“EXTENSIBLE ACCESS CONTROL MARKUP LANGUAGE”. Considerata la natura fortemente sensibile dei dati oggetto dei sistemi informativi sanitari, particolarmente importante è l’implementazione di sistemi di autorizzazione e controllo degli accessi ai documenti; per la definizione di tali politiche di sicurezza, ELGA utilizza lo standard “eXtensible Access Control Markup Language” (XACML). In XACML, ciascuna politica di accesso ai dati sanitari (policy) è costituita da un target (ovvero il soggetto destinatario della regola) e da un insieme di regole o rule (ciascuna costituita da un target, un effetto o decisione - permesso o diniego -, ed una condizione - il cui scopo è restringere l’applicabilità di una regola -141). Affinché i risultati di una regola possano correttamente essere applicati per ottenere una decisione finale della policy, sono predisposti algoritmi di combinazione. Quanto premesso è strumentale per comprendere il meccanismo di funzionamento delle componenti dell’architettura proposta da XACML: “Policy Enforcement Point” intercetta le richieste di accesso alle risorse (eventualmente includendovi gli attributi del soggetto, della risorsa e dell’ambiente reperiti da “Policy Information Point”), per poi inoltrarle a “Policy Decision Point”, cui spetta, invece, la valutazione delle policies applicabili (policies conservate in un repository e prodotte da “Policy Administration Point”) e la successiva decisione. In caso di autorizzazione, “Policy Enforcement Point” esegue la richiesta di accesso. 140 Per approfondimenti, tra gli altri, vedasi: R.H. DOLIN, L. ALSCHULER, S. BOYER, C. BEEBE, F. M. BEHLEN, P. V. BIRON, A. SHABO, HL7 Clinical Document Architecture, Release 2, Journal of the American Medical Informatics Association, 2006; 13(1): 30-39. 141 L’effetto o decisione è un requisito obbligatorio all’interno di una regola, contrariamente alla condizione che è facoltativa.
