattamento di dati personali di cui ai precedenti paragrafi. 8.5.2. Partizionamento dei dati personali. Il Gestore e i Soggetti erogatori DEVONO ridurre la possibilità che i dati personali possano essere correlati e che possa verificarsi una violazione dei dati personali. In particolare sono tenuti a:. identificare i dati personali utili alle finalità perseguite e utilizzare il set minimo di dati necessari, anche nell’ambito del singolo processo, in virtù del principio di minimizzazione;. separare i dati necessari per ogni processo in modo logico;. comprovare regolarmente che i dati personali siano partizionati in modo efficace e che i destinatari e le interconnessioni non siano stati associati. 8.5.3. Cifratura dei dati personali. Il Gestore e i Soggetti erogatori DEVONO trattare i dati implementando misure in grado di rendere incomprensibili i dati personali a chiunque non sia autorizzato ad accedervi:. determinando le componenti critiche su cui applicare misure di crittografia (“at rest”, es: dischi rigidi, file, ecc.; “in transit”, es: trasferimento da/verso un database, canali di comunicazione) in base a:. forma/posizione in cui sono memorizzati/resi disponibili i dati personali;. rischi individuati;. prestazioni richieste;. scegliendo il tipo di crittografia (simmetrica o asimmetrica) in base al contesto e ai rischi individuati;. adottando soluzioni di crittografia basate su algoritmi pubblici notoriamente forti;. definendo ulteriori misure per garantire la disponibilità, l’integrità e la riservatezza delle informazioni. 8.5.4. Anonimizzazione dei dati personali. Laddove possibile, il Gestore e i Soggetti erogatori DEVONO eliminare le caratteristiche che identificano i dati personali. In particolare sono tenuti a:. determinare ciò che deve essere anonimo in base al contesto, alla forma in cui vengono memorizzati i dati personali (compresi i campi del database o estratti dai testi) e ai rischi individuati;. anonimizzare permanentemente i dati che richiedono tale criterio di protezione in base alla forma dei dati (inclusi database e record testuali) e ai rischi individuati;. se i dati non possono essere anonimizzati in modo permanente, scegliere strumenti (inclusi la cancellazione parziale, la cancellazione, la ricerca di hashing e l’indice) che rispondano innanzitutto alle esigenze funzionali ...
-
AGID
Allegato 2: Funzionalità del Punto di accesso telematico
La sezione “profilo” consente all’utente di consultare un riepilogo delle proprie informazioni rilevanti sul Punto di accesso telematico e di impostare alcune scelte di carattere generale che risultano trasversali all’erogazione dei Servizi e che verranno usate per personalizzare il servizio erogato all’utente da parte del Gestore e dei Soggetti erogatori. Alcune di queste scelte, una volta effettuate dall’utente, potranno essere interrogate e utilizzate in tempo reale dai Soggetti erogatori. Di seguito, si riportano a titolo di esempio alcune preferenze che potranno essere definite dell’utente:. lingua preferita;. e-mail personale dell’utente. L’e-mail di default è quella legata agli attributi SPID o, nel caso di login con CIE, inserita dall’utente in fase di login. L’eventuale aggiornamento dei dati anagrafici nel Punto di accesso telematico non verrà comunicato agli Identity Provider SPID e avrà effetto solo all’interno del Punto di accesso telematico e dei servizi offerti dai Soggetti erogatori. Con la stessa funzione “profilo” l’utente può gestire eventuali strumenti complementari di identificazione e sicurezza quali PIN o, se abilitati dall’utente sul proprio dispositivo, strumenti di identificazione biometrica. L’utente potrà inoltre visualizzare uno storico degli accessi e interrompere la sessione attualmente attiva sull’applicazione (logout). Infine, con la funzione “profilo” l’utente potrà:. verificare i termini e condizioni d’uso del servizio in vigore;. consultare le informative sul trattamento dei dati personali dei Soggetti erogatori e l’informativa relativa al Punto di accesso telematico resa dal Gestore;. chiedere la sospensione dell’account o la cancellazione dello stesso ...
-
AGID
Allegato 1: Procedura di adesione dei Soggetti erogatori al Punto di accesso telematico
Il Soggetto erogatore, tramite i suoi delegati tecnici, DEVE assicurare la configurazione dei Servizi in rete e l’utilizzo delle API nel rispetto delle specifiche tecniche di integrazione definite dal Gestore nella Documentazione API ...