Santarcangelo di Romagna, 25/05/2018

Documenti analoghi
MISURE MINIME DI SICUREZZA

MISURE MINIME DI SICUREZZA

MISURE MINIME DI SICUREZZA

MISURE MINIME DI SICUREZZA

IL NUOVO REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI: DA OBBLIGO A OPPORTUNITÀ

Sistema Informativo per Associazioni Agricole

Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web

AGID: Le misure minime di sicurezza ICT per la PA. Documento di sintesi della Circolare AGID

Allegato B Piano di sicurezza informatica ai sensi dell art. 4, comma 1, lettera c) e dell art. 7 del DPCM 03 dicembre 2013

ALLEGATO AL CAPITOLATO TECNICO

ALLEGATO 13 PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

ALLEGATO N. 5. I - Misure di carattere generale

22 Maggio, Il nuovo Regolamento europeo 2016/679 sulla protezione dei dati personali (GDPR)

Allegato D MISURE DI SICUREZZA PER LA PROTEZIONE DEI DATI

Sistema informativo integrato per la gestione dei flussi relativi ai mercati dell energia elettrica e del gas

Le Misure Minime di sicurezza ICT per le Pubbliche Amministrazioni

OGGETTO: PROCEDURA GESTIONE PASSWORD

native fundraiser.

La soluzione IoT per prodotti connessi e servizi smart. GETTING SMART WITH US

REGOLAMENTO D UTILIZZO dell applicativo Piattaforma Socio Sanitaria GECAS

Spett.le Comune di Bagnara Oggetto: PagoPA pagamenti elettronici a favore della PA - con relativi prodotti online gestiti con i software Golem.

Infrastruttura del Sistema informatico integrato

I servizi «Fatture e Corrispettivi» Una nuova generazione di servizi digitali per i contribuenti IVA

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI Documento n. 8 Allegato al manuale di gestione

Le Misure Minime AgID si identificano come processo continuo di evoluzione delle procedure di sicurezza Cibernetica all interno della PA.

Le innovazioni per il digitale nella Pubblica Amministrazione. 23 giugno 2016 Dott. Giovanni Piscolla

Agenda. SPID la normativa Servizi qualificati Visura Transazione / istanza Backoffice Use case PROPOSTI DAI PARTECIPANTI

Azienda Ospedaliera Universitaria Policlinico "G. Martino" SUITESTENSA Portal Portale Web di distribuzione immagini e referti

INDICE. Che cosa è SPID - Sistema Pubblico di Identità Digitale. L adesione della Provincia autonoma di Trento: la Convenzione

La CyberSecurity nel modello ICT per la PA

Descrizione Infrastruttura Informatica oggetto del sopralluogo/ Intervento: Segreteria e Server

SPID Sistema Pubblico di Identità Digitale

Guida per la migrazione FDS BCM File Delivery Services Passaggio alla piattaforma FDS ridondante tra sedi

Cybersecurity e PA. AgID per la sicurezza ICT delle Pubbliche amministrazioni. Corrado Giustozzi Agenzia per l Italia Digitale CERT-PA

Servizio Calcolo e Reti

Misure sicurezza per scambio di dati personali tra Pubbliche Amministrazioni

Infrastrutture per l'accesso. Grazia Ugolini

GDPR: accountability e approccio dell OdI

Gestione del protocollo informatico con OrdineP-NET

Supporto agli EELL. per la conformità al Codice Amministrazione Digitale. Adozione di

Gestione del protocollo informatico con OrdineP-NET

Gestione del protocollo informatico con OrdineP-NET

GESTIONE DOCUMENTALE E DEMATERIALIZZAZIONE. Syllabus Versione 2.0

POR FESR POR FSE COMITATO DI SORVEGLIANZA 25 FEBBRAIO 2016 INFORMATIVA SUL SISTEMA INFORMATIVO

Conservazione a norma

Il dispiegamento tecnologico di RTRT. Firenze, 3 dicembre 2009 Ing. Laura Castellani

Il modello Cloud della PA: come acquisire servizi cloud qualificati. Il Catalogo dei servizi Cloud qualificati per la PA Guida alla consultazione

OGGETTO: Costi Attivazione Servizio PEC (Posta Elettonica Certificata)

Allegato Tecnico Backup As A Service

We secure your communication

ALLEGATO 2 - Caratteristiche generali del software

REQUISITI SISTEMA DI GESTIONE ORDINATIVO INFORMATICO

Misure minime di sicurezza ICT per le pubbliche amministrazioni

Considerazioni sulle Misure minime di sicurezza Gruppo Harmony

La porta di comunicazione

La difficile impresa di gestire i log dei sistemi ICT

Registro elettronico scuola ospedaliera rel. 5.0

Modalità e regole di accesso ai sistemi. SOP e SIAG. Giugno 2018 versione attuale

Prot.n. 6312/B15a Terni, 30/10/2018

evoluta e la cooperazione applicativa SPC

Trasformazione digitale Efficienza e innovazione: esperienze del GSE Gennaro Niglio Direttore Sistemi Informativi GSE SpA

Innovare è Crescere. Gabriele Da Rin - Responsabile Relazioni Istituzionali Infocamere

SOLUZIONE SW BLUE CODE

Lo stato di attuazione e funzionamento dei Suap in Basilicata: le prospettive alla luce della Legge Madia

IN REGOLA CON IL (GDPR) UE 679/2016 REGOLAMENTO GENERALE PER LA PROTEZIONE DEI DATI

Comuni «fuori dal comune»: Strumenti e tecnologie innovative

Servizi Digitali per le imprese Le Camere di Commercio con le imprese nel futuro digitale

Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web

OVH E LA PROTEZIONE DEI DATI PERSONALI

6 cose da sapere sul GDPR

Le iniziative Consip a supporto

Servizi Digitali per le imprese

Servizio L2.S2.1 - Firma digitale remota

CIRCOLARE N. 7/2006. N. pagine complessive: allegati - L originale cartaceo firmato è archiviato presso l Ente emittente.

Supportiamo i Comuni nella gestione dei tributi e nelle relazioni con i cittadini-contribuenti

PREPARARSI ALLA NUOVA PRIVACY: CONOSCERE ED APPLICARE IL GDPR IN AZIENDA GESTIRE LA SICUREZZA INFORMATICA

EasyBridge: 10 novembre 2016 Milano Casa dei Comuni di ANCI Lombardia

ELENCO MISURE DI SICUREZZA

Un'architettura cooperativa di alto profilo

Privacy Policy. Trattamento dei dati personali ai sensi del Regolamento (UE) 2016/679

COMUNE DI TORELLA DEI LOMBARDI. Provincia di Avellino PIANO DI INFORMATIZZAZIONE

CASE STUDY AWDOC BY AWTECH

IL NUOVO REGOLAMENTO Analisi e impatto sul sistema informatico

Visura delle refertazioni di laboratorio ai medici di base e cittadini per via informatica protetta

ABSC 1 (CSC 1): INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON AUTORIZZATI

SICUREZZA e CONTROLLO PER LE TUE PEC PEC MANAGER. Gestisci, Organizzi, Condividi, Archivi e Conservi a norma! PEC MANAGER è un prodotto di

Modalità di identificazioni ed accesso SPID al portale di Roma Capitale

ALLEGATO AL CAPITOLATO TECNICO

AGYO PRIVACY. GDPR senza pensieri? Scegli il software in cloud Agyo Privacy

Roberto Zampese Business Development Manager. ORACLE Italia

Sistema Informativo Integrato Architettura generale. Daniele Gentili

Transcript:

Santarcangelo di Romagna, 25/05/2018 DICHIARAZIONE DI CONFORMITA PORTALE MAGGIOLI jcity.gov IN TEMA DI MISURE MINIME DI SICUREZZA (Circ. Agid 2/2017) E COMPLIANCE ALLA PRIVACY BY DESIGN (Reg. UE 2016/679) Il portale servizi al cittadino/imprese jcity.gov di Maggioli Spa aderisce alle indicazioni della Circolare Agid n.2/2017 del 18 aprile 2017 in relazione alle «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1 agosto 2015)», e garantisce il pieno rispetto di quanto previsto dal Reg. UE 2016/679. Sicurezza dei dati (art. 24 e 32 GDPR) Tutti i processi produttivi (sviluppo, collaudo, manutenzione del software) e di assistenza (monitoraggio e tracciamento delle richieste, del loro stato ed evoluzione) sono eseguiti in osservanza ed in accordo con il Manuale della Qualità di cui alla certificazione ISO 9001:2015 posseduta, adottando sistemi atti a impedire la vulnerabilità dei codici sorgenti. La soluzione proposta, tramite l infrastruttura applicativa, garantisce la disponibilità e l integrità di tutti i dati nel caso in cui si verifichino errori, assicurando l isolamento e limitando la propagazione delle anomalie nei diversi moduli applicativi. Il prodotto utilizza un infrastruttura di persistenza che garantisce l atomicità delle transazioni effettuate assicurando l integrità dei dati anche a fronte di errori e situazioni anomale. Le attività di personalizzazione software di tipo custom sono progettate nel rispetto della totale compatibilità e integrazione con la linea di produzione standard, adottando sistemi parametrici di attivazione / disattivazione delle funzionalità dedicate. La soluzione applicativa è parte di una piattaforma completa totalmente integrata ed assicura pertanto una totale interoperabilità tra i vari moduli che la compongono. La soluzione è inoltre aperta e predisposta all interazione con altre applicazioni esterne, mediante scambio di flussi di dati e/o messaggi utilizzando una tecnologia sicura ed efficiente: i Web Services SOAP (WS). Ove si verificasse la situazione tale per cui parte degli archivi dell Ente si trovassero in hosting presso il DataCenter, Maggioli Spa, si impegna a restituire tutti i dati nel loro formato nativo, strutturati e non, al momento della conclusione del contratto (attività di phase out ). Servizio di assistenza e manutenzione L assistenza viene garantita mediante un servizio di Help Desk, per fornire il supporto tecnico-operativo agli utenti dell Ente interessati alla fruizione dei servizi dell infrastruttura tecnologica ed applicativa.

Il servizio di Help Desk eroga le sue attività agli utenti dell Amministrazione al fine di risolvere le problematiche che si manifestano e per le quali il personale dell Ente non sia autonomo nella soluzione. Il servizio NON viene fornito direttamente ad utenti finali del portale, cittadini e professionisti, Il servizio di Help Desk viene erogato da personale altamente qualificato, preparato e di comprovata esperienza nel settore della Pubblica Amministrazione Locale ed è in grado di risolvere in modo rapido e puntuale il problema segnalato. Compiti ed attività del servizio di Help desk sono tali da: fornire direttamente la soluzione attraverso il canale telefonico e/o con collegamento da remoto, avvalendosi in caso di necessitò del supporto del 2 Livello e/o del reparto di Sviluppo software. attivare su richiesta del Cliente, previo acquisto di giornate, l assistenza onsite di personale in modalità affiancamento nel caso di esigenza specifica dell ente. Misure Tecniche Gestione Utenti e accessi Il sistema di accesso degli utenti ai servizi del portale JCity.Gov prevede un architettura che implementa una completa separazione tra attività di autenticazione e quelle di profilazione. Le attività di autenticazione, come previsto dalle più recenti modifiche al CAD, sono necessariamente basate su SPID e opzionalmente su smart cards di tipo CNS/TS-CNS. (Carta Nazionale Servizi, Tessera Sanitaria con funzioni di CNS). Queste forme di autenticazione prevedono sostanzialmente una delega ad un soggetto esterno (l Identity Provider SPID o la Certification Autority cha ha emesso la smart card) delle procedure di sicurezza legate al rilascio delle credenziali e al processo di autenticazione. Il portale è in grado di gestire anche un proprio sistema di autenticazione autonomo, questa modalità di accesso, attivata su richiesta della singola amministrazione, implementa pienamente le misure previste nella Circolare Agid n.2/2017. L accesso alle funzionalità esposte dal portale JCity.Gov è regolato da un sistema di profilazione i basato sull architettura RBAC (Role Based Access Control) che consente una profilazione centralizzata e granulare degli utenti. L'applicazione prevede funzionalità di tipo amministrativo che consentono autonomia e tracciabilità nella gestione dei profili utente in termini di ruoli e relativi permessi Nello specifico il portale jcity.gov recepisce le seguenti indicazioni previste nella Circolare Agid N.2/2017 (*): [ABSC 5.1.2] Utilizzare le utenze amministrative solo per effettuare operazioni che ne richiedano i privilegi, registrando ogni accesso effettuato

[ABSC 5.7.1] Quando l'autenticazione a più fattori non è supportata, utilizzare per le utenze amministrative credenziali di elevata robustezza (e.g. almeno 14 caratteri con la regola di avere almeno una maiuscola e un numero) [ABSC 5.7.3] Assicurare che le credenziali delle utenze amministrative vengano sostituite con sufficiente frequenza (password aging) [ABSC 5.7.4] Impedire che credenziali già utilizzate possano essere riutilizzate a breve distanza di tempo (password history) [ABSC 5.4.1] Tracciare nei log l'aggiunta o la soppressione di un'utenza [ABSC 5.4.2] Generare un'allerta quando viene aggiunta un'utenza [ABSC 5.4.3] Generare un'allerta quando vengano aumentati i diritti di un'utenza [ABSC 5.5.1] Tracciare nei log i tentativi falliti di accesso con un'utenza [ABSC 5.7.2] Impedire che per le utenze amministrative vengano utilizzate credenziali deboli [ABSC 5.7.6] Assicurare che le stesse credenziali amministrative non possano essere riutilizzate prima di sei mesi (*) in caso di autenticazione esterna al portale il rispetto di alcune prescrizioni è demandato a soggetti terzi (qualificati da AGID) Misure Tecniche Cifratura dei dati Il portale JCity.Gov non gestisce dati sensibili (Secondo la definizione del Codice sulla protezione dei dati personal) ma solo dati personali (ai sensi dell art. 4 comma 1 del GDPR) pertanto non si rende necessario ricorrere alla pseudonimizzazione che prevede l assenza di identificabilità diretta del soggetto interessato («trattamento dei dati personali in modo tale che i dati non possano essere più attribuiti ad un interessato specifico senza l utilizzo di informazioni aggiuntive»). L organizzazione del database prevede comunque una segmentazione delle informazioni per cui non è possibile ricavare in modo diretto attributi di un singolo soggetto se non coordinando le informazioni provenienti da sottosistemi diversi. In genarale l architettura dei servizi esposti non prevede la persistenza delle informazioni a livello di portale ma accesso in tempo reale ad informazioni gestite dalle piattaforme di backoffice. Il flusso di informazioni tra portale e piattaforme di backoffice prevede canali di comunicazione cifrati e collegamenti punto punto vincolati (white list IP) tra piattaforme server; opzionalmente, in relazione a valutazioni del rischio connesso ai servizi erogati, è possibile attivare ulteriori livelli di protezione quali mutua autenticazione basata su certificati e canali di tipo VPN.

Ci sono eccezioni a questa architettura, che comportano quindi persistenza di informazioni a livello infrastruttura di portale senza la quale il servizio non sarebbe erogabile, che riguardano alcune tipologie di servizi: dati di profilo forniti dal cittadino in sede di accesso o desunti da sistemi di autenticazione esterni informazioni su istanze in corso di redazione o protocollate informazioni su posizioni debitorie esposte verso piattaforma di pagamento PAGOPA di cui il cittadino ha ricevuto un avviso di pagamento informazioni su prenotazioni richieste dal cittadino Gli Enti possono inoltre adottare sistemi di cifratura a protezione delle copie di sicurezza (backup) dei dati. Misure Tecniche Log Il portale jcity.gov prevede un articolata e completa gestione dei log in grado di tracciare le attività svolte sia da utenti sia da amministratori di sistema. Il logging viene gestito a livello di infrastruttura e garantisce il massimo livello di accuratezza e veridicità, viene operata una distinzione tra log applicativi che tracciano le attività e log tecnici che tracciano le anomalie; inoltre alcune operazioni quali ad esempio i log di autenticazione SPID sono oggetto di persistenza dedicata e pienamente rispondente alla normativa specifica (AGID). In modo particolare l accesso al sistema prevede una tracciatura dettagliata e non riconfigurabile rispondente a specifiche normative (ex codice protezione dei dati personali). In generale livello di dettaglio può essere invece configurato fino ad arrivare alla tracciatura delle letture e non solo delle modifiche. Integrazione con componenti esterne Il portale jcity.gov utilizza una serie di librerie e componenti esterne di tipo open source. Essendo tecnologie e prodotti in continua e rapida evoluzione si rende necessaria l introduzione di periodica di nuove versioni. Maggioli Spa si preoccupa di condurre estesi collaudi al fine di garantire la stabilità e il corretto funzionamento dei prodotti offerti attraverso la certificazione delle nuove release e il collaudo dell intera piattaforma. Pertanto ogni aggiornamento è completo di tutte le componenti esterne necessarie e non ci sono dipendenze da componenti esterne non fornite L aggiornamento a nuove versioni di componenti portale è automatico e parte del supporto tecnico standard.

Diritti degli interessati (Capo III GDPR) Il portale JCity.Gov, in sede di acquisizione di informazioni personali relative a cittadini, espone una dettagliata informativa sulle finalità del trattamento dei dati personali richiesti, sui diritti degli interessati, sulle modalità di fruizione degli stessi nonché indicazioni precise sui responsabili del trattamento. Questa informativa è evidenziata in sede di acquisizione delle informazioni e del relativo consenso al trattamento dei dati ed è sempre disponibile nelle sezioni informative pubbliche del portale. Violazione dei dati (art. 33 e 34 del GDPR) In ottemperanza con quanto previsto agli art. 33 e 34 Maggioli Spa rispetterà i tempi di comunicazione previsti dal GDPR. Cancellazione dei dati (art. 17 diritto all oblio ) In relazione normative specifiche di ogni singolo servizio implementato dal software JCity.Gov Maggioli Spa fornirà il supporto per rispettare quanto previsto dall art. 17 del GDPR. Maggioli S.p.A. Responsabile del Trattamento Dott.ssa Cristina Maggioli

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back