Art. 24 Specifiche tecniche PCT

Art. 24 Specifiche tecniche PCT (Requisiti di sicurezza - Rif. art. 26 DM 44-2011)

L'architettura dei servizi di consultazione aderisce al modello MVC e prevede il disaccoppiamento del front-end, localizzato sul punto di accesso o sul portale dei servizi telematici, dal back-end, localizza­to sul gestore dei servizi telematici, incaricato di esporre i servizi sottoforma di web servi ce.
Il portale dei servizi telematici espone, attraverso un apposito servizio proxy, i web service forniti dal gestore dei servizi telematici, a beneficio dei punti di accesso e di applicazioni esterne.
I punti di accesso realizzano autonomamente la parte di front-end, che deve essere localizzata all'interno della intranet del PdA stesso e non deve essere accessibile direttamente dall'esterno.
I punti di accesso possono a loro volta esporre i web servi ce forniti dal ge­store dei servizi telematici, a beneficio di applicazioni esterne.
Il protocollo di trasporto tra il punto di accesso e il proxy è HTTPS; la serializzazione dei messaggi è nel formato XML/SOAP.
Le funzionalità fornite dai web servi ce realizzati, nonché le relative regole di invocazione, sono descritte tramite i WSDL pubblicati sull'area pubblica del portale dei servizi telematici.
L'accesso ai servizi di consultazione avviene su canale sicuro previa identificazione informatica su di un punto di accesso o sul portale dei servizi telematici, secondo le specifiche di cui all'articolo 6; a seguito di tale identificazione, il punto di accesso o il portale dei servizi telemati­ci attribuiscono all'utente un ruolo di consultazione, a seconda del registro di cancelleria; eseguita tale operazione, viene trasmesso al proxy di cui al comma 2 il codice fiscale del soggetto che effettua l'accesso e il ruolo di consultazione stesso; il proxy tra­smette la richiesta al web servi ce del gestore dei servizi telematici.
In base al ruolo di consultazione di cui al comma precedente, il sistema fornisce le autorizzazioni all'accesso rispetto alle informazioni anagrafiche contenute nei sistemi di gestione dei registri o sulla base dell'atto di delega previsto dal regolamento.
In fase di richiesta di attivazione, il punto di accesso può adottare meccanismi di identificazione basati sulla gestione federata delle identità digitali, secondo le specifiche dell'Agenzia per l'Italia Digitale; in questo caso, il Direttore Generale S.I.A., valutata la soluzione proposta e opportunamente descritta nel piano della sicurezza, approva il meccanismo di identificazione che soddisfa il livello di sicurezza richiesto.
10. Il punto di accesso può consentire l'accesso a soggetti delegati da un utente registrato, con le stesse modalità di cui ai commi 7, 8 e 9, purchè il soggetto delegante abbia predisposto un atto di delega, sottoscritto con firma digitale, che il punto di accesso conserva per cinque anni unitamente alla tracciatura di ogni accesso effettuato su delega; le informazioni e gli atti di cui sopra sono forniti su richiesta al Ministero della giustizia.
11. Fuori dai casi previsti ai commi 1 e 10, l'architettura dei servizi di consultazione prevede in via residuale che il punto di accesso o il portale dei ser­vizi telematici effettuino, a seguito dell'identificazione di cui al comma 7, un link diretto dalle proprie pagine alla pagina principale del sito web che ren­de disponibili i servizi su canale sicuro; in questo caso i dati iden­tificativi del soggetto vengono inseriti nell'header HTTP della richiesta.
12. I servizi di consultazione attivi sono elencati, per singolo ufficio, nel catalo­go dei servizi telematici, di cui all'articolo 5, comma 5.
13. L'elenco dei punti di accesso autorizzati è pubblicato nell'area pubblica del portale dei servizi telematici e nel catalogo dei servizi telematici, di cui all'articolo 5, comma 5.
14. Il punto di accesso si dota di un piano della sicurezza, depositato al responsabile per i sistemi informativi automatizzati unitamente all'istanza di iscrizione all'elenco pubblico dei punti di accesso, che prevede la trattazione, esaustiva e dettagliata, dei seguenti argomenti:
struttura logistica e operativa dell'organizzazione;
ripartizione e definizione delle responsabilità del personale addetto;
descrizione dei dispositivi installati;
descrizione dell'infrastruttura di protezione, per ciascun immobile inte­ressato;
descrizione delle procedure di registrazione delle utenze;
descrizione relativa all'implementazione dei meccanismi di identificazio­ne informatica;
qualora il PdA integri la gestione delle caselle di PEC dei propri utenti, descrizione delle modalità di integrazione;
procedura di gestione delle copie di sicurezza dei dati;
procedura di gestione dei disastri;
analisi dei rischi e contromisure previste;
descrizione dell'eventuale processo di delega di cui al comma 10 nonché delle modalità di conservazione dell'elenco dei soggetti delegati e delle eventuali revoche delle deleghe;
1) descrizione della modalità di verifica dell'effettiva funzionalità e adegua­tezza del sistema di sicurezza del punto di accesso.
15. Ai fini dell'iscrizione nel suddetto elenco, il responsabile per i sistemi informativi automatizzati verifica il piano della sicurezza di cui al comma precedente e può disporre apposite verifiche in loco, in particolare per accertare il rispetto delle prescrizioni di sicurezza riportate nel presente provvedimento.
16. Il punto di accesso abilita i propri iscritti unicamente a usufruire dei servizi esplicitamente autorizzati dal responsabile per i sistemi informativi automatizzati e riportati nel catalogo dei servizi telematici.
17. Il punto di accesso si dota di una casella di posta elettronica certificata, che comunica al responsabile per i sistemi informativi automatizzati, da utilizzarsi per inviare e ricevere comunicazioni con il Ministero della giustizia.
18. Il punto di accesso fornisce al Ministero della giustizia, su richiesta, i dati di censimento sul ReGIndE di cui articolo 8 comma 1 per i casi di iscrizione dei professionisti non iscritti in albi di cui articolo 9 comma 1.
19. Il punto di accesso verifica l'effettiva funzionalità e adeguatezza del sistema di sicurezza almeno una volta l'anno e provvede ad inviare l'esito delle stes­se, unitamente ad eventuali variazioni nei contenuti del piano, all'indirizzo di posta elettronica certificata del responsabile per i sistemi informativi automatizzati: prot.dgsia. dog@giustiziacert.it.