Ministero della Giustizia DIPARTIMENTO DELL ORGANIZZAZIONE GIUDIZIARIA, DEL PERSONALE E DEI SERVIZI DIREZIONE GENERALE PER I SISTEMI INFORMATIVI AUTOMATIZZATI AREA CIVILE POLISWEB Piano delle verifiche per il rilascio dell autorizzazione ai Punto di Accesso per la sola consultazione tramite siti PolisWeb Versione 1.0
Sommario 1 INTRODUZIONE... 6 2 ANALISI DELLA DOCUMENTAZIONE PREDISPOSTA DAL PDAPW... 7 2.1 MANUALE OPERATIVO E PIANO PER LA SICUREZZA.... 7 2.2 RELAZIONE TECNICA SULLE MODALITÀ DI AUTENTICAZIONE DEGLI UTENTI.... 8 3 ISPEZIONE E VERIFICA DELLE FUNZIONALITÀ DEL SISTEMA... 9 3.1 PROCEDURA (COMPLETA) DI REGISTRAZIONE DI UN NUOVO SOGGETTO... 9 3.2 CONSULTAZIONI POLISWEB... 9 3.3 PROCEDURA (COMPLETA) DI DISABILITAZIONE DI UN SOGGETTO ABILITATO... 10 3.4 SICUREZZA DEI LOCALI, DELL HARDWARE E DELLE PROCEDURE DI AMMINISTRAZIONE DEL SISTEMA... 10 PAGINA 2 DI 11
STORIA DELLE MODIFICHE APPORTATE Versione Data Descrizione Modifica 1.0 23/06/2005 Prima emissione PAGINA 3 DI 11
DEFINIZIONI E ACRONIMI Nel presente capitolo è riportata la descrizione dei termini, degli acronimi e delle abbreviazioni usate nel documento. Acronimo CdO CPC CPECPT DSN DTD GC HTTP HTTPS MIME PCT PdA PdApw PIN RD ReGIndE ReLIndE RPC RUG RUPA S/MIME SIC SICI SIL SMTP SOAP SPC Descrizione Consiglio dell Ordine Codice di Procedura Civile Casella di Posta Certificata Processo Telematico (anche CPEPT) Delivery Status Notification Document Type Definition Gestore Centrale HyperText Transfer Protocol HyperText Transfer Protocol Secure Multipurpose Internet Mail Extensions Processo civile telematico Punto di Accesso Punto di Accesso per la sola consultazione di PolisWeb Personal Identification Number Repository Documentale Registro Generale degli Indirizzi Elettronici Registro Locale degli Indirizzi Elettronici Remote Procedure Call Rete Unitaria della Giustizia Rete Unitaria della Pubblica Amministrazione Secure Multipurpose Internet Mail Extensions Sistema Informativo Civile Sistema Informatico del Contenzioso Civile Sistema Informativo del Lavoro Simple Mail Transfer Protocol Simple Object Access Protocol Servizio Pubblico di Connessione SSLv3 Secure Sockets Layer version 3 UG UI UNEP W3C XML Ufficio Giudiziario User Interface Ufficio Notifiche e Protesti World Wide Web Consortium extensible Markup Language PAGINA 4 DI 11
RIFERIMENTI Progressivo Descrizione 1 Regole Tecnico-Operative per l Uso di Strumenti Informatici e Telematici nel Processo Civile e relativi allegati. (D.M. 14/10/2004) 2 Regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della Carta nazionale dei servizi (D.M. 9-12-2004) 3 PolisWeb - Specifiche tecniche v 4.1 4 Piano delle Verifiche per L autorizzazione dei Punti di Accesso v1.0 PAGINA 5 DI 11
1 INTRODUZIONE Il Punto di Accesso (PdA) è un nodo di fondamentale importanza nell infrastruttura del SIC (Sistema Informativo Civile); infatti il PdA è il nodo tramite il quale gli utenti esterni possono collegarsi al mondo Giustizia. L infrastruttura del PCT (Processo Civile Telematico) prevede che soggetti pubblici e privati possano richiedere al Ministero della Giustizia l autorizzazione per l attivazione di PdA. Per essere completamente conforme al PCT un PdA deve fornire diversi tipi di servizi agli utenti esterni tra cui: consultazione, invio atti, gestione notifiche, ecc. Le Regole Tecnico- Operative per l Uso di Strumenti Informatici e Telematici nel Processo Civile e relativi allegati (D.M. 14/10/2004) specificano i servizi che il PdA deve fornire. Il documento Piano delle Verifiche per l Autorizzazione dei Punti di Accesso fornisce indicazioni circa le verifiche che il Ministero della Giustizia effettuerà prima di concedere l autorizzazione per l attivazione di un PdA. Per velocizzare e massimizzare la diffusione del PCT, e anche sulla base delle esperienze positive in alcuni tribunali (quali Bologna, Milano e Roma), è consentita l attivazione di PdA che forniscono solo un sottoinsieme delle funzionalità previste dal PCT; in particolare risulta possibile attivare PdA che forniscono il solo servizio di consultazione, collegandosi ai siti PolisWeb. Per le specifiche techiche e funzionali di questa soluzione si rimanda al documento PolisWeb - Specifiche tecniche, versione 4.1. Nel seguito del presente documento con il termine PdApw si intende un Punto di Accesso che fornisce il solo servizio di consultazione tramite siti PolisWeb, mentre con il termine PdA si intende un Punto di Accesso che fornisce tutte le funzionalità del PCT. Il soggetto che intende costituire un PdApw inoltra, alla Direzione Generale per i Sistemi Informativi automatizzati (DGSIA) del Ministero della Giustizia, domanda di iscrizione nell elenco pubblico dei punti di accesso, specificando nella domanda: che trattasi di Punto di Accesso per la sola consultazione di siti PolisWeb (PdApw). a quale/quali siti PolisWeb si richiede l interfacciamento. Il Ministero della Giustizia decide sulla domanda, con provvedimento motivato, anche sulla base di apposite verifiche, effettuabili anche da personale esterno all Amministrazione, da questa delegato, con costi a carico del richiedente. Successivamente alla concessione di autorizzazione, il Ministero della Giustizia può verificare l adempimento degli obblighi assunti da parte del gestore del PdApw, di propria iniziativa oppure su segnalazione. La verifica eseguita dal Ministero della Giustizia previo rilascio di prima autorizzazione prevede due fasi: Analisi della documentazione predisposta dal PdApw Ispezione e verifica delle funzionalità del sistema Le due fasi sono descritte nelle sezioni 2 e 3 del presente documento. PAGINA 6 DI 11
2 ANALISI DELLA DOCUMENTAZIONE PREDISPOSTA DAL PDAPW Il gestore del PdApw deve consegnare alla DGSIA, almeno quindici giorni prima dell ispezione del sistema, i seguenti documenti: manuale operativo (punto A art. 33 delle regole tecniche) piano di sicurezza (punto B art. 34 delle regole tecniche) relazione tecnica sulle modalità di autenticazione degli utenti (nel seguito descritta). 2.1 MANUALE OPERATIVO E PIANO PER LA SICUREZZA. Gli articoli 33 e 34 delle regole tecniche (sotto riportati per comodità) obbligano il PdApw a predisporre e mantenere Manuale Operativo e Piano della Sicurezza. I suddetti documenti saranno attentamente vagliati prima di concedere autorizzazione, con particolare riferimento alle parti qui in grassetto. Art. 33 (Manuale operativo) 1. Il punto di accesso utilizza un manuale operativo in cui sono definite le procedure applicate per effetto del presente decreto. 2. Il manuale operativo è pubblicato a cura del punto di accesso, per la consultazione in via telematica. 3. Il manuale operativo contiene almeno le seguenti informazioni: a) dati identificativi del punto di accesso e del relativo gestore; b) dati identificativi della versione del manuale operativo; c) responsabile del manuale operativo; d) definizione degli obblighi del titolare del punto di accesso e di coloro che vi accedono per l'utilizzo dei servizi; e) definizione delle responsabilità e delle eventuali limitazioni agli indennizzi; f) tariffe; g) modalità di autenticazione, registrazione e gestione degli utenti; h) (NON APPLICABILE a PdApw); i) (NON APPLICABILE a PdApw); j) (NON APPLICABILE a PdApw); k) politiche e procedure di sicurezza. Art. 34 (Piano per la sicurezza) 1. Il punto di accesso individua ed iscrive nel giornale di controllo il responsabile per la sicurezza. 2. Il responsabile di cui al comma 1 definisce un piano per la sicurezza nel quale che contiene almeno i seguenti elementi: a) struttura generale, modalità operativa e struttura logistica dell organizzazione; b) descrizione dell infrastruttura di protezione per ciascun immobile rilevante ai fini della sicurezza; c) collocazione dei servizi e degli uffici negli immobili dell organizzazione; d) elenco del personale e sua distribuzione negli uffici; e) ripartizione e definizione delle responsabilità; f) descrizione delle procedure utilizzate nell attività di attivazione delle utenze; g) descrizione dei dispositivi installati; PAGINA 7 DI 11
h) descrizione dei flussi di dati; i) (NON APPLICABILE a PdApw); j) (NON APPLICABILE a PdApw); k) analisi dei rischi; l) descrizione delle contromisure; m) specificazione dei controlli. 3. Il piano per la sicurezza è conforme a quanto previsto dal decreto legislativo 30 giugno 2003, n.196. 2.2 RELAZIONE TECNICA SULLE MODALITÀ DI AUTENTICAZIONE DEGLI UTENTI. L autenticazione degli utenti è una delle operazioni più critiche al fine della sicurezza del sistema. Il manuale operativo (punto g. art 33) prevede una descrizione delle modalità di autenticazione, registrazione e gestione degli utenti. Si richiede al gestore del PdApw di predisporre (a parte rispetto al manuale operativo) una relazione tecnica dettagliata circa l implementazione dei meccanismi di autenticazione e la loro aderenza rispetto a quanto previsto dalle regole tecniche. Si richiede esplicitamente di spiegare nella relazione l implementazione dei meccanismi per l associazione delle credenziali dell utente (certificato) al codice fiscale dell utente passato nell header HTTP durante ciascuna richiesta di consultazione. La relazione non dovrà far riferimento a generiche tecnologie ma dovrà indicare e descrivere nel dettaglio tutte le componenti del sistema che si occupano della gestione dell autenticazione, e le loro interazioni. PAGINA 8 DI 11
3 ISPEZIONE E VERIFICA DELLE FUNZIONALITÀ DEL SISTEMA Durante l ispezione, pre-rilascio dell autorizzazione, dovrà essere verificato che il PdApw sia in grado di svolgere i servizi richiesti, interfacciandosi con un sito PolisWeb tra quelli attivati dal Ministero della Giustizia e indicati nella richiesta di attivazione. In particolare saranno verificati i seguenti aspetti: 1. Procedura (completa) di registrazione di un nuovo soggetto. 2. Consultazioni PolisWeb. 3. Procedura (completa) di disabilitazione di un soggetto abilitato. 4. Sicurezza dei locali, dell hardware e delle procedure di Amministrazione del sistema. I punti 1..4 sopra elencati sono spiegati in maggiore dettaglio nel resto del documento. Il gestore del PdApw, onde supportare l amministrazione nell esecuzione delle procedure di verifica, deve garantire, durante l ispezione, la presenza di figure tecniche in grado di rispondere adeguatamente alle domande (anche di dettaglio) poste dalle persone incaricate della verifica. Per la simulazione di collegamenti di utenti esterni al PdApw, gli accessi verranno effettuati attraverso Internet evitando di connettersi direttamente alla LAN del PdApw, in modo da simulare il più possibile una situazione reale (evitando problematiche relative a tempi di accesso, firewall, ecc.). 3.1 PROCEDURA (COMPLETA) DI REGISTRAZIONE DI UN NUOVO SOGGETTO Eseguire almeno due procedure di registrazione di un nuovo soggetto fornendo i dati di cui all art. 13 delle regole tecniche. 3.2 CONSULTAZIONI POLISWEB 1. Il PdApw deve stabilire un canale sicuro con i browser esterni utilizzando SSL v.3 e chiavi di 1024 bit. Per la verifica di questi parametri è necessario collegarsi con un browser dall esterno e: verificare la lunghezza della chiave visualizzando il certificato (doppio click sul lucchetto nella barra di stato del browser IE 6). verificare l impossibilità di connettersi se non attraverso protocollo SSL v.3. Nel browser IE 6, entrare nelle impostazioni avanzate (Internet Option -> Advanced) e disabilitare l opzione USE SSL 3.0. Chiudere il browser e ritentare il collegamento, verificando che il sito non accetti la connessione. 2. Deve essere anche verificato che il PdApw stabilisca un canale sicuro con il sito PolisWeb (SSL v.3 e chiavi di 1024 bit). Il PdApw deve mettere a disposizione una procedura per la verifica di questa specifica. 3. Le regole tecniche del Processo Civile Telematico stabiliscono che i certificati di autenticazione devono essere conformi alle Regole tecniche e di sicurezza relative alle PAGINA 9 DI 11
tecnologie e ai materiali utilizzati per la produzione della Carta nazionale dei servizi (D.M. 9-12-2004); pertanto sono validi solo certificati di autenticazione rilasciati da certificatori accreditati di cui all articolo 5 del Decreto Legislativo 23 gennaio 2002, n.10. Si identificano due casi: a. Il PdApw, in collaborazione con un certificatore accreditato, rilascia direttamente in fase di registrazione dell utente il token crittografico con il certificato di autenticazione; b. il PdApw richiede all utente di dotarsi, prima della registrazione, di un token crittografico contenente un certificato di autenticazione rilasciato da un certificatore accreditato. Il manuale operativo del PdApw deve contenere indicazione di tutti i certificatori accreditati cui l utente può rivolgersi per ottenere un token per il quale è stata dimostrata compatibilità operativa con il PdApw stesso. Infatti, sebbene le regole tecniche della CNS garantiscano l interoperabilità dei certificati, nella pratica si verificano spesso problemi di compatibilità a livello hardware o software. Verificare la procedura di connessione al PdApw (da Internet) tramite browser e il funzionamento della procedura di autenticazione. Nel caso b, è facoltà di chi esegue l ispezione, verificare la compatibilità di tutti i token crittografici previsti, o limitarsi a verificare la compatibilità di alcuni di questi. 4. La verifica delle funzionalità di consultazione PolisWeb può essere fatta eseguendo attraverso browser una serie di interrogazioni. Fungendo il PdApw da semplice proxy non si ritiene necessario eseguire test approfonditi sulle funzionalità di consultazione, il cui funzionamento è legato al corretto funzionamento del sito PolisWeb. 5. Verificare che siano implementati efficaci meccanismi per la gestione delle sessioni di consultazione; si ritengono plausibili due scenari: a. se l utente rimuove la smart card dal lettore allora la sessione corrente viene immediatamente terminata ed è necessaria una nuova procedura di autenticazione; b. una volta autenticato, l utente può operare per un tempo massimo di 15 minuti prima che il PdApw controlli nuovamente se la smart card con il certificato è presente nel lettore. 3.3 PROCEDURA (COMPLETA) DI DISABILITAZIONE DI UN SOGGETTO ABILITATO Si tratta di disabilitare i soggetti registrati al punto 3.1 revocando loro i permessi di accesso. A seguito della disabilitazione verificare che gli utenti non siano più in grado di accedere nemmeno disponendo delle relative smart card di autenticazione. 3.4 SICUREZZA DEI LOCALI, DELL HARDWARE E DELLE PROCEDURE DI AMMINISTRAZIONE DEL SISTEMA L accesso ai locali e ai server che ospitano le macchine del PdApw è un altro punto di primaria importanza. Nel piano di sicurezza devono essere precisamente indicate tecnologie e modalità operative utilizzate per la protezione delle macchine. PAGINA 10 DI 11
Deve altresì essere precisamente indicato quali sono le modalità di amministrazione del sistema (upgrade, correzione bug, patch al sistema operativo, etc.) e se e come è possibile un amministrazione remota delle macchine (operazione molto rischiosa). Durante l ispezione verrà verificato che quanto descritto nel piano di sicurezza corrisponda alla situazione reale. PAGINA 11 DI 11