Common use of OBBLIGHI DEL GESTORE DELL’IDENTITÀ DIGITALE Clause in Contracts

OBBLIGHI DEL GESTORE DELL’IDENTITÀ DIGITALE. Il Gestore delle Identità Digitali è obbligato a: - rilasciare l'identità digitale su domanda dell'interessato ed acquisire e conservare il relativo modulo di richiesta; - verificare l'identità del soggetto richiedente prima del rilascio dell’Identità Digitale; - conservare copia per immagine del documento di identità esibito e del modulo di adesione, nel caso di identificazione “de-visu”; - conservare copia del log della transazione nei casi di identificazione tramite documenti digitali di identità, identificazione informatica tramite altra identità digitale SPID o altra identificazione informatica autorizzata; - conservare il modulo di adesione allo SPID sottoscritto con firma elettronica qualificata o con firma digitale, in caso si identificazione tramite firma digitale; - verifica degli attributi identificativi del richiedente; - consegnare in modalità sicura le credenziali di accesso all’utente; - conservare la documentazione inerente al processo di adesione per un periodo pari a 20 (venti) anni decorrenti dalla scadenza o dalla revoca dell'identità digitale; - cancellare la documentazione inerente al processo di adesione trascorsi venti anni dalla scadenza o dalla revoca dell'identità digitale; - trattare e conservare i dati nel rispetto del Regolamento (UE) 2016/679 in materia di protezione dei dati personali; - verificare ed aggiornare tempestivamente le informazioni per le quali il Titolare ha comunicato una variazione; - effettuare tempestivamente e a titolo gratuito su richiesta dell’utente, la sospensione e/o revoca di un’identità digitale, ovvero la modifica degli attributi secondari e delle credenziali di accesso; - revocare l'identità digitale se ne riscontra l'inattività per un periodo superiore a 24 (ventiquattro) mesi o in caso di decesso della persona fisica o di estinzione della persona giuridica; - segnalare su richiesta dell'utente ogni avvenuto utilizzo delle sue credenziali di accesso, inviandone gli estremi ad uno degli attributi secondari indicati dall'utente; - verificare la provenienza della richiesta di sospensione da parte dell'utente (escluso se inviata tramite PEC o sottoscritta con firma digitale o firma elettronica qualificata); - fornire all'utente che l'ha inviata, una conferma della ricezione della richiesta di sospensione; - sospendere tempestivamente l'identità digitale per un periodo massimo di trenta giorni ed informarne il richiedente; - rispristinare o revocare l'identità digitale sospesa, nei casi previsti; - revocare l'identità digitale se riceve dall'utente copia della denuncia presentata all'autorità giudiziaria per gli stessi fatti su cui è basata la richiesta di sospensione; - utilizzare sistemi affidabili che garantiscono la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo o internazionale; - adottare adeguate misure contro la contraffazione, idonee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione delle credenziali di accesso; - effettuare un monitoraggio continuo al fine rilevare usi impropri o tentativi di violazione delle credenziali di accesso dell'identità digitale di ciascun utente, procedendo alla sospensione dell'identità digitale in caso di attività sospetta; - effettuare con cadenza almeno annuale un'analisi dei rischi; - definire, aggiornare e trasmettere ad AgID il piano per la sicurezza dei servizi SPID; - allineare le procedure di sicurezza agli standard internazionali, la cui conformità è certificata da un terzo abilitato; - condurre con cadenza almeno semestrale il Penetration Test; - garantire la continuità operativa dei servizi afferenti allo SPID; - effettuare ininterrottamente l'attività di monitoraggio della sicurezza dei sistemi, garantendo la gestione degli incidenti da parte di un'apposita struttura interna; - garantire la gestione sicura delle componenti riservate delle identità digitali assicurando non siano rese disponibili a terzi, ivi compresi i fornitori di servizi stessi, neppure in forma cifrata; - garantire la disponibilità delle funzioni, l'applicazione dei modelli architetturali e il rispetto delle disposizioni previste dalla normativa; - sottoporsi con cadenza almeno biennale ad una verifica di conformità alle disposizioni vigenti; - informare tempestivamente l'AgID e il Garante per la protezione dei dati personali su eventuali violazioni di dati personali; - adeguare i propri sistemi a seguito dell'aggiornamento della normativa; - inviare all'AgID in forma aggregata i dati richiesti a fini statistici, che potranno essere resi pubblici; - in caso intendesse cessare la propria attività, comunicarlo all’AGID e ai Titolari delle Identità Digitali almeno 30 (trenta) giorni prima della data di cessazione, indicando gli eventuali gestori sostitutivi, ovvero segnalando la necessità di revocare le identità digitali rilasciate; - in caso di subentro ad un gestore cessato, gestire le identità digitali che questi ha rilasciato dal gestore cessato e ne conserva le informazioni; - in caso di cessazione dell’attività, scaduti i 30 (trenta) giorni, revocare le identità digitali rilasciate e per le quali non si è avuto subentro; - informare espressamente il richiedente in modo compiuto e chiaro degli obblighi che assume in merito alla protezione della segretezza delle credenziali, sulla procedura di autenticazione e sui necessari requisiti tecnici per accedervi; - se richiesto dall’utente, segnalargli via e-mail o via sms, ogni avvenuto utilizzo delle sue credenziali di accesso; - notificare all'utente la richiesta di aggiornamento e l'aggiornamento effettuato agli attributi relativi della sua identità digitale; - nel caso l'identità digitale risulti non attiva per un periodo superiore a 24 (ventiquattro) mesi o il contratto sia scaduto, revocarla e informarne l'utente via posta elettronica e numero di telefono mobile; - in caso di decesso del titolare (persona fisica) o di estinzione della persona giuridica, revocare previo accertamento l’identità digitale; - nel caso in cui l'utente richieda la sospensione della propria identità digitale per sospetto uso fraudolento, fornirgli evidenza dell’avvenuta presa in carico della richiesta e procedere alla immediata sospensione dell’identità digitale; - trascorsi 30 (trenta) giorni dalla sospensione su richiesta dell'utente per sospetto uso fraudolento, ripristinare l’identità sospesa qualora non ricevesse copia della denuncia presentata all’autorità giudiziaria per gli stessi fatti sui quali è stata basata la richiesta di sospensione; - nel caso in cui l'utente richieda la sospensione o la revoca della propria identità digitale tramite PEC o richiesta sottoscritta con firma digitale o elettronica inviata via posta elettronica, fornire evidenza all'utente dell’avvenuta presa in carico della richiesta e procedere alla immediata sospensione o alla revoca dell’identità digitale; - ripristinare l'identità sospesa su richiesta dell'utente se non riceve entro 30 (trenta) giorni dalla sospensione una richiesta di revoca da parte dell'utente; - in caso di richiesta di revoca di dell'identità digitale, revocare le relative credenziali e conservare la documentazione inerente al processo di adesione per 20 (venti) anni dalla revoca dell’identità digitale. - proteggere le credenziali dell'identità digitale contro abusi ed usi non autorizzati adottando le misure richieste dalla normativa; - all’approssimarsi della scadenza dell’identità digitale, comunicarla all'utente e, dietro sua richiesta, provvedere tempestivamente alla creazione di una nuova credenziale sostitutiva e alla revoca di quella scaduta; - in caso di guasto o di upgrade tecnologico provvedere tempestivamente alla creazione di una nuova credenziale sostitutiva e alla revoca di quella sostituita; - non mantenere alcuna sessione di autenticazione con l’utente nel caso di utilizzo di credenziali di livelli 2 e 3 SPID; - tenere il Registro delle Transazioni contenente i tracciati delle richieste di autenticazione servite nei 24 mesi precedenti, curandone riservatezza, inalterabilità e integrità, adottando idonee misure di sicurezza ed utilizzando meccanismi di cifratura.

OBBLIGHI DEL GESTORE DELL’IDENTITÀ DIGITALE. Il Gestore delle Identità Digitali è obbligato a: - rilasciare Descrizione Rilasciare l'identità digitale su domanda dell'interessato ed acquisire e conservare il relativo modulo di richiesta; - verificare richiesta Verificare l'identità del soggetto richiedente prima del rilascio dell’Identità Digitale; - conservare Digitale Conservare copia per immagine del documento di identità esibito e del modulo di adesione, nel caso di identificazione “de-visu”; - conservare de visu Conservare copia del log della transazione nei casi di identificazione tramite documenti digitali di identità, identificazione informatica tramite altra identità digitale SPID o altra identificazione informatica autorizzata; - conservare il modulo di adesione allo SPID sottoscritto con firma elettronica qualificata o con firma digitale, in caso si identificazione tramite firma digitale; - verifica autorizzata Verifica degli attributi identificativi del richiedente; - consegnare richiedente Consegnare in modalità sicura le credenziali di accesso all’utente; - conservare all’utente Conservare la documentazione inerente al processo di adesione per un periodo pari a 20 (venti) venti anni decorrenti dalla scadenza o dalla revoca dell'identità digitale; - cancellare digitale Cancellare la documentazione inerente al processo di adesione trascorsi venti anni dalla scadenza o dalla revoca dell'identità digitale; - trattare digitale Trattare e conservare i dati nel rispetto del Regolamento (UE) 2016/679 della normativa in materia di protezione tutela dei dati personali; - verificare personali di cui al decreto legislativo 30 giugno 2003, n. 196. Verificare ed aggiornare tempestivamente le informazioni per le quali il Titolare ha comunicato una variazione; - effettuare variazione Effettuare tempestivamente e a titolo gratuito su richiesta dell’utentedell'utente, la sospensione e/o revoca di un’identità un'identità digitale, ovvero la modifica degli attributi secondari e delle credenziali di accesso; - revocare accesso Revocare l'identità digitale se ne riscontra l'inattività per un periodo superiore a 24 (ventiquattro) mesi o in caso di decesso della persona fisica o di estinzione della persona giuridica; - segnalare giuridica Segnalare su richiesta dell'utente ogni avvenuto utilizzo delle sue credenziali di accesso, inviandone gli estremi ad uno degli attributi secondari indicati dall'utente; - verificare dall'utente Verificare la provenienza della richiesta di sospensione da parte dell'utente (escluso se inviata tramite PEC o sottoscritta con firma digitale o firma elettronica qualificata); - fornire ) Fornire all'utente che l'ha inviata, una inviata conferma della ricezione della richiesta di sospensione; - sospendere sospensione Sospendere tempestivamente l'identità digitale per un periodo massimo di trenta giorni ed informarne il richiedente; - rispristinare . Rispristinare o revocare l'identità digitale sospesa, nei casi previsti; - revocare previsti Revocare l'identità digitale se riceve dall'utente copia della denuncia presentata all'autorità giudiziaria per gli stessi fatti su cui è basata la richiesta di sospensione; - utilizzare sospensione Utilizzare sistemi affidabili che garantiscono la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo o internazionale; - adottare internazionale Adottare adeguate misure contro la contraffazione, idonee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione delle credenziali di accesso; - effettuare accesso Effettuare un monitoraggio continuo al fine rilevare usi impropri o tentativi di violazione delle credenziali di accesso dell'identità digitale di ciascun utente, procedendo alla sospensione dell'identità digitale in caso di attività sospetta; - effettuare sospetta Effettuare con cadenza almeno annuale un'analisi dei rischi; - definirerischi Definire, aggiornare e trasmettere ad AgID AGID il piano per la sicurezza dei servizi SPID; - allineare SPID Allineare le procedure di sicurezza agli standard internazionali, la cui conformità è certificata da un terzo abilitato; - condurre abilitato Condurre con cadenza almeno semestrale il Penetration Test; - garantire Test Garantire la continuità operativa dei servizi afferenti allo SPID; - effettuare SPID Effettuare ininterrottamente l'attività di monitoraggio della sicurezza dei sistemi, garantendo la gestione degli incidenti da parte di un'apposita struttura interna; - garantire la gestione sicura delle componenti riservate delle identità digitali assicurando non siano rese disponibili a terzi, ivi compresi i fornitori di servizi stessi, neppure in forma cifrata; - garantire interna Garantire la disponibilità delle funzioni, l'applicazione dei modelli architetturali e il rispetto delle disposizioni previste dalla normativa; - sottoporsi normativa Sottoporsi con cadenza almeno biennale ad una verifica di conformità alle disposizioni vigenti; - informare vigenti Informare tempestivamente l'AgID l'AGID e il Garante per la protezione dei dati personali su eventuali violazioni di dati personali; - adeguare personali Adeguare i propri sistemi a seguito dell'aggiornamento della normativa; - inviare all'AgID normativa Inviare all'AGID in forma aggregata i dati richiesti a fini statistici, che potranno essere resi pubblici; - in . In caso intendesse cessare la propria attività, comunicarlo all’AGID "e ai Titolari delle Identità Digitali titolari" almeno 30 (trenta) giorni prima della data di cessazione, indicando gli eventuali gestori sostitutivi, ovvero segnalando la necessità di revocare le identità digitali rilasciate; - in rilasciate In caso di subentro ad un gestore cessato, gestire le identità digitali che questi ha rilasciato dal gestore cessato e ne conserva le informazioni; - in informazioni In caso di cessazione dell’attività, scaduti i 30 (trenta) giorni, revocare le identità digitali rilasciate e per le quali non si è avuto subentro; - informare subentro Informare espressamente il richiedente in modo compiuto e chiaro degli obblighi che assume in merito alla protezione della segretezza delle credenziali, sulla procedura di autenticazione e sui necessari requisiti tecnici per accedervi; - se accedervi Se richiesto dall’utente, segnalargli via e-mail email o via sms, ogni avvenuto utilizzo delle sue credenziali di accesso; - notificare . Notificare all'utente la richiesta di aggiornamento e l'aggiornamento effettuato agli attributi relativi della sua identità digitale; - nel digitale Nel caso l'identità digitale risulti non attiva per un periodo superiore a 24 (ventiquattro) mesi o il contratto sia scaduto, revocarla e informarne l'utente via posta elettronica e numero di telefono mobile; - in mobile In caso di decesso del titolare (persona fisica) o di estinzione della persona giuridica, revocare previo accertamento l’identità digitale; - nel digitale Nel caso in cui l'utente richieda la sospensione della propria identità digitale per sospetto uso fraudolento, fornirgli evidenza dell’avvenuta presa in carico della richiesta e procedere alla immediata sospensione dell’identità digitale; - trascorsi 30 (trenta) . Trascorsi trenta giorni dalla sospensione su richiesta dell'utente per sospetto uso fraudolento, ripristinare l’identità sospesa qualora non ricevesse copia della denuncia presentata all’autorità giudiziaria per gli stessi fatti sui quali è stata basata la richiesta di sospensione; - nel . Nel caso in cui l'utente richieda la sospensione o la revoca della propria identità digitale tramite PEC o richiesta sottoscritta con firma digitale o elettronica inviata via posta elettronica, fornire evidenza all'utente dell’avvenuta presa in carico della richiesta e procedere alla immediata sospensione o alla revoca dell’identità digitale; - ripristinare . Ripristinare l'identità sospesa su richiesta dell'utente se non riceve entro 30 (trenta) giorni dalla sospensione una richiesta di revoca da parte dell'utente; - in . In caso di richiesta di revoca di dell'identità digitale, revocare le relative credenziali e conservare la documentazione inerente al processo di adesione per 20 (venti) anni dalla revoca dell’identità digitale. - proteggere le credenziali dell'identità digitale contro abusi ed usi non autorizzati adottando le misure richieste dalla normativa; - all’approssimarsi All’approssimarsi della scadenza dell’identità digitale, comunicarla all'utente e, dietro sua richiesta, provvedere tempestivamente alla creazione di una nuova credenziale sostitutiva e alla revoca di quella scaduta; - in scaduta In caso di guasto o di upgrade tecnologico provvedere tempestivamente alla creazione di una nuova credenziale sostitutiva e alla revoca di quella sostituita; - non . Non mantenere alcuna sessione di autenticazione con l’utente nel caso di utilizzo di credenziali di livelli 2 e 3 SPID; - tenere SPID Tenere il Registro delle Transazioni contenente i tracciati delle richieste di autenticazione servite nei 24 mesi precedenti, curandone riservatezza, inalterabilità e integrità, adottando idonee misure di sicurezza (art. 31 D.LGS 196/2003) ed utilizzando meccanismi di cifratura.

OBBLIGHI DEL GESTORE DELL’IDENTITÀ DIGITALE. Il Gestore delle Identità Digitali è obbligato a: - • rilasciare l'identità digitale su domanda dell'interessato ed acquisire e conservare il relativo modulo di richiesta; - • verificare l'identità del soggetto richiedente prima del rilascio dell’Identità Digitale; - • conservare copia per immagine del documento di identità esibito e del modulo di adesione, nel caso di identificazione “de-visu”; - • conservare copia del log della transazione nei casi di identificazione tramite documenti digitali di identità, identificazione informatica tramite altra identità digitale SPID o altra identificazione informatica autorizzata; - • conservare il modulo di adesione allo SPID sottoscritto con firma elettronica qualificata o con firma digitale, in caso si identificazione tramite firma digitale; - • verifica degli attributi identificativi del richiedente; - • consegnare in modalità sicura le credenziali di accesso all’utente; - • conservare la documentazione inerente al processo di adesione per un periodo pari a 20 (venti) anni decorrenti dalla scadenza o dalla revoca dell'identità digitale; - • cancellare la documentazione inerente al processo di adesione trascorsi venti anni dalla scadenza o dalla revoca dell'identità digitale; - • trattare e conservare i dati nel rispetto del Regolamento (UE) 2016/679 in materia di protezione dei dati personali; - • verificare ed aggiornare tempestivamente le informazioni per le quali il Titolare ha comunicato una variazione; - • effettuare tempestivamente e a titolo gratuito su richiesta dell’utente, la sospensione e/o revoca di un’identità digitale, ovvero la modifica degli attributi secondari e delle credenziali di accesso; - • revocare l'identità digitale se ne riscontra l'inattività per un periodo superiore a 24 (ventiquattro) mesi o in caso di decesso della persona fisica o di estinzione della persona giuridica; - • segnalare su richiesta dell'utente ogni avvenuto utilizzo delle sue credenziali di accesso, inviandone gli estremi ad uno degli attributi secondari indicati dall'utente; - • verificare la provenienza della richiesta di sospensione da parte dell'utente (escluso se inviata tramite PEC o sottoscritta con firma digitale o firma elettronica qualificata); - • fornire all'utente che l'ha inviata, una conferma della ricezione della richiesta di sospensione; - • sospendere tempestivamente l'identità digitale per un periodo massimo di trenta giorni ed informarne il richiedente; - • rispristinare o revocare l'identità digitale sospesa, nei casi previsti; - • revocare l'identità digitale se riceve dall'utente copia della denuncia presentata all'autorità giudiziaria per gli stessi fatti su cui è basata la richiesta di sospensione; - • utilizzare sistemi affidabili che garantiscono la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo o internazionale; - • adottare adeguate misure contro la contraffazione, idonee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione delle credenziali di accesso; - • effettuare un monitoraggio continuo al fine rilevare usi impropri o tentativi di violazione delle credenziali di accesso dell'identità digitale di ciascun utente, procedendo alla sospensione dell'identità digitale in caso di attività sospetta; - • effettuare con cadenza almeno annuale un'analisi dei rischi; - • definire, aggiornare e trasmettere ad AgID il piano per la sicurezza dei servizi SPID; - • allineare le procedure di sicurezza agli standard internazionali, la cui conformità è certificata da un terzo abilitato; - • condurre con cadenza almeno semestrale il Penetration Test; - • garantire la continuità operativa dei servizi afferenti allo SPID; - • effettuare ininterrottamente l'attività di monitoraggio della sicurezza dei sistemi, garantendo la gestione degli incidenti da parte di un'apposita struttura interna; - • garantire la gestione sicura delle componenti riservate delle identità digitali assicurando non siano rese disponibili a terzi, ivi compresi i fornitori di servizi stessi, neppure in forma cifrata; - • garantire la disponibilità delle funzioni, l'applicazione dei modelli architetturali e il rispetto delle disposizioni previste dalla normativa; - • sottoporsi con cadenza almeno biennale ad una verifica di conformità alle disposizioni vigenti; - • informare tempestivamente l'AgID e il Garante per la protezione dei dati personali su eventuali violazioni di dati personali; - • adeguare i propri sistemi a seguito dell'aggiornamento della normativa; - • inviare all'AgID in forma aggregata i dati richiesti a fini statistici, che potranno essere resi pubblici; - • in caso intendesse cessare la propria attività, comunicarlo all’AGID e ai Titolari delle Identità Digitali almeno 30 (trenta) giorni prima della data di cessazione, indicando gli eventuali gestori sostitutivi, ovvero segnalando la necessità di revocare le identità digitali rilasciate; - • in caso di subentro ad un gestore cessato, gestire le identità digitali che questi ha rilasciato dal gestore cessato xxxxxxx e ne conserva le informazioni; - • in caso di cessazione dell’attività, scaduti i 30 (trenta) giorni, revocare le identità digitali rilasciate e per le quali non si è avuto subentro; - • informare espressamente il richiedente in modo compiuto e chiaro degli obblighi che assume in merito alla protezione della segretezza delle credenziali, sulla procedura di autenticazione e sui necessari requisiti tecnici per accedervi; - • se richiesto dall’utente, segnalargli via e-mail o via sms, ogni avvenuto utilizzo delle sue credenziali di accesso; - • notificare all'utente la richiesta di aggiornamento e l'aggiornamento effettuato agli attributi relativi della sua identità digitale; - • nel caso l'identità digitale risulti non attiva per un periodo superiore a 24 (ventiquattro) mesi o il contratto sia scaduto, revocarla e informarne l'utente via posta elettronica e numero di telefono mobile; - • in caso di decesso del titolare (persona fisica) o di estinzione della persona giuridica, revocare previo accertamento l’identità digitale; - • nel caso in cui l'utente richieda la sospensione della propria identità digitale per sospetto uso fraudolento, fornirgli evidenza dell’avvenuta presa in carico della richiesta e procedere alla immediata sospensione dell’identità digitale; - • trascorsi 30 (trenta) giorni dalla sospensione su richiesta dell'utente per sospetto uso fraudolento, ripristinare l’identità sospesa qualora non ricevesse copia della denuncia presentata all’autorità giudiziaria per gli stessi fatti sui quali è stata basata la richiesta di sospensione; - • nel caso in cui l'utente richieda la sospensione o la revoca della propria identità digitale tramite PEC o richiesta sottoscritta con firma digitale o elettronica inviata via posta elettronica, fornire evidenza all'utente dell’avvenuta presa in carico della richiesta e procedere alla immediata sospensione o alla revoca dell’identità digitale; - • ripristinare l'identità sospesa su richiesta dell'utente se non riceve entro 30 (trenta) giorni dalla sospensione una richiesta di revoca da parte dell'utente; - • in caso di richiesta di revoca di dell'identità digitale, revocare le relative credenziali e conservare la documentazione inerente al processo di adesione per 20 (venti) anni dalla revoca dell’identità digitale. - • proteggere le credenziali dell'identità digitale contro abusi xxxxx ed usi non autorizzati adottando le misure richieste dalla normativa; - • all’approssimarsi della scadenza dell’identità digitale, comunicarla all'utente e, dietro sua richiesta, provvedere tempestivamente alla creazione di una nuova credenziale sostitutiva e alla revoca di quella scaduta; - • in caso di guasto o di upgrade tecnologico provvedere tempestivamente alla creazione di una nuova credenziale sostitutiva e alla revoca di quella sostituita; - • non mantenere alcuna sessione di autenticazione con l’utente nel caso di utilizzo di credenziali di livelli 2 e 3 SPID; - • tenere il Registro delle Transazioni contenente i tracciati delle richieste di autenticazione servite nei 24 mesi precedenti, curandone riservatezza, inalterabilità e integrità, adottando idonee misure di sicurezza ed utilizzando meccanismi di cifratura.