Manuale della Conservazione Sistema di Gestione per la Qualità - DQ_07.03 UNIMATICA S.p.A.

Transcript

1 Manuale della Conservazione Sistema di Gestione per la Qualità - DQ_07.03 pag. 1 di 54

2 Revisione Data Motivo Revisione Redatto da Approvato da /10/2009 Emissione Andrea Anghinolfi Silvano Ghedini /02/2010 Aggiornamento funzionalità Andrea Anghinolfi Silvano Ghedini /06/2010 Aggiornamento funzionalità Andrea Anghinolfi Silvano Ghedini /09/2010 Aggiornamento funzionalità Andrea Anghinolfi Silvano Ghedini /10/2010 Aggiornamento funzionalità Andrea Anghinolfi Silvano Ghedini /02/2011 Modifica Gestione Anomalie; Ampliamento funzionalità Andrea Anghinolfi Silvano Ghedini Unistorage /05/2011 Aggiornamento composizione societaria di Unimatica Andrea Anghinolfi Silvano Ghedini /11/2012 Aggiornamento Data Center Andrea Anghinolfi Silvano Ghedini /05/2013 Aggiornamento per attivazione Portale Andrea Anghinolfi Silvano Ghedini /02/2014 Aggiornamento normative Sabina Falcinelli Andrea Anghinolfi /02/2014 Aggiornamento Data Center Sabina Falcinelli Andrea Anghinolfi pag. 2 di 54

3 INDICE A. Sommario... 5 B. Normativa vigente... 6 C. Glossario - Definizioni... 9 D. Considerazioni generali sui documenti digitali e sulla loro conservazione D.1. Definizione di documento D.2. Documento digitale e restituzione dell'informazione D.3. Compiti della conservazione digitale D.4. Tempestività nella conservazione autentica della firma digitale D.5. Firma digitale: file e documento E. Compiti e responsabilità della Conservazione E.1. Responsabile della conservazione digitale (RCD) E.1.1. Compiti e responsabilità E.2. Il Soggetto fruitore del servizio E.2.1. Responsabile delle attività presso il soggetto fruitore (RSF) E.2.2. Compiti e responsabilità F. Processi di erogazione del servizio F.1. Struttura organizzativa del Servizio F.2. Modalità di erogazione del Servizio F.2.1. Attivazione del Servizio di Conservazione Sostitutiva F.2.2. Attivazione dell accesso Web per nuovi utenti F.2.3. Modifica del Servizio F.2.4. Gestione del Servizio F.2.5. Chiusura del Servizio F.3. Qualità del Servizio G. UniStorage il sistema per la conservazione sostitutiva G.1. Verifica iniziale dei documenti inviati G.2. Creazione dei blocchi di conservazione G.3. Apposizione di riferimento temporale G.4. Riferimento temporale G.5. Verifica della firma digitale G.6. Validità nel tempo della firma digitale G.7. Riferimento temporale della firma G.8. Marca di Conservazione G.9. Contenuto del file (.zip) delle evidenze di conservazione G.10. Gestione dei supporti rimovibili G.11. Riversamento diretto G.12. Riversamento sostitutivo G.13. Controlli periodici G.14. Evidenze e Registrazioni G.15. Gestione delle anomalie G.16. Reportistica di servizio H. La server farm di Unimatica H.1. Infrastrutture pag. 3 di 54

4 H.1.1. Backup H.1.2. Disaster Recovery H.2. Infrastruttura di rete H.3. Architettura Software I. Misure di sicurezza logica I.1. Gestione utenze I.2. Gestione sistemi di protezione I.3. Monitoraggio degli eventi di sicurezza I.4. Amministratori di sistema I.5. Gestione degli incidenti di sicurezza I.6. Gestione dei backup I.7. Gestione dei supporti di memorizzazione J. Soggetto erogatore dei servizi di conservazione digitale J.1. La società Unimatica S.p.A J.2. Prodotti e servizi di Unimatica J.3. Certificazioni di Qualità K. Allegati pag. 4 di 54

5 A. Sommario Il presente documento costituisce il Manuale del Servizio di Conservazione Digitale a norma fornito da Unimatica SpA allo scopo di assicurare ai propri clienti la disponibilità nel tempo di documenti integri, autentici, legalmente validi e facilmente consultabili. Nel seguito del documento sono pertanto descritti: Le caratteristiche generali della Conservazione digitale ed il glossario di riferimento La normativa vigente Le responsabilità ed i compiti di Unimatica e del cliente fruitore del Servizio Il modello di erogazione del Servizio Le caratteristiche funzionali e tecniche del Servizio L architettura hardware e software della Server Farm di Unimatica, dalla quale il Servizio viene erogato L azienda Unimatica Al Manuale sono inoltre allegati: Gli SLA del Servizio fornito in ASP La scheda cliente Il Manuale costituisce parte integrante del contratto di fornitura del Servizio. pag. 5 di 54

6 B. Normativa vigente Notazione abbreviata Riferimento Legge 7 agosto 1990, n. 241, e successive modificazioni e L. 7 agosto 1990, n. 241 integrazioni. Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi Direttiva del Parlamento europeo e del Consiglio del 13 dicembre Direttiva 13 dicembre 1999, n. 1999, n. 93/CE, relativa ad un quadro comunitario per le firme 93/CE elettroniche Regole tecniche in materia di formazione e conservazione di AIPA, Deliberazione 23 documenti informatici delle pubbliche amministrazioni ai sensi novembre 2000, n. 51 dell articolo 18, comma 3, del D.P.R. n. 513/97 Disposizioni legislative in materia di documentazione amministrativa - D.P.R. 28 dicembre 2000, n. 445 Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa Standard, modalità di trasmissione, formato e definizione dei tipi AIPA, Circolare 7 maggio 2001, di informazioni minime ed accessorie comunemente scambiate n. 28 tra le pubbliche amministrazioni e associate ai documenti protocollati AIPA, Deliberazione 21 giugno Recante i requisiti minimi di sicurezza dei sistemi operativi 2001, n. 31 disponibili commercialmente D. Lgs. 30 giugno 2003, n. 196 D. lgs. 30 giugno 2003, n. 196, e successive modificazioni e (codice sulla privacy) integrazioni. Codice in materia di protezione dei dati personali Regole tecniche per la formazione, la trasmissione, la DPCM 13 gennaio 2004 conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici D. lgs. 22 gennaio 2004, n. 42, e successive modificazioni e D. Lgs. 22 gennaio 2004, n. 42 integrazioni. Codice dei beni culturali e del paesaggio ai sensi (codice dei beni culturali) dell articolo 10 della Legge 6 luglio 2002, n. 137 Ministero dell Economia e delle Finanze, decreto 23 gennaio MEF, Decreto 23 gennaio , recante le modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione in diversi tipi di supporto CNIPA, Deliberazione Regole tecniche per la riproduzione e conservazione di 19 documenti su supporto ottico idoneo a garantire la conformità febbraio 2004, n. 11 dei documenti agli originali articolo 6, commi 1 e 2, D.P.R. n. 445/2000 D. Lgs. 20 febbraio 2004, n. 52 Attuazione della direttiva 2001/115/CE che semplifica ed armonizzale modalità di fatturazione in materia di IVA Regolamento concernente la diffusione della carta nazionale dei DPR 2 marzo 2004, n. 117 servizi, a norma dell articolo 27, comma 8, lettera b), della legge 16 gennaio 2003, n. 3 CNIPA, Deliberazione 17 Regole per il riconoscimento e la verifica del documento pag. 6 di 54

7 febbraio 2005, n. 4 DPR 11 febbraio 2005, n. 68 Codice dell amministrazione digitale (CAD) Agenzia delle Entrate, Circolare 19 ottobre 2005, n. 45 Circolare 6 dicembre 2006, n. 36/E Decreto 6 marzo 2009 Ministero delle Finanze Risoluzione 15 giugno 2009, n. 158/E Risoluzione 30 luglio 2009, n. 195/E, Risoluzione 30 luglio 2009, n. 196/E Risoluzione 13 agosto 2009 n. 220/E Provvedimento 25 ottobre 2010 DPCM 30 marzo 2009 Dlgs 30 dicembre 2010, n. 235 informatico Regolamento recante disposizioni per l utilizzo della posta elettronica certificata, a norma dell articolo 27 della Legge 16 gennaio 2003, n. 3 D. lgs. 7 marzo 2005, n. 82, e successive modificazioni e integrazioni. Codice dell amministrazione digitale Circolare esplicativa della fattura elettronica. Chiarimenti sull applicazione del Decreto 23 gennaio, 2004 Modifica del termine di comunicazione alle Agenzie fiscali dell impronta dell archivio informatico relativa ai documenti rilevanti ai fini tributari. Riferimento temporale dei documenti rilevanti ai fini tributari, termini per la conservazione delle fatture elettroniche Conservazione sostitutiva delle fatture analogiche: convivenza di conservazione sostitutiva (D.M: 23 gennaio 2004) e conservazione tradizionale. Processo di acquisizione dell immagine. Tempistica per l acquisizione dell immagine; assenza di vincoli legati all opzione per la conservazione sostitutiva Istanza di interpello sulla natura del responsabile della conservazione. Agenzia delle Entrate: provvedimento attuativo della comunicazione dell impronta relativa ai documenti informatici rilevanti ai fini tributari Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici. Modifiche e integrazioni al decreto legislativo 7 marzo 2005, n. 82 CAD Regole per il riconoscimento e verifica del documento informatico Delibera CNIPA, n maggio 2009 Determinazione DIgitPA n. 69 Modifica la delibera n. 45/2009 del 28 luglio 2010 DPCM 10 febbraio 2010 Autocertificazione dei dispositivi autentici di firma Decreto della Presidenza del Consiglio dei Ministri del 3 dicembre 2013 Regole tecniche in materia di conservazione ai sensi degli artt. 20, 23ter, 43, 44, 44bis e 71 del CAD di cui al Dlgs n. 82 del In generale, le disposizioni emanate dal CNIPA in materia di archiviazione ottica sostitutiva sono contenute nella deliberazione CNIPA n. 11/2004. Esse prevedono: 1. l utilizzo di supporti di memorizzazione che consentono la registrazione mediante l impiego della tecnologia laser. Tuttavia, tenuto conto dell'evoluzione tecnologica è data facoltà alle pubbliche pag. 7 di 54

8 amministrazioni e ai privati, ove non ostino particolari motivazioni, di utilizzare, nei processi di conservazione sostitutiva e di riversamento sostitutivo, un qualsiasi supporto di memorizzazione, anche non ottico, comunque idoneo a garantire la conformità dei documenti agli originali; 2. la conservazione dei documenti digitali si realizza attraverso la loro memorizzazione sui supporti di cui al comma 1 e l apposizione, sull insieme dei documenti registrati, o su una evidenza informatica contenente una o più impronte dei documenti o di un insieme di esse, del riferimento temporale e della firma digitale del Responsabile della conservazione. 3. Per i documenti cartacei originali unici, digitalizzati, è richiesta anche l apposizione del riferimento temporale e della firma digitale da parte di un pubblico ufficiale per attestare la conformità al documento d origine. 4. Per far fronte all obsolescenza tecnologica dei supporti, il Responsabile della conservazione esegue, almeno ogni 5 anni, l operazione di riversamento diretto, che consiste nel trasferire i documenti da un supporto ad un altro senza alterare la loro rappresentazione digitale 5. Per far fronte all obsolescenza tecnologica dei formati, si effettua il riversamento sostitutivo che consiste nel convertire i documenti archiviati in nuove versioni e nell apporre, all insieme dei documenti trattati, o su una evidenza informatica contenente una o più impronte dei documenti o di un insieme di esse, il riferimento temporale e la firma digitale del Responsabile della conservazione. In presenza di documenti informatici sottoscritti con firma elettronica o di documenti cartacei originali, digitalizzati, è inoltre richiesta l apposizione del riferimento temporale e della firma elettronica di un pubblico ufficiale. 6. Oltre alle azioni di cui ai precedenti commi, per la conservazione digitale può essere necessario estendere la validità di un documento informatico oltre il termine di scadenza della chiave di sottoscrizione. Questo si realizza con le seguenti operazioni: a) prima della scadenza della chiave di sottoscrizione si provvede alla generazione di una marca temporale con modalità conformi alla normativa vigente in materia; b) prima della scadenza della marca temporale, il periodo di validità può essere ulteriormente esteso associando una nuova marca all evidenza informatica costituita dal documento iniziale, dalla relativa firma, e dalle marche temporali ad esso associate; 7. Le informazioni relative alla gestione informatica dei documenti costituiscono parte integrante del sistema di indicizzazione ed organizzazione dei documenti che sono oggetto delle procedure di conservazione sostitutiva. pag. 8 di 54

9 C. Glossario - Definizioni Soggetto erogatore Il soggetto che eroga il servizio di conservazione digitale, ovvero la società UNIMATICA S.p.A. Soggetto fruitore Il soggetto giuridico, pubblico o privato, che fruisce del servizio di conservazione digitale offerto dal soggetto erogatore Archivio il complesso di documenti ricevuti o prodotti dal soggetto fruitore nell esercizio delle sue funzioni Archivio corrente la parte di documentazione relativa alle pratiche in corso di trattazione, o comunque sia verso le quali sussiste un interesse corrente Archivio di deposito la parte di documentazione relativa alle pratiche concluse, ma non ancora destinata istituzionalmente alla conservazione permanente e alla consultazione da parte del pubblico Certificato elettronico l attestato elettronico che collega i dati utilizzati per verificare le firme elettroniche ai titolari e confermano l identità dei titolari stessi Certificato qualificato il certificato elettronico conforme ai requisiti di cui all'allegato I della direttiva 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti di cui Certificatore all'allegato II della medesima direttiva il soggetto che presta servizi di certificazione delle firme elettroniche o che fornisce altri servizi connessi con queste ultime Certificatore accreditato il certificatore accreditato in Italia ovvero in altri Stati membri dell'unione europea ai sensi del testo unico Documento informatico la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti Documenti cartacei originali non unici i documenti per i quali è possibile risalire al loro contenuto attraverso altre scritture o documenti di cui sia obbligatoria la conservazione, anche se in possesso di terzi Documenti cartacei originali unici I documenti originali che non rientrano nella fattispecie degli originali non unici Fascicolo l unità archivistica che raccoglie i documenti relativi ad un procedimento amministrativo, una persona fisica o giuridica, un oggetto specifico di competenza del soggetto fruitore Firma digitale un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l integrità di un documento informatico o di un insieme di documenti Impronta del documento informatico pag. 9 di 54

10 Marca temporale Metadati una sequenza di simboli binari di lunghezza predefinita, generata mediante l applicazione al documento di una funzione matematica di HASH che assicura l univocità del risultato un evidenza informatica generata da un sistema di validazione temporale che permette di assegnare una data certa ad un documento informatico i dati che descrivono il contesto, il contenuto e la struttura dei documenti e la loro gestione nel tempo Piano di conservazione dell archivio il piano, integrato con il titolario di classificazione, contenente i criteri di organizzazione dell archivio, di selezione periodica e conservazione permanente dei documenti, nel rispetto delle vigenti disposizioni in materia di tutela dei beni culturali Posta elettronica certificata il servizio di posta elettronica che, ai sensi del d.p.r. 11 febbraio 2005, n. 68, garantisce la riservatezza, l integrità e la consegna dei messaggi Riversamento diretto il processo che trasferisce uno o più documenti da un supporto ad un altro senza alterare la loro rappresentazione informatica Riversamento sostitutivo il trasferimento di uno o più documenti conservati da un supporto di memorizzazione ad un altro, modificando la loro rappresentazione informatica Scarto archivistico la eliminazione fisica e irreversibile di un insieme selezionato di dati e documenti conservati Sistema di gestione informatica dei documenti (Sistema) l insieme delle risorse di calcolo, degli apparati, delle reti di comunicazione e delle procedure informatiche utilizzati dal soggetto fruitore per la gestione dei documenti Titolario di classificazione un sistema precostituito di partizioni astratte, gerarchicamente ordinate, che rispecchiano le funzioni del soggetto fruitore Unità archivistica un documento o un insieme di documenti, rilegati o aggregati secondo un nesso logico di collegamento organico, che li individua come unità indivisibile: fascicolo, registro, repertorio pag. 10 di 54

11 D. Considerazioni generali sui documenti digitali e sulla loro conservazione. Prima di affrontare le modalità operative con cui Unimatica esegue la conservazione dei documenti digitali vengono poste alcune premesse per condividere un quadro di riferimento delle responsabilità inerenti alla conservazione a lungo termine. Vengono di seguito riportate alcune brevi indicazioni che intendono chiarire e condividere il significato attribuito ai termini documento digitale e conservazione. Si individueranno in particolare le parti necessarie ad una descrizione completa del documento, arrivando a definire in modo più chiaro il rapporto tra file, formato di rappresentazione e contenuto del documento. Successivamente sono definiti gli obiettivi della conservazione a lungo termine, suddividendo le responsabilità tra la conservazione archivistica e la conservazione sostitutiva. Il ruolo della conservazione sostitutiva o conservazione autentica viene poi delineato attraverso le responsabilità di mantenimento dell'integrità e dell'autenticità. D.1. Definizione di documento Il termine documento è molto usato ed ha numerose applicazioni nell'informatica, ma in questo contesto esso merita di essere riconsiderato e meglio definito, per poter procedere in modo corretto alla determinazione delle finalità e dei compiti della sua conservazione. Chi si è storicamente occupato di conservazione dei documenti è l Archivistica e in ambito archivistico la Diplomatica è in particolare la disciplina dedicata allo studio dei documenti e del loro valore come testimonianza storica. La Diplomatica ci offre una prima definizione del documento come: "Testimonianza scritta di un fatto di natura giuridica, compilata con l'osservanza di determinate forme, le quali sono destinate a procurarle fede e a darle forza di prova" (Cesare Paoli, Diplomatica, Firenze, Le Lettere, 1987, p.18) Come si vede la definizione tradizionale ci si basa su alcuni presupposti stringenti: il supporto della scrittura, la natura giuridica del contenuto e la riconoscibilità di forme precise. Anche in ambito archivistico per adattare le teoria all evoluzione del documento ci si sposta su definizioni più operativa, che possa avvicinarsi all'automazione dei sistemi informativi. Ci si svincola dalla natura giuridica e ci si porta sul piano dell'attività di un soggetto produttore e della sua gestione documentale. Quindi, in modo più moderno, divengono documenti : "Tutti i libri, le carte, le mappe, le fotografie o gli altri materiali documentari, indipendentemente dalla forma o dalle loro caratteristiche, prodotti o ricevuti da ogni pubblica o privata istituzione, nello svolgimento delle sue funzioni istituzionali o in connessione con la conduzione dei suoi affari particolari, e conservati, o degni di essere conservati, dalla stessa istituzione o dal suo successore, come testimonianza delle sue funzioni, della sua politica, delle decisioni, procedure, operazioni, o altre attività, o a causa del valore informativo dei dati ivi contenuti (Th.R.Schellenberg, Modern Archives: Principles and Techniques, Chicago, Illinois, Midway, 1975). Resta comunque assodato che nella definizione di documento vengono necessariamente coinvolte: pag. 11 di 54

12 l'interpretazione del contenuto da parte di un lettore, informazioni di relazione tra gli oggetti documentari per contestualizzarli rispetto ad un soggetto produttore, la disponibilità di informazioni ausiliarie (metadati) che permettano di descrivere e classificare l'oggetto. Questa dunque è la natura del documento in senso archivistico, con una chiarissima separazione tra supporto e contenuto informativo e con un enfasi evidente sulla possibilità di interpretare il significato e non solo di mantenere integra la rappresentazione simbolica. Come vedremo questa interpretazione, calata nel mondo dell informatica, può costituire un punto di riferimento importante per chiarire ad esempio il rapporto tra file e documento, oppure indicare come muoversi nel complesso campo dei formati di dati. D.2. Documento digitale e restituzione dell'informazione Relativamente all'interpretazione del contenuto da parte del lettore l'utilizzo di tecnologia digitale ha portato sorprendenti innovazioni. In un documento di carta la mediazione tra una successione di simboli ortografici impressi sulla carta e la sua disponibilità come informazione passa esclusivamente per le capacità di lettura e la lingua conosciuta dal suo lettore. Invece per i dati digitali l'informatica crea numerosissime catene interpretative non riproducibili senza l'ausilio di apparecchiature e programmi variamente stratificati e soggetti ad un obsolescenza vorticosa. In particolare è opportuno approfondire le considerazioni sul rapporto tra gli oggetti digitali (i file che contengono le sequenze di simboli binari) e la restituzione di una risorsa informativa direttamente fruibile dal lettore umano (contenuto del documento). Ad esempio il modello OAIS rappresenta la relazione generale tra gli oggetti dati e le risorse informative con il modello seguente. Anche se il modello OAIS si estende a qualunque tipologia di conservazione, anche quella di documenti cartacei o oggetti materiali, esso è sicuramente molto efficace per gli oggetti digitali. OAIS infatti sottolinea l'importanza della conservazione delle informazioni di rappresentazione insieme all'oggetto dati per mantenere nel tempo la possibilità della sua interpretazione. In un oggetto informatico la forma di rappresentazione può coinvolgere dati organizzati in modalità molto varia: sia perché costituiti da strutture binarie complesse e ricursive, sia perché, più semplicemente, i dati possono essere divisi in più file che giocano ruoli specifici nella ricostruzione del contenuto. pag. 12 di 54

13 D.3. Compiti della conservazione digitale Nella sua definizione complessiva il processo di conservazione digitale (sia sostitutiva che archivistica ) è finalizzato al mantenimento nel tempo delle caratteristiche di integrità, autenticità e leggibilità dei documenti informatici. I tre obiettivi menzionati possono essere così definiti: Integrità - garanzia della restituzione non modificata dei dati costituenti l'oggetto digitale Autenticità - prova dell'identità dei soggetti coinvolti nella formazione del documento Leggibilità - garanzia della restituzione dell'informazione rappresentata dall'oggetto digitale Questi tre compiti della conservazione pongono problemi tecnici e operativi molto diversi. Ciò è ancora più vero laddove, per ottenere con il massimo dell'efficacia il raggiungimento dei primi due obiettivi - integrità e autenticità -, si decida di usare lo strumento della firma elettronica avanzata (firma digitale). D.4. Tempestività nella conservazione autentica della firma digitale La conservazione della firma digitale è strettamente collegata a fattori di tempestività. I meccanismi connessi al controllo dei certificati di firma sono legati all'apposizione e alla verifica di riferimenti temporali certi e quindi possono essere realizzati solo con una conservazione che inizia al più presto possibile. D'altro canto se includiamo nelle caratteristiche di leggibilità - come doverosamente va fatto - anche tutte quelle legate al contesto di produzione dei documenti, giungiamo al paradosso che alcune di queste informazioni possono essere fissate solamente a conclusione dei processi. Il paradosso è dunque che da un lato dobbiamo attivare la conservazione al più presto possibile, mentre dall altro lo dobbiamo fare al più tardi possibile, ovvero solo quando si è certi che i documenti abbiano terminato la loro vita attiva all'interno del sistema documentale del soggetto produttore. Definiamo quindi operazioni di conservazione autentica della firma digitale che devono essere richieste al più presto (ASAP - As Soon As Possible) ed invece operazioni di conservazione archivistica richieste al termine dei processi che utilizzano i documenti (ALAP As Late As Possible). D.5. Firma digitale: file e documento Inoltre esiste un altro fattore importante: la firma digitale è una tecnologia che permette di apporre un sigillo ai dati, ma nel senso di puro oggetto dati. La firma garantisce quindi l'integrità e l'autenticità di una sequenza di simboli digitali (un file), mentre, come si è visto, un documento digitale potrebbe essere costituito da dati rappresentati in file distinti. Anche in questo senso, dunque, pare opportuna una separazione tra le funzioni di conservazione autentica e quella di conservazione archivistica, la prima orientata a garantire l'integrità dei dati e provare l'autenticità delle firme, la seconda responsabile di conservare le informazioni sulla rappresentazione delle informazioni (formati digitali), unitamente con le informazioni di contesto e descrittive del documento in senso lato. pag. 13 di 54

14 E. Compiti e responsabilità della Conservazione E.1. Responsabile della conservazione digitale (RCD) Ragione sociale UNIMATICA SpA Cod.Fiscale/P.IVA: Sede legale ed operativa: Via Cristoforo Colombo, Bologna La società Unimatica utilizza personale altamente specializzato e formato sulle problematiche legate alla conservazione e archiviazione digitale. Tale personale è inoltre costantemente aggiornato sulle nuove normative e sugli aspetti tecnologici, attraverso la consultazione della documentazione, messa a disposizione dell azienda, e la partecipazione ad appositi corsi di approfondimento, interni ed esterni L impegno e l attenzione di tutta l azienda sulla tematica specifica ed i risultati raggiunti hanno permesso alla società Unimatica di ottenere l'iscrizione quale socio sostenitore presso l'associazione ANORC (Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale) E.1.1. Compiti e responsabilità Al Responsabile della conservazione digitale (RCD) sono assegnati i compiti e le responsabilità indicate all art. 5 della deliberazione CNIPA 19 febbraio 2004, n. 11, riguardante la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali, e precisamente: definire le caratteristiche e i requisiti del sistema di conservazione in funzione della tipologia dei documenti (analogici o informatici) da conservare, della quale tiene evidenza. Organizza conseguentemente il contenuto dei supporti ottici e gestisce le procedure di sicurezza e di tracciabilità che ne garantiscono la corretta conservazione, anche per consentire l'esibizione di ciascun documento conservato; archiviare e rendere disponibili, con l'impiego di procedure elaborative, relativamente ad ogni supporto di memorizzazione utilizzato, le seguenti informazioni: - descrizione del contenuto dell'insieme dei documenti; - estremi identificativi del responsabile della conservazione; - estremi identificativi delle persone eventualmente delegate dal responsabile della conservazione, con l'indicazione dei compiti alle stesse assegnati; - indicazione delle copie di sicurezza; mantenere e rendere accessibile un archivio del software dei programmi di conservazione ed archiviazione nelle eventuali diverse versioni; verificare la corretta funzionalità del sistema e dei programmi in gestione; adottare le misure necessarie per la sicurezza fisica e logica del sistema preposto al processo di conservazione sostitutiva e delle copie di sicurezza dei supporti di memorizzazione; pag. 14 di 54

15 richiedere la presenza di un pubblico ufficiale nei casi in cui sia previsto il suo intervento, assicurando allo stesso l'assistenza e le risorse necessarie per l'espletamento delle attività al medesimo attribuite; definire e documentare le procedure di sicurezza da rispettare per l'apposizione del riferimento temporale; verificare periodicamente, con cadenza non superiore a cinque anni, l'effettiva leggibilità dei documenti conservati provvedendo, se necessario, al riversamento diretto o sostitutivo del contenuto dei supporti. Deve inoltre: controllare che il processo di raccolta prove venga eseguito correttamente verificare che i blocchi di conservazione non presentino anomalie rispetto alle caratteristiche concordate con il soggetto produttore dei documenti. Procedere alla formazione dei supporti (cd/dvd) qualora previsti. E.2. Il Soggetto fruitore del servizio Ragione sociale Cod.Fiscale/P.IVA: Sede legale @SEDELEGALE@ E.2.1. Responsabile delle attività presso il soggetto fruitore (RSF) E il Responsabile delle attività inerenti al processo di conservazione digitale svolte presso il soggetto fruitore del servizio. Garantisce il raccordo tra il Responsabile della conservazione digitale e le strutture del fruitore deputate alla produzione documentaria. E.2.2. Nello specifico il RSF: Compiti e responsabilità fornisce le informazioni e la documentazione necessarie alla completa definizione del contratto di servizio ed alla compilazione del presente manuale, operando nell ambito delle opzioni e delle variazioni a disposizione del fruitore indicate dal RCD nel contratto stesso; garantisce il pieno rispetto di tutte le condizioni stabilite per la erogazione del servizio di conservazione digitale; assicura il controllo del trasferimento dei dati e dei documenti dal soggetto fruitore al soggetto erogatore, accertando la correttezza e la piena rispondenza tra quanto trasmesso e quanto ricevuto; interviene in presenza di situazioni anomale, garantendo la rapida risoluzione di eventuali malfunzionamenti nel caso in cui questi siano imputabili all operatività del soggetto fruitore; pag. 15 di 54

16 predispone ed inoltra al Responsabile RCD, con le modalità concordate, ogni richiesta di accesso, acquisizione e trasferimento riguardanti il materiale informativo e documentario digitale conservato presso il soggetto erogatore; può definire un piano di auditing e di monitoraggio del processo di conservazione digitale attuato da UNIMATICA S.p.A. con l obiettivo di accertare in modo sistematico il corretto stato di conservazione, accessibilità e intelligibilità del patrimonio documentario trasferito alla server farm di UNIMATICA S.p.A. pag. 16 di 54

17 F. Processi di erogazione del servizio F.1. Struttura organizzativa del Servizio Il Servizio di Conservazione Sostitutiva che UNIMATICA eroga per i Clienti prevede la seguente struttura Organizzativa interna: Responsabile della Conservazione (RCD) Service Manager Demand Manager Security Manager Referente Commerciale Service Manager: è la persona di riferimento UNIMATICA che assicura al RCD che tutte le componenti del servizio concordate a livello contrattuale vengano evase secondo gli SLA concordati con il Responsabile delle attività presso il cliente (RSF). Demand Manager: è la persona di riferimento UNIMATICA che assicura al RCD che tutte le nuove richieste di integrazione SW vengano ricevute-valutate e gestite secondo i tempi previsti. Security Manager: è la persona di riferimento UNIMATICA che gestisce tutti gli aspetti di Security. Referente Commerciale: è la persona di riferimento UNIMATICA che concorda e/o propone ai Clienti i contratti e le loro eventuali variazioni. Nella seguente Tabella vengono riportati per ogni ruolo i riferimenti UNIMATICA: Ruolo Responsabile della Conservazione Delegato interno alla Conservazione Delegato interno alla Conservazione Delegato interno alla Conservazione Service Manager Demand Manager Security Manager Referente Commerciale Enti/Università Referente Commerciale Banche Referente Commerciale Assicurazioni Referente Commerciale Sanità Referente Commerciale Industria Nominativo UNIMATICA Silvano Ghedini Andrea Anghinolfi Roberta Nucci Sabina Falcinelli Massimo Ortensi Andrea Anghinolfi Daniele Gordini Walter Cerdini-Francesco Zanello Silvano Ghedini Ubaldo Squarcia Ubaldo Squarcia Ezio Rimondi-Stefano Zanoli pag. 17 di 54

18 F.2. Modalità di erogazione del Servizio F.2.1. Attivazione del Servizio di Conservazione Sostitutiva Il servizio di Conservazione Sostitutiva per ogni Cliente viene reso disponibile al termine di un processo di attivazione che segue questi fasi fondamentali: Condivisione informazioni Tecniche di richiesta Configurazione. Consolidamento e accettazione delle informazioni Tecniche propedeutiche all attivazione del servizio. Configurazione Ambiente di test. Ricezione ed elaborazione Lotti/Documenti da Conservare in ambiente di Test. Configurazione Ambiente di Produzione e Start-Up del servizio. Ognuno degli step sopra indicati deve essere eseguito per ogni tipologia di configurazione richiesta. Di seguito vengono dettagliate le fasi: Fase 1) : In questa Fase il RSF referente con l'ausilio del RCD compila la scheda cliente allegata. Fase 2): Il Responsabile della conservazione Digitale di UNIMATICA insieme agli altri referenti verifica ed accetta la scheda cliente proposta. Fase 3): UNIMATICA provvede alla configurazione dell ambiente di Test secondo la pianificazione condivisa Fase 4): Il Responsabile della conservazione Digitale provvede alla corretta elaborazione in ambiente di test dei Documenti da Conservare. I test si impostano attraverso l invio di documenti del cliente, per tutte le classi documentali. In base all esito dei test verrà eventualmente reiterata la richiesta di invio flussi e/o la modifica delle impostazioni nell applicativo. I test case e il verbale relativo all esito dei Test vengono regolarmente redatti e condivisi attraverso la compilazione del documento Test Case Conservazione Sostitutiva.xls. Vengono elencate di seguito le tipologie di Test Standard effettuate per ogni nuova famiglia documentale da gestire in conservazione sostitutiva: Acquisizione di documenti nei vari formati definiti inviati utilizzando o i Web-Services o l upload da Portale; Eventuale verifica della risposta dei Web-Services; Verifica delle regole di aggregazione per i blocchi; Verifica delle regole di chiusura dei blocchi Se prevista generazione di supporti (CD/DVD) test delle funzionalità di: 1. Generazione ISO; 2. Masterizzazione CD/DVD; Fase 5): pag. 18 di 54

19 Se i test in Fase 4 hanno prodotto un risultato positivo, e il Responsabile delle attività del Cliente fornisce l ok a procedere, UNIMATICA eseguirà il porting della configurazione dall ambiente di Test a quello di produzione eseguendo di fatto la start-up del servizio. F.2.2. Attivazione dell accesso Web per nuovi utenti Ad ogni attivazione (sia in Test che in produzione) verranno attivati, in base ai dati presenti nella scheda cliente, gli accessi all'applicativo web, nel quale vengono resi disponibili tutti i documenti conservati e le rispettive prove di conservazione. F.2.3. Modifica del Servizio Eventuali modifiche al servizio di Conservazione Sostitutiva che vengano richieste dal Cliente vengono rese disponibili al termine di un processo di cambiamento che segue queste fasi: Condivisione delle modifiche richieste tra RSF e RCD. Consolidamento e accettazione delle informazioni Tecniche propedeutiche alle modifiche da effettuare. Configurazione Ambiente di test. Ricezione ed elaborazione Lotti/Documenti da Conservare in ambiente di Test. Configurazione Ambiente di Produzione e Start-Up del servizio. Ognuno degli step sopra indicati deve essere eseguito per ogni tipologia di configurazione richiesta. Di seguito vengono dettagliate le fasi: Fase 1) : In questa Fase il RSF referente con l'ausilio del RCD modifica la scheda cliente. Fase 2): Il Responsabile della conservazione Digitale di UNIMATICA insieme agli altri referenti verifica ed accetta la scheda cliente proposta. Fase 3): UNIMATICA provvede alla configurazione dell ambiente di Test secondo la pianificazione condivisa Fase 4): Il Responsabile della conservazione Digitale provvede alla corretta elaborazione in ambiente di test dei Documenti da Conservare. I test si impostano attraverso l invio di documenti del cliente, per tutte le classi documentali. In base all esito dei test verrà eventualmente reiterata la richiesta di invio flussi e/o la modifica delle impostazioni nell applicativo. I test case e il verbale relativo all esito dei Test vengono regolarmente redatti e condivisi attraverso la compilazione del documento Test Case Conservazione Sostitutiva.xls. Vengono elencate di seguito le tipologie di Test Standard effettuate per ogni nuova famiglia/organizzazione/struttura documentale da gestire in conservazione sostitutiva: Acquisizione di documenti nei vari formati definiti inviati o utilizzando i Web-Services o con l upload dal portale; Eventuale verifica della risposta dei Web-Services; Verifica delle regole di aggregazione per i blocchi; Verifica delle regole di chiusura dei blocchi pag. 19 di 54

20 Se prevista generazione di supporti (CD/DVD) test delle funzionalità di: - Generazione ISO; - Masterizzazione CD/DVD; Fase 5): Se i test in Fase 4 hanno prodotto un risultato positivo, e il Responsabile delle attività del Cliente fornisce l ok a procedere, UNIMATICA eseguirà il porting della configurazione dall ambiente di Test a quello di produzione eseguendo di fatto la start-up del servizio. F.2.4. Gestione del Servizio La gestione del servizio da parte di Unimatica viene espletata seguendo il seguente processo: verifica e controllo dei blocchi creati verifica della conformità della marche da firmare firma delle Marche di Conservazione verifica e controllo di eventuali segnalazioni di anomalie da parte del sistema di conservazione creazione dei supporti removibili quando previsti. F.2.5. Chiusura del Servizio Il servizio di Conservazione Sostitutiva per ogni Cliente viene Cessato al termine di un processo di cessazione che segue questi fasi: Condivisione informazioni Tecniche di richiesta Cessazione; Consolidamento e accettazione delle informazioni Tecniche propedeutiche alla cessazione del servizio, definizione della data formale di Cessazione; Cessazione Tecnica; Predisposizione Archivio Digitale dei documenti conservati; Invio dei supporti. Ognuno degli step sopra indicati deve essere eseguito per ogni tipologia di configurazione richiesta. Di seguito vengono dettagliate le fasi: Fase 1) : In questa Fase il RSF veicola al RCD di UNIMATICA, la richiesta di cessazione, tramite comunicazione di posta elettronica e documenti allegati. Fase 2): Il Responsabile della Conservazione si impegna a valutare l impatto stimando la data di evasione e fornisce una pianificazione delle 3 fasi successive. Fase 3): In questa fase il Service Manager assicura che alla data di cessazione concordata, vengano eseguite le attività di cessazione del cliente sulla piattaforma di Conservazione Digitale. Di seguito si riporta la lista delle attività standard previste: Modifica configurazione procedure di Loading; Disabilitazione configurazione Cliente; Fase 4): pag. 20 di 54

21 In base al supporto di destinazione dell archivio digitale da conservare, vengono generate delle ISO compatibili con i formati CD o DVD. Fase 5): Invio dei Supporti. F.3. Qualità del Servizio Unimatica SpA è in possesso della certificazione di qualità UNI EN ISO 9001:2008 per i settori: A. EA 33 Informatica B. EA 35 Servizi alle imprese Il Servizio di Conservazione Digitale dei documenti è quindi operato da Unimatica in piena conformità alle procedure definite nel proprio Sistema di Gestione per la Qualità e sottoposto alle verifiche di Audit Interno e di Audit di Parte Terza necessarie ad assicurarne la rispondenza alla norma ISO 9001 ed il continuo miglioramento. pag. 21 di 54

22 G. UniStorage il sistema per la conservazione sostitutiva Il sistema software utilizzato per la gestione del processo di conservazione legale dei documenti digitali è costituito dal prodotto applicativo UNISTORAGE. Unistorage, sviluppato internamente e totalmente da Unimatica, è un sistema integrato e completo per la conservazione a norma, sia autentica che sostitutiva, dei documenti digitali che viene fornito, come prevede la presente proposta, in modalità Outsourcing/ASP/SaaS congiuntamente a tutti i servizi di gestione e supporto correlati, oppure in modalità pacchetto applicativo, installando le applicazioni presso il Data Center del cliente. I servizi offerti, oltre che di tipo applicativo e tecnologico, comprendono tutto il necessario supporto normativo, organizzativo e contrattuale (deleghe, privacy, ecc.), come, ad esempio, la redazione in collaborazione con il cliente del Manuale della Conservazione adattato alle esigenze e caratteristiche specifiche del Committente. Unistorage esegue la conservazione nel tempo dei documenti sottoscritti con firma digitale e rispetta le regole tecniche per la riproduzione e conservazione di documenti definite nella deliberazione CNIPA n. 11 del 19 Febbraio 2004 e nel DPCM 13 Gennaio 2004 e le successive estensioni e integrazioni e presenta le seguente caratteristiche generali: Completezza - presenza di qualsiasi documento emesso Robustezza - garanzia di consistenza dei dati inseriti Sicurezza - protezione dalla manipolazione non autorizzata dei dati Affidabilità - indipendenza dai guasti dell hardware Chiarezza - facilità di consultazione secondo diversi criteri di ricerca garantendo: la completezza e l inalterabilità delle registrazioni dei documenti inviati in conservazione la possibilità di verifica dell integrità delle registrazioni i riferimenti temporali certi. Unistorage è in grado di gestire diverse tipologie di documenti, relativi a diversi ambiti applicativi, quali: Documenti e disposizioni in ingresso ed uscita Documenti di sportello bancario Contratti ed allegati Fatture attive e Fatture passive Libri e registri sociali Libri e registri contabili Libretto unico del lavoro (LUL) Assegni Mandati di pagamento e Reversali d incasso pag. 22 di 54

23 Ricevute e quietanze di pagamento Delibere, determine, atti e provvedimenti Referti, Cartelle cliniche, Immagini diagnostiche Ognuna di queste tipologie è caratterizzata da specifici metadati e apposite regole, definibili in modo parametrico, che consentono di gestire insiemi di documenti omogenei. Il sistema è progettato per partizionare in maniera opportuna i dati gestiti al fine di garantire la separazione per contesto organizzativo e la consistenza dei dati. Il partizionamento opera tra i dati di Aziende diverse o di diversi dipartimenti o uffici afferenti ad una stessa Azienda (Aree Organizzative Omogenee). I fascicoli e documenti, provenienti anche da flussi diversi di conservazione, vengono mantenuti separati tramite una chiave primaria che li identifica, fin dal loro ingresso in conservazione, come appartenenti ad una data AOO e non ad un altra. Il sistema di partizionamento è direttamente collegato al sistema di controllo degli accessi e tracciatura, viene quindi garantita la riservatezza dei dati presenti in archivio. Tutti i documenti sono disponibili on-line, congiuntamente alle rispettive prove di conservazione, per le funzioni di ricerca ed esibizione, così come previsto dalla normativa vigente. La struttura architetturale del prodotto consente di definire diversi livelli operativi e garantisce che ciascuna Azienda/Ente, Area Organizzativa, Agenzia, Ufficio, Dipartimento, ecc. possa accedere solo ed esclusivamente ai suoi documenti, in base alle credenziali e alle politiche di accesso attivate. Unistorage prevede la conservazione singola e/o cumulativa, a lotti, dei documenti elettronici firmati ed implementa un formato di composizione delle marche tale da permettere l esibizione probatoria di un singolo documento ed eventuali operazioni di scarto selettive all interno di un lotto (con relative annotazioni sottoscritte digitalmente dal conservatore). Ogni singolo file può essere esibito insieme ai suoi metadati, registrati nel data base, e alle sue prove di conservazione in maniera assolutamente INDIPENDENTE dagli altri documenti. Infatti, nei file contenenti le prove di conservazione (manifesto), associati a ogni lotto, l unico riferimento ai file originali è l hash del documento stesso, che non ha quindi nessun vincolo di riservatezza. Il sistema gestisce tutte le fasi del processo di conservazione dei documenti informatici, comprendendo la memorizzazione su supporti idonei, l'apposizione del riferimento temporale (Time stamping) sui documenti conservati, la formazione dei lotti, la firma digitale da parte del Responsabile della Conservazione e la relativa marca temporale che attestano il corretto svolgimento del processo. Unistorage è una applicazione Web a tre livelli (desktop, application e database) e utilizzabile da posti di lavoro dotati di sistema operativo Windows (XP, Vista o 7) o Linux, per mezzo di browser standard quali ad esempio Internet Explorer vers. 7 o superiore, Mozilla Firefox 3.6 o superiore, Google Chrome o superiore, Apple Safari o superiore. Per le postazioni che dovranno operare sulle funzionalità di firma è necessario che localmente siano attivi i driver del dispositivo di firma (lettore, smart card o token USB di firma, tablet per la firma grafometrica, ecc.), oppure che sia utilizzato un dispositivo HSM (Hardware Security Module) raggiungibile via rete. pag. 23 di 54

24 Le funzioni di UniStorage per la conservazione sostitutiva, di seguito descritte, sono: verifica iniziale dei documenti inviati creazione dei blocchi di conservazione apposizione di riferimento temporale recupero delle evidenze di autenticità creazione della marca di conservazione gestione dei supporti rimovibili (opzionale) G.1. Verifica iniziale dei documenti inviati Il sistema di conservazione può essere configurato per effettuare, durante la fase di accettazione dei documenti, alcune verifiche sullo stato della firma del documento, e a seconda delle impostazioni (tutte configurabili) il sistema può rifiutare i documenti che non superano le verifiche o parte di esse. Ad esempio si può richiedere al sistema di non accettare firme digitali apposte con certificati scaduti oppure documenti dei quali non sia possibile verificare la firma. Questi parametri sono definiti dal Cliente fruitore del servizio ed elencati nell'allegato al manuale denominato Scheda Cliente. G.2. Creazione dei blocchi di conservazione I documenti consegnati vengono raggruppati in blocchi di conservazione. I blocchi vengono assemblati dal sistema nei tempi e con i criteri di raggruppamento scelti e concordati con il fruitore del servizio di conservazione (ad es. raggruppando i documenti per tipologie o in base alla cadenza temporale di consegna). Il processo di costruzione dei blocchi avviene con le seguenti modalità: individuazione dei documenti destinati a far parte del blocco sulla base dei criteri scelti, questi vengono concordati con il cliente (vedi allegato Scheda Cliente ) e si basano sia su caratteristiche legate allo stato del documento, sia a specifici metadati inviati con i documenti stessi. Un esempio del primo tipo di caratteristiche può essere lo stato della firma: firmato, non firmato, firmato invalido, i blocchi vengono chiusi in seguito a regole. Esistono 2 tipi di regole: automatiche attuate dal Responsabile della Conservazione in accordo con il fruitore del servizio. Della prima categoria fanno parte le regole che impediscono ad un documento di scadere una volta inserito in un blocco, questa tipologia di regole ha la precedenza sulle seconde, le quali riguardano la dimensione massima del blocco e il tempo limite oltre il quale un blocco deve essere forzatamente chiuso. Le regole predisposte dal Responsabile della Conservazione in accordo con il fruitore del servizio vengono definite nell'allegato Scheda Cliente. pag. 24 di 54

25 G.3. Apposizione di riferimento temporale Una volta che i blocchi sono chiusi si procede alla predisposizione dell indice di conservazione del blocco chiamato anche manifesto. L indice è un artefatto informatico che ha la funzione di raccogliere evidenze indirette di tutti i documenti del blocco e di garantire due principali funzioni: la possibilità di provare l integrità dei dati di ogni file contenuto nel blocco di permettere il controllo dell integrità per ogni file in modo separato senza creare un interdipendenza tra i file ai fini dell esibizione e del controllo. Questo artefatto informatico riporta un evidenza informatica e un identificatore univoco ( urn unified resource name) per ogni documento incluso nel blocco. L evidenza contiene l impronta informatica del file originale e l'algoritmo con la quale questa viene calcolata (hash). All indice viene apposta una marca temporale, al fine di fissare un riferimento autentico che fissa la forma esatta del manifesto - e quindi indirettamente di ogni documento incluso - all istante dato. Ciò garantisce di aver determinato un riferimento temporale autentico anche per quei documenti sprovvisti di marcatura temporale in originale. La modalità di conservazione mediante indice permette di verificare l'integrità di ogni singolo file, a prescindere da tutti gli altri file conservati nello stesso blocco. Infatti sarà sufficiente essere in possesso di un file candidato e conoscere il suo urn identificativo per poter eseguire la funzione di hash e confrontare l'impronta ricalcolata con la stringa riportata nell'indice. In questa fase vengono associate all indice tutte le evidenze di autenticità delle firme digitali che verranno verificate all istante del riferimento temporale: i certificati di firma di tutte le firme presenti nel blocco, tutti i certificati appartenenti alle catene di certificazione (trusting chain), le liste di revoca dei singoli certificati (CRL). pag. 25 di 54

26 Figura 1 Indice del blocco di conservazione G.4. Riferimento temporale La conservazione dei documenti digitali vera e propria ha inizio con la formazione del blocco e la costruzione dell'indice. In questo processo è inclusa anche l'apposizione di un time-stamp, ovvero un riferimento temporale certificato che costituisce evidenza dell'esistenza e dell'esatta composizione del file collegato all'istante indicato (T cons ). Apponendo un time stamp all'indice lo si sigilla e contemporaneamente si fissa il riferimento temporale; indirettamente però si sigillano allo stesso modo tutti i documenti del blocco, in quanto le loro impronte sono parte integrante dell'indice stesso. Con questo procedimento, dunque, si viene a costituire un riferimento temporale certificato per ognuno dei file inclusi nel blocco. G.5. Verifica della firma digitale La firma digitale lega un documento informatico all'identità personale del sottoscrittore, determinata dall'uso di una specifica chiave crittografica privata. pag. 26 di 54

27 Verificare una firma comporta una prima attività che è una verifica crittografica dell'integrità del documento e della validità formale della firma stessa. Un secondo passo è la verifica dell'identità del sottoscrittore. Se una chiave privata sia stata usata in una firma è verificabile, mediante processo crittografico, con la corrispondente chiave pubblica. Le chiavi pubbliche sono riportate nei certificati di firma digitale, documenti digitali anch'essi, che definiscono anche i dati d'identità del sottoscrittore. I certificati sono a loro volta firmati da una autorità di certificazione emittente (C.A. - Certification Authority). Si può anche verificare il caso che l'autorità emittente non sia direttamente un'autorità pubblicamente nota, ma che esista una catena di certificazione (trust chain) per cui l'autorità di un certificato vada a sua volta identificata risalendo ad un'autorità terza. Figura 2 Verifica della firma digitale In generale si risalirà la catena di certificazione fino a raggiungere un certificato fidato, ovvero pubblicamente noto. Tra le evidenze informatiche che Unimatica conserva ci sono, per ogni blocco, tutti i certificati a vario modo coinvolti nelle catene di certificazione necessarie alle verifiche di firma digitale. Questo consente di costituire un insieme auto-contenuto di evidenze che possono essere verificate anche a posteriori. G.6. Validità nel tempo della firma digitale I certificati di firma digitale sono emessi con validità che decorre da una data di attivazione e fino ad una scadenza. Queste date sono pre-definite e incluse nel certificato stesso. Le firme digitali hanno pieno valore solo se si può dimostrare che sono state apposte durante il periodo di validità del certificato ed è proprio questo l'obiettivo della conservazione a lungo termine delle firme. pag. 27 di 54

28 Per completare il quadro, però, deve essere aggiunto lo scenario della revoca anticipata dei certificati. Possono infatti verificarsi le condizioni per cui sia necessario revocare un certificato, ad esempio per furto o smarrimento dei dispositivi di firma. In questi casi la C.A. emittente include i dati del certificato coinvolto in una lista di revoche di certificati (CRL Certificate Revocation List) che pubblica periodicamente. E' ovvio che in questi casi la validità del certificato non è più quella dichiarata in fase di emissione, bensì il certificato cessa di essere valido dal momento dichiarato nella CRL. Figura 3 Validità temporale della firma G.7. Riferimento temporale della firma Il processo di controllo delle firme di Unimatica può eseguire le verifiche con diversi livelli di profondità. Il livello può essere configurato in base alle richieste dei clienti o può essere dipendente dalle caratteristiche dei file conservati. Quello che viene descritto nel seguito è il processo più accurato, in quanto tutti gli altri livelli sono suoi sotto-insiemi. Per effettuare la verifica di una firma e conservare le prove della sua validità è dunque indispensabile fissare un riferimento temporale rispetto al quale controllare la validità del certificato. La firma può avere diversi tipi di riferimenti: time-stamp del blocco di conservazione (vedi sopra) riferimento temporale esterno: quando il cliente detiene un proprio riferimento che viene mantenuto esternamente al sistema di conservazione e viene dichiarato all'atto del versamento (es. Registro di Protocollo di una Pubblica Amministrazione) time-stamp contestuale alla firma: quando la firma digitale è stata effettuata con time-stamp La verifica tiene conto dei vari riferimenti disponibili e i risultati sono inseriti nella marca di conservazione. pag. 28 di 54

29 Figura 4 Riferimento temporale Una volta scelto un riferimento temporale si può verificare che esso sia all'interno del periodo di validità nominale del certificato. Inoltre, ad un livello più dettagliato, possono essere reperite due CRL una antecedente al riferimento e una successiva. In particolare per avere una CRL successiva si dovrà però aspettare che la C.A. la emetta, quindi questo livello impone un'attesa prima della verifica definitiva (si noti che però il riferimento temporale dell'indice è già stato bloccato e quindi non è più necessaria una particolare tempestività). L'assenza del certificato in oggetto tra quelli revocati nelle due CRL fornisce un'evidenza della non revoca all'istante del riferimento temporale. Le CRL utilizzate per queste verifiche vengono salvate tra le evidenze di conservazione ed essendo firmate dalle C.A. emittenti costituiscono documenti terzi autonomamente verificabili. G.8. Marca di Conservazione Tutte le informazioni relative ai processi di verifica effettuati e i riferimenti alle evidenze prodotte sono riportati nella marca di conservazione, ovvero un documento digitale in formato XML che viene firmato dal Responsabile della Conservazione. pag. 29 di 54

30 G.9. Contenuto del file (.zip) delle evidenze di conservazione Struttura di un file.zip con marca firmata: Figura 5 File delle evidenze di conservazione FILE DEL MANIFESTO (indice.xml) e TIMESTAMP (indice.xml.tsr) Figura 6 Struttura indice L'indice contiene informazioni sul blocco (nome, data e ente), e sui file contenuti, ognuno col proprio hash, l'algoritmo usato e l'encoding. CRL e CERTIFICATI-TRUSTED Le cartelle crl e certificati-trusted contengono rispettivamente l'insieme delle Certificate revocation list e dei certificati usati per la conservazione. MARCA-DI-CONSERVAZIONE La cartella marca-di-conservazione contiene a sua volta una sottocartella crl e una certificati-trusted, e il file della marca di conservazione firmata.xml.p7m con il proprio timestamp. La marca contiene: 1. l'hash del manifesto. 2. un elemento <operazione> con l'elenco dei controlli effettuati. 3. un elemento <verifica> che a sua volta contiene: a. la lista delle crl, <lista-crl> b. la lista dei certificati trusted, <lista-certificati-trusted> c. un insieme di elementi <documento> contenuti nel blocco, che inglobano: i. parametri specificati per le verifiche come <forza-conservazione> e <forzaaccettazione> ii. urn, hash e esito (codice e valore) del documento iii. l'insieme delle firme sul documento, ognuna con dati (nome, cognome e CF) del firmatario, il certificato trusted, l'esito della firma e i dettagli di ogni verifica effettuata pag. 30 di 54

31 G.10. Gestione dei supporti rimovibili Il servizio di conservazione sostitutiva di Unimatica è organizzato per conservare i blocchi completi su repository informatici on-line disponibili nel centro dati di Unimatica. UniStorage consente però anche la produzione di supporti rimovibili che possono essere forniti al Cliente o conservati esternamente al sistema da Unimatica stessa. In ogni supporto vengono trasferiti dei pacchetti informativi chiamati Registrazioni, uno per ogni blocco e contenenti sia gli oggetti che l insieme delle evidenze di conservazione. La registrazione generata è auto-esplicativa, intendendo con questo che i dati sono affiancati da indici e informazioni di riferimento tali da poter permettere la comprensione del contenuto anche da programmi esterni al sistema di conservazione. La registrazione è contenuta in una directory, il cui nome contiene un indicazione del blocco dei documenti e data/ora dell inizio della creazione della registrazione stessa. Contenuto della directory della registrazione : Manifesto della registrazione (indice.xml) Timestamp sul manifesto della registrazione (indice.xml.tsr) Marca di conservazione Timestamp sulla marca di conservazione Sottodirectory documenti con i documenti archiviati I vari blocchi a secondo delle dimensioni possono venire raggruppati in volumi auto consultanti, la struttura dei volumi è la seguente: all'interno delle directory avremo oltre ai file elencati precedentemente anche una directory contenete i documenti conservati e un file denominato page.html contenente i metadati di ogni documento conservato. Questi volumi sono auto consultanti e permettono la ricerca dei documenti conservati, i metadati associati e le marche di conservazione. G.11. Riversamento diretto Per riversamento diretto si intende l effettuazione di una copia dei documenti conservati da un supporto ad un altro senza che ciò comporti un' alterazione del contenuto digitale dei medesimi. pag. 31 di 54

32 Il riversamento diretto può essere realizzato liberamente dal responsabile della conservazione, in quanto la delibera non prevede, al riguardo, specifiche prescrizioni formali. Con il riversamento diretto viene effettuata quella che in termini tecnici viene definita clonazione del supporto, ossia, viene generato un supporto identico sia nel contenuto che nella rappresentazione dei file. Il riversamento diretto è un'attività, ammessa dalla normativa, e consta, ad esempio, della generazione di copie di sicurezza da parte del Responsabile della Conservazione, come disposto dall'articolo 5, comma 1, della delibera. Viene eseguita normalmente su richiesta del cliente e si effettua mediante generazione dell ISO da masterizzare. Nel caso in cui le verifiche periodiche evidenzino anomalie di leggibilità di documenti conservati, viene eseguita copia dei documenti utilizzando i dati presenti nell archivio digitale o secondario o di Back Up. G.12. Riversamento sostitutivo Per riversamento sostitutivo si intende l effettuazione di una copia dei documenti conservati da un supporto ad un altro con un'alterazione del contenuto digitale dei medesimi. Questa è un'attività tipica, ammessa dalla normativa, nel caso in cui si vuole aggiornare tecnologicamente l archivio sostitutivo per garantire la possibilità di esibizione della documentazione a fronte di innovazioni tecnologiche. In questo caso occorre l attestazione, con l apposizione della propria firma digitale, di conformità all archivio esistente da parte di Pubblico Ufficiale. A differenza del riversamento diretto, il riversamento sostitutivo è espressamente disciplinato dalla delibera, con l'articolo 3, comma 2, per quanto riguarda i documenti informatici, e con l'articolo 4, comma 4, per quanto concerne i documenti analogici. Il riversamento sostitutivo, nel trasferimento di uno o più documenti conservati da un supporto di memorizzazione a un altro, modifica la rappresentazione informatica del suo contenuto. Si tratta, in questo caso, di un aggiornamento tecnologico dell'archivio informatico, in quanto non è più conveniente mantenere nel tempo il formato di rappresentazione digitale dei documenti originariamente conservati. Il processo si conclude con l'apposizione, sull'insieme dei documenti o su un'evidenza informatica contenente una o più impronte dei documenti, del riferimento temporale e della firma digitale da parte del responsabile della conservazione. Le attività operative previste per un processo di riversamento sostitutivo sono: Preparazione di un documento (Piano di Riversamento) in cui sono accuratamente descritte le motivazioni che hanno richiesto il riversamento, tutte le attività che saranno svolte durante il riversamento, il formato di origine e quello di destinazione dei documenti, le applicazioni informatiche utilizzate e gli accorgimenti di sicurezza adottati per garantire l affidabilità e la sicurezza del riversamento. Il Piano di riversamento deve essere condiviso e approvato con il Responsabile delle attività presso il cliente Coinvolgimento di un notaio esperto in processi di conservazione sostitutiva per uno o più incontri in cui il notaio condividerà e validerà il contenuto del Piano di Riversamento, verificherà che il processo di trasformazione del formato dei documenti non alteri il contenuto pag. 32 di 54

33 e la forma dei documenti stessi e che il processo di apposizione delle firme digitali sui documenti riversati avvenga in conformità con le normative vigenti; Estrazione dall archivio di conservazione in essere di tutti i documenti oggetto di riversamento (in linea di principio, un riversamento sostitutivo viene effettuato sull intero archivio di conservazione) e di tutti gli indici di ricerca associati a ciascun documento; Creazione di un report di controllo con l elenco dettagliato di tutti i documenti che saranno riversati, e validazione dell elenco con il Cliente; Implementazione della procedura di conversione che eseguirà la trasformazione del formato dei documenti e/o degli indici (in linea di principio, si presuppone la realizzazione di procedure totalmente batch e automatizzate, che durante l esecuzione non richiedano l intervento manuale di utenti o operatori); Esecuzione della procedura di conversione (questa attività può ovviamente richiedere tempi variabili in funzione della quantità di documenti da sottoporre a riversamento; Reimportazione dei documenti riversati nel sistema di conservazione sostitutiva di origine, oppure all interno di un nuovo sistema; Preparazione e sottoscrizione, da parte del notaio, di un verbale che attesta la regolarità e la correttezza dell operazione svolta. G.13. Controlli periodici Gli Audit Interni vengono pianificati dal responsabile della sicurezza, tenendo conto dello stato e dell importanza dei processi e delle aree oggetto di verifica, nonché dei risultati delle precedenti verifiche. La frequenza con la quale vengono disposti gli Audit Interni è annuale; Audit Interni vengono inoltre eseguiti successivamente a modifiche significative delle funzionalità o dei processi del servizio. Al termine delle verifiche viene predisposto il relativo Verbale di Audit I Verbali di Audit possono essere consultati facendo richiesta al Security Manager UNIMATICA. La scelta del personale verificatore viene fatta in modo da garantire obiettività ed imparzialità nel processo di verifica. Le registrazioni ed i verbali degli Audit Interni tengono traccia di: Controlli periodici sui supporti di memorizzazione, tendenti a verificare con l ausilio di software appropriati, lo stato di conservazione dei supporti stessi e ricercare eventuali difetti, provvedendo, se necessario, al riversamento diretto del contenuto dei supporti. Verifiche periodiche della effettiva leggibilità dei documenti conservati, tendenti a verificare periodicamente, con cadenza non superiore a cinque anni, l effettiva leggibilità dei documenti conservati, provvedendo, se necessario, al riversamento diretto o sostitutivo del contenuto dei supporti. La procedura che gestisce il processo di conservazione presenta delle funzionalità di controllo massivo dei Dati Conservati al fine di verificarne nel tempo la corretta leggibilità. Tali tipologie di controllo consistono nell impostare/configurare a livello informatico la periodicità dei controlli da effettuare. Attualmente, il sistema è stato configurato affinché tali controlli vengano eseguiti ogni 3 anni. pag. 33 di 54

34 Automaticamente, l applicazione informatica che gestisce il processo di conservazione, effettua un check automatico di leggibilità loggando per ogni Blocco/Marca/File informatico conservato, la Data e Ora in cui è stata eseguita l ultima verifica di leggibilità. Il sistema segnala eventuali difettosità sulla console di sistema. Nel caso ciò si verifichi il Responsabile della conservazione o suoi delegati dovranno preoccuparsi di recuperare la copia di backup ed effettuarne immediatamente la duplicazione. Tale verifica viene eseguita sia sui dati contenuti nell archivio Digitale On-Line (1 Sito) che sui dati presenti nell archivio Digitale di Disaster Recovery (2 Sito). G.14. Evidenze e Registrazioni Variazioni Famiglie Documentali oggetto di conservazione; Variazioni normative; Registro delle variazioni di ruoli e funzioni dei soggetti coinvolti nel processo di conservazione; Registro delle variazioni del processo di conservazione; Registro delle edizioni del manuale Registro delle comunicazioni effettuate Registro delle modifiche all archivio Registro delle anomalie Registro dei riversamenti diretti o sostitutivi Piano delle verifiche Registro delle verifiche ispettive G.15. Gestione delle anomalie Unimatica gestisce le anomalie attraverso l utilizzo di tre funzioni aziendali che fanno parte dell organizzazione IT-Operation di Unimatica: il Service Desk, Tecnical Service Support e Sistemi. Le suddette funzioni garantiscono la gestione di tutte le anomalie relative al servizio di Conservazione Sostitutiva assicurando due tipologie di interventi: interventi reattivi a fronte delle segnalazioni degli utenti; interventi proattivi a fronte di generazioni spontanee di eventi e segnalazioni generati dai sistemi di monitoraggio infrastrutturale e applicativo. Le anomalie sono gestite attraverso l utilizzo del processo di Incident Management Unimatica, il cui processo è rappresentato dal seguente schema funzionale: pag. 34 di 54

35 Di seguito vengono descritti gli step del processo più significativi: 1. apertura e presa in carico della segnalazione al Service Desk Unimatica; 2. classificazione dell Incident secondo il livello di criticità, macrotipologia e livello di competenza IT; 3. implementazione workaround, soluzione Incident; 4. compilazione Incident Report. Fase 1) il Service Desk Unimatica prende in carico la segnalazione dell incident, che può provenire dal Cliente o da Sistemi, tracciandolo sul sistema di Trouble Ticketing e verificando se sono correlabili eventi di Tipo Critical segnalati in quel momento. pag. 35 di 54

36 Fase 2) Il Service Desk classifica l incident secondo i parametri di criticità segnalati e/o rilevati, secondo l area di competenza e, se IT, verifica la possibilità di applicare autonomamente il workaround necessario per risolvere l Incident. Fase 3) Nel caso in cui esista un workaround da applicare, il Service Desk Unimatica la applica, notifica la soluzione dell incident all utente che ha segnalato l anomalia attendendo la conferma relativa alla soluzione applicata. Nel caso in cui non esista un workaround applicabile, il Service Desk Unimatica inoltra il problema al secondo livello specialistico, sia esso applicativo (Service Support) o infrastrutturale (Sistemi). Il Secondo livello specialistico definisce il workaround necessario e lo implementa notificando la chiusura dell intervento al Service Desk Unimatica. Il Secondo livello specialistico valuta se è necessario implementare nuove sonde di monitoraggio in Control Room, in caso affermativo le implementa e le rende operative. Fase 4) Al termine dell intervento viene fornito un Incident Report contenente questo set minimo di informazioni: Data/Ora Segnalazione Anomalia; Descrizione dell anomalia Segnalata; Data/Ora Presa in Carico Anomalia; Descrizione problema tecnico rilevato; Data/Ora Chiusura Anomalia; Tipo di WA Applicata (se di 1 o 2 Livello) e descrizione WA; Necessità di implementare una soluzione definitiva (Si/No); Descrizione Soluzione Definitiva; Tempi di implementazione. G.16. Reportistica di servizio La reportistica di servizio che UNIMATICA gestisce è di due Tipologie: 1) Reportistica relativa al processo di Conservazione Sostitutiva; 2) Reportistica del servizio di Supporto Utente (Service Desk e Application Operation); Tipologia 1): verranno prodotti periodicamente i seguenti report: Report Consuntivo blocchi conservati: Report Excel che fornisce la lista dei blocchi conservati e che comprende questo set Minimo di informazioni: 1. Ragione Sociale Cliente; 2. Famiglia Documentale; 3. Nome del Lotto di Documenti; 4. Numero Documenti contenuti all interno del lotto; pag. 36 di 54

37 5. Dal N 6. Al N 7. Data Scadenza Lotto; 8. Data Conservazione; 9. SLA (Se in SLA oppure NO); 10. Note (Popolate se SLA = NO). Periodicità: Semestrale; Tipologia 2: Verrà prodotto un report di Servizio che fornirà le seguenti evidenze: Numero Incident Segnalati Media Tempo di presa in carico Incident Media Tempo di chiusura Incident Numero Service Request Media Tempo di presa in Carico Service Request Media Tempo di Chiusura Service Request Periodicità: Semestrale pag. 37 di 54

38 H. La server farm di Unimatica Dal punto di vista infrastrutturale, i data center dai quali Unimatica eroga i propri servizi consentono di offrire un servizio di alta qualità in termini di continuità e affidabilità. Tale qualità deriva dalle caratteristiche progettuali che hanno contraddistinto la realizzazione dei Data Center, con criteri focalizzati sempre sull obiettivo di fornire le massime garanzie di sicurezza, disponibilità e continuità, sia per quanto riguarda l erogazione di energia elettrica, sia attraverso un opportuno condizionamento climatico, sia attraverso un adeguato meccanismo di sicurezza fisica (impianto antincendio e sorveglianza con allarmi 24x7), sia attraverso la ridondanza architetturale dei sistemi, delle infrastrutture di rete e delle connessioni verso l esterno. Lo schema seguente rappresenta l implementazione hardware/software dell architettura di conservazione presso i siti di Settimo Torinese e Firenze, nei quali sono allocati i data center, rispettivamente Primario e Secondario: pag. 38 di 54

39 pag. 39 di 54

40 H.1. Infrastrutture Sul sito primario di Settimo Torinese il servizio DB è erogato da un cluster Oracle Active/Passive, versione 11g, composto da due lame blade, distribuite su entrambi i Blade System (chassis) per massimizzarne la disponibilità. Sul sito secondario il servizio DB è gestito da un unico nodo Oracle Enterprise, versione 11g, installato su una lama blade di potenza adeguata. Sito primario di Settimo Torinese: Blade System Lame Blade x Database Lame Blade x AS Licenze Oracle EE Licenze VMWare Storage Backup su Datadomain 2 Cestelli Blade H IBM 2 lame IBM blade HS22v 2CPU/4 Core Xeon con 64GB Ram 3 lame IBM blade HS22v 2CPU/6 Core con 128GB 4 Licenze ESXi Enterprise HITACHI HDS VSP Espansione di 10TB Sito secondario (DR) di Firenze: Blade System Lame Blade x Database Lame Blade x AS Licenze Oracle EE Storage Licenze VMWare Backup su Datadomain Esistente 1 HP BL460c G6 2CPU Quad Core con 64 GB RAM 2 lame HP BL460c G6 2 CPU Quad core con 64 GB RAM 4 Licenze HITACHI HDS VSP ESXi Enterprise Espansione di 10TB Gli ambiti applicativi (J2EE) sviluppati da Unimatica nell ambito del progetto, sono implementati su sistemi virtuali utilizzando tecnologia VMWare ESXi e accedono alla base dati descritta in precedenza. Le prestazioni elaborative, oltre che dai sistemi di ultima tecnologia, sono garantite da una connettività LAN a 1GBit. Per garantire la scalabilità degli Application Server di front-end, sollecitati dalle transazioni di inquiry, è previsto l utilizzo di una componente hardware (Juniper) per il bilanciamento degli accessi al servizio di Reverse-Proxy posto in rete DMZ. La scalabilità della farm JBOSS e Tomcat di Back-End è implementata (ove prevista) applicativamente, mediante un servizio di bilanciamento con replica della sessione in-memory tra i sistemi virtuali che compongono il servizio. Sul sito primario i servizi applicativi sono installati su quattro lame blade distribuite su entrambi i Blade System (chassis) per massimizzarne la disponibilità. Sul sito secondario verranno utilizzate tre lame blade su un unico Blade System. La Storage Area Network è implementata nel modo seguente : SETTIMO o Storage HITACHI HDS VSP per i dati pregiati (Database e macchine Virtuali Vmware) pag. 40 di 54

41 o NAS Server NetApp IBM Nseries 5200 per i dati applicativi (lavorazione dei flussi) share nfs da 1Tb attestata su tutti i server virtuali Vmware. o EMC-DD670 per i backup (share nfs su cui vene eseguito l rman e vengono memorizzati i backup del TSM Tivoli Storage Manager) FIRENZE o Storage HITACHI HDS VSP per dati pregiati (Database e macchine Virtuali Vmware) o Storage HP MSA FC 2312 per dati della share nfs o EMC-DD670 per i backup (share nfs su cui vene eseguito l rman) o Server Oracle Linux configurato con disco da 1Tb (storage HP) adibito a NFS server per tutta la farm Ogni sistema Blade connesso all HITACHI (Settimo o Firenze), accede allo storage con percorsi ridondati (Switches e Fabric differenti); i sistemi HITACHI sono connessi alla SAN utilizzando almeno 4 porte ciascuno. L alta affidabilità dei dati è attuata diversamente a seconda dei sistemi : i dati del database sono allineati tramite la funzionalità di Oracle host standby sul sito di DR che recepisce in modalità asincrona le modifiche del DB attivo (Settimo). Gli altri sistemi si avvalgono anch essi di replica asincrona (NAS) tramite rsync o realizzata dall applicazione (TSM per EMC). H.1.1. Backup Le funzionalità di Backup e Restore dei dati di sistema e delle configurazioni, sono implementate utilizzando Tivoli Storage Manager (TSM), il cui client è installato su tutti i sistemi virtuali. Il server TSM si appoggia sulla piattaforma storage EMC-DD670, costituita da due librerie di nastri virtuali (VTL) sul sito di Moncalieri (primaria) e Settimo Torinese (secondaria). La funzionalità di backup del database è stata implementata utilizzando il comando Oracle RMAN ed EXPORT, giornalmente o settimanalmente secondo necessità. I dati sono salvati su un file system NFS implementato dalla libreria EMC-DD670 di Settimo Torinese e replicati a Firenze (EMC-DD660) La politica di salvataggio dell istanza Database prevede : Backup RMAN full - Settimanale (eseguito la domenica) Backup RMAN incrementale - Giornaliero Export Database - Giornaliero con retention 15 giorni Export Database - Settimanale con retention 3 mesi Export Database - Mensile con retention 1 anno Export Database - Annuale Nota che : le tabelle del database in READ-ONLY (protette da scrittura in base al partizionamento eseguito) verranno salvate una volta sola. H.1.2. Disaster Recovery Una analoga infrastruttura opera nel sito di disaster recovery distante oltre 300 Km dal sito primario. La disponibilità è H24 per entrambi i siti. pag. 41 di 54

42 Il sito secondario permette di usufruire dei servizi in Produzione anche in caso di indisponibilità del Data Center Primario. I servizi saranno quelli erogati nel sito primario e ritenuti critici per la continuità del servizio a fronte di un disastro. L aggiornamento del Software Applicativo avviene secondo le seguenti modalità: Installando le web-applications su entrambi i siti e replicando i relativi setup Eseguendo periodicamente degli Snapshots VMware, replicati sul sito di DR Utilizzando il comando rsync per eventuali aree comuni L allineamento dei dati del Database avviene utilizzando la feature di standby database con la replica degli archive log. H.2. Infrastruttura di rete Le applicazioni UNIMATICA sono inserite in un infrastruttura di rete che prevede una doppia barriera di firewalls gestiti da due apparati Cisco PIX-535: la prima denominata rete DMZ, direttamente affacciata alla rete internet, permette l accesso dei clienti ai servizi esposti; un reverse proxy gestirà le richieste di accesso che verranno veicolate verso la rete sicura; la seconda è la rete sicura che ospita l infrastruttura virtuale Vmware ed il Database. Sul sito primario, la connettività verso la rete Internet utilizza l infrastruttura BGP utilizzata per i propri servizi, composta da tre diversi carrier internet su linee fisiche Colt/Fastweb/Telecom per garantire affidabilità e raggiungibilità in caso di guasti alla rete. La banda disponibile è simmetrica circa 300 Mb/s e condivisa. Sul sito secondario, la connettività verso la rete Internet utilizza l infrastruttura BGP, composta da due carrier su linee fisiche Fastweb/Telecom. L infrastruttura utilizzata per realizzare le VPN Site-to-site è ridondata anche essa, di tecnologia Fortigate sul primario e Checkpoint sul secondario. pag. 42 di 54

43 pag. 43 di 54