CONTRATTO DI CONVENZIONE
TRA
Aruba PEC S.p.A., con sede in Xxx Xxx Xxxxxxxx 00, Xxxxx Xxx Xxxxxx (XX), con C.F. e P. IVA 01879020517, capitale sociale di €6.500.000,00 i.v., in persona del suo legale rappresentante Xxxxxxx Xxxxxxx (di seguito anche «Aruba PEC»)
E
Il Consiglio Nazionale degli Ingegneri, con sede legale in xxx XX Xxxxxxxxx 0, 00000, Xxxx, CF n. 80057570584, nella persona del suo legale rappresentante xxx. Xxxxxx Xxxxxxxx Xxxxxxx (qui di seguito denominato “Cliente”)
il Cliente e Xxxxx PEC sono di seguito congiuntamente dette anche “Parti” e disgiuntamente anche “Parte”
PREMESSO CHE
a) Aruba PEC è una società del Gruppo Aruba, iscritta negli elenchi pubblici dei Gestori di Posta Elettronica Certificata, dei Certificatori, dei Prestatori di Servizi Fiduciari e dei Conservatori accreditati predisposti, tenuti ed aggiornati dall’Agenzia per l’Italia Digitale, che gestisce ed eroga il Servizio di Posta Elettronica Certificata, emette Certificati di Firma Digitale e Marche Temporali aventi valore legale a norma del combinato disposto del D.lgs. n. 82/2005 e del
D.P.C.M. 22 febbraio 2013 e successive modifiche ed integrazioni, certificati elettronici qualificati, sigilli elettronici qualificati e servizi di Validazione temporale elettronica qualificata a norma del Regolamento (UE) n. 910/2014 nonché svolge attività di conservazione dei documenti informatici di cui all'articolo 44-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82. ed intermediario a SdI per la gestione delle fatture elettroniche;
b) Il Cliente intende offrire ai propri iscritti la possibilità di aderire, nei termini che seguono, all’offerta di prodotti, in particolare al Servizio di Firma Digitale, commercializzati dalla società Aruba S.p.A. (società del Gruppo Aruba), e rispetto ai quali Aruba PEC ricopre il ruolo di gestore;
c) In seguito all’erogazione del Servizio secondo le modalità disciplinate nel presente accordo, Xxxxx instaurerà un rapporto contrattuale diretto con il Titolare del Servizio dal quale il Cliente, sia nella fase di contrattualizzazione che in quella di erogazione del Servizio, rimarrà estraneo;
tutto ciò premesso fra le Parti,
SI CONVIENE E STIPULA QUANTO SEGUE
Indice
ART. 2. STRUTTURA DEL CONTRATTO E ORDINE DI PREVALENZA 3
ART. 4 - PERFEZIONAMENTO, DURATA, RINNOVO E CESSAZIONE DEL CONTRATTO 4
ART. 5 - CORRISPETTIVI, MODALITÀ E TERMINI DI PAGAMENTO 🡪 RIPORTA CASELLA ABD 4
ART. 6 - DIRITTI ED OBBLIGHI DELLE PARTI E LIMITAZIONI DI RESPONSABILITÀ DI ARUBA PEC 5
ART. 7 - RISOLUZIONE DEL CONTRATTO 5
ART. 8 - SICUREZZA DELLE INFORMAZIONI 6
ART. 9 - COPERTURE ASSICURATIVE 6
ART. 10 - COMUNICAZIONI TRA LE PARTI 6
ART. 11 - LEGGE APPLICABILE E FORO COMPETENTE 6
ART. 12 - TRATTAMENTO DEI DATI PERSONALI 6
ART. 13 - DISPOSIZIONI FINALI 6
INFORMATIVA AI SENSI DELL’ART. 13 DEL REGOLAMENTO (UE) N. 2016/679 (“GDPR”) 7
Aruba PEC: Aruba PEC S.p.A. società del Gruppo Aruba, iscritta negli elenchi pubblici dei Gestori di Posta Elettronica Certificata, dei Certificatori, dei Prestatori di Servizi Fiduciari e dei Conservatori accreditati predisposti, tenuti ed aggiornati dall’Agenzia per l’Italia Digitale, che gestisce ed eroga il Servizio di Posta Elettronica Certificata, emette Certificati di Firma Digitale e Marche Temporali aventi valore legale a norma del combinato disposto del D.lgs. n. 82/2005 e del D.P.C.M. 22 febbraio 2013 e successive modifiche ed integrazioni, certificati elettronici qualificati, sigilli elettronici qualificati e servizi di Validazione temporale elettronica qualificata a norma del Regolamento (UE) n. 910/2014 nonché svolge attività di conservazione dei documenti informatici di cui all'articolo 44-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82 (di seguito anche “Certificatore”).
Contratto: il presente documento ed eventuali allegati.
Centro di Registrazione Locale - CDRL: il soggetto che, in forza di autonomo contratto stipulato con Aruba Pec mediante la sottoscrizione dell’apposito Modulo di Adesione, è autorizzato da Aruba Pec stessa allo svolgimento delle attività finalizzate all’emissione di servizi di certificazione digitale.
Certificato di autenticazione: Il Certificato consistente nell’attestato elettronico che assicura l’autenticità delle informazioni necessarie per l’identificazione in rete del titolare della CNS rilasciato da Aruba Pec su delega dell’Ente Emettitore come previsto nel D.P.R. 2 marzo 2004, n. 117, e nel Manuale Operativo CNS e che permette l'accesso ai sistemi informatici detenuti dalle Pubbliche Amministrazioni.
Certificato di firma: Il Certificato che collega i dati utilizzati per verificare la Firma digitale al titolare e confermare la sua identità, emesso dal Certificatore ARUBA PEC S.p.A. come previsto nell’art. 3, 1° comma, n. 15 del Regolamento, nel CAD, nelle regole tecniche da esso richiamate e nel Manuale Operativo.
Certificato: la definizione utilizzata nel Contratto per indicare indifferentemente il Certificato di firma e/o il Certificato di autenticazione e quando non è necessario specificare di quale certificato si tratti.
CNS: acronimo di Carta Nazionale dei Servizi come definita nel CAD e cioè lo strumento per l'accesso ai servizi erogati in rete dalle pubbliche amministrazioni per i quali sia necessaria l'identificazione informatica.
Dispositivo per la creazione di una firma elettronica qualificata: il dispositivo per la creazione di una firma elettronica che soddisfa i requisiti di cui al Regolamento.
Dispositivo di firma digitale: la soluzione di Firma digitale descritta in dettaglio Manuale applicabile al Certificato richiesto e, se del caso, integrata con i Prodotti, distribuita dai Fornitori al Cliente, come dal medesimo indicata nel Modulo d’ordine.
Firma automatica: particolare procedura informatica di firma digitale eseguita previa autorizzazione del sottoscrittore che mantiene il controllo esclusivo delle proprie chiavi di firma, in assenza di presidio puntuale e continuo da parte di questo.
Firma digitale “one shot”: particolare tipo di Firma digitale remota basata su un certificato di sottoscrizione utilizzabile esclusivamente per la sottoscrizione di documenti provenienti da specifiche procedure informatiche c.d. “one shot” previste sul sito xxx.xxx.xx e secondo le modalità e con le limitazioni previste nel Manuale e nel Contratto.
Firma digitale CNS: tipologia di Firma digitale contenente anche il Certificato di autenticazione.
Firma digitale remota: particolare tipo di firma digitale, generata su HSM sotto il pieno controllo di Aruba Pec, che garantisce al Cliente un controllo esclusivo sulle chiavi private; su richiesta del Cliente tale firma può essere fornita anche con l’opzione “Modalità verificata” giusto quanto previsto dall’art. 19 DPCM 22 febbraio 2013.
Firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al Cliente tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.
Incaricato al Riconoscimento – I.R.: il soggetto incaricato da Xxxxx Xxx o dal C.D.R.L. nel rispetto delle istruzioni impartite dal Certificatore, che è preposto allo svolgimento delle attività propedeutiche al rilascio di servizi di certificazione digitale.
Manuale Operativo (Manuale Operativo “Servizi di certificazione”): ove applicabile, il documento pubblicato o pubblico a norma di legge, predisposto da Aruba PEC e verificato dall’Agenzia per l’Italia Digitale, contenente l’indicazione delle procedure di rilascio, delle modalità operative e le istruzioni per l’uso del Servizio, disponibile al link xxxx://xxx.xxx.xx/Xxxxxxxxxxxxxx.xxxx.
Manuale Operativo “Carta Nazionale dei Servizi – CNS”: il manuale pubblicato e pubblico a norma di legge contenente l’indicazione delle procedure di rilascio del Certificato di autenticazione (quando insieme al Manuale Operativo “Servizi di Certificazione”, Manuale o anche “Manuali”) disponibile per il download al link xxxx://xxx.xxx.xx/XxxxxxxxxxxxxxXxxxxXxxxxxxx.xxxx, che il Cliente, con la sottoscrizione del Modulo d’ordine, dichiara di aver visionato, di conoscere, di accettare e di fare proprio in ogni sua parte.
Manuale CPS (Certificate Policy Standard): il manuale pubblicato e pubblico a norma di legge contenente l’indicazione delle procedure di rilascio del Certificato eIDAS e del Sigillo eIDAS (quando insieme al Manuale Operativo “Carta Nazionale dei Servizi – CNS” Manuale o anche “Manuali”) disponibile per il download al link
xxxx://xxx.xxx.xx/XxxxxxxxxxxxxxXxxxxXxxxxxxx.xxxx , che il Cliente con la sottoscrizione del Modulo d’ordine, dichiara di aver visionato, di conoscere, di accettare e di fare proprio in ogni sua parte.
Manuale Validazione Temporale: il Manuale Operativo del Servizio, presente al link xxxxx://xxx.xxx.xx/XxxxxxxxxxxxxxXxxxxxXxxxxxxxx.xxxx, il quale riporta la politica e la descrizione del Servizio di Validazione Temporale Elettronica Qualificata, le sue caratteristiche, i livelli di servizio, le eventuali limitazioni d’uso del medesimo e le prescrizioni per coloro che accedano alla verifica delle validazioni temporali elettroniche.
Modulistica per il Titolare del Servizio: modulo predisposto da Aruba, reperibile sul Pannello di Gestione, se presente, o altrimenti trasmessa al Cliente da Aruba Pec, che, compilato e sottoscritto dal Cliente o dal Titolare (se diverso dal Cliente) e da quest’ultimo consegnato al Cliente medesimo, formalizza la richiesta di attivazione del Servizio ed indica le informazioni necessarie alla identificazione del Cliente o del Titolare.
Modulo di nomina IR: il modulo di nomina a Incaricato del riconoscimento con il quale Aruba PEC, in qualità di Certification Authority, delega l’IR allo svolgimento delle attività di identificazione del richiedente.
Modulo di Adesione al contratto per lo svolgimento di attività inerenti il rilascio di servizi di certificazione digitale
– C.D.R.L: la modulistica tramite la quale il Singolo Ordine Provinciale è nominato CDRL da parte di Aruba PEC. Modulo di Richiesta: il modulo con il quale il Titolare richiede il dispositivo di firma indicato nel Modulo d’ordine, contenente tutti i dati necessari ad identificarlo, dal medesimo redatto e sottoscritto ed inviato ad Aruba Pec unitamente ai documenti ivi richiamati.
Operatore di Registrazione – O.D.R.: il soggetto incaricato dal C.D.R.L. che, nel rispetto delle istruzioni impartite dal Certificatore, è preposto allo svolgimento delle attività inerenti il rilascio di servizi di certificazione digitale oggetto del contratto.
Ordine Provinciale: articolazione Provinciale del Cliente, i cui dipendenti saranno nominati IR da Aruba PEC, al fine di eseguire le attività di riconoscimento ed accedere al pannello di validazione, se presente.
PKI Disclosure Statement PDS: il documento che, unitamente al Manuale/CPS, al presente Contratto ed alla normativa applicabile disciplina il servizio di rilascio di certificati eIDAS e sigilli eIDAS.
Regolamento: il Regolamento UE n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014, in materia di “identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno”, la normativa tecnica in esso richiamata, gli atti esecutivi dello stesso della Commissione Europea ed eventuali successive modifiche ed integrazioni.
Pannello di Validazione: se presente, l’area e/o attraverso la quale i singoli operatori, nominati da Aruba PEC, possono accedere al fine di certificare l’appartenenza di un iscritto all’ordine Provinciale utilizzando le apposite Credenziali di accesso attraverso una applicazione sicura raggiungibile via web, come meglio descritto nel Manuale Allegato.
Terzo Interessato: con particolare riferimento al Codice convenzione CNSCNA13 e CNAPPC1579, soggetto che, in caso di rilascio di Certificati per firmare in funzione di un ruolo o di cariche rivestite per conto di organizzazioni terze che prevedono il conferimento di poteri, da parte di terzi, a colui che richiede il Certificato, è legittimato alla revoca e/o sospensione del Certificato unitamente al Titolare, avendo un interesse diretto nella gestione del Certificato.
Servizio/i: i Servizi di Firma Digitale e Firma Digitale Remota oggetto del presente contratto.
Specifiche tecniche: complesso di informazioni contenute nell’Allegato tecnico n. AD36443_AT_20240725_v1 (l’ “Allegato Tecnico”) allegato al presente Contratto e nel Manuale Operativo..
Titolare: il soggetto titolare del Servizio, a nome del quale viene/vengono emesso/i il/i Certificato/i sulla base del Modulo di Richiesta, che risulta iscritto presso il Cliente o presso gli Ordini Provinciali e che potrà acquistare il servizio alle condizioni e con le modalità definite nel presente Contratto.
Restano ferme le altre definizioni riportate nei Manuali Operativi.
Art. 2. Struttura del Contratto e ordine di prevalenza
2.1 Costituiscono parte integrante del Contratto i documenti sotto indicati da interpretarsi ed applicarsi con l’ordine di prevalenza che segue:
• Manuale Operativo per lo specifico servizio
• Allegato Tecnico n. AD36443_AT_20240725_v1.
Resta inteso che per i documenti sottoscritti in data successiva al perfezionamento del Contratto gli stessi formeranno parte integrante del medesimo a far data e per effetto di tale sottoscrizione.
2.2 Il Cliente dichiara e riconosce che il Manuale Operativo è di esclusiva proprietà di Aruba PEC, la quale come tale è l’unica ed esclusiva titolare di ogni relativo diritto intellettuale. Il Cliente dichiara di aver preso visione, di conoscere, di accettare e di fare proprio in ogni sua parte, il contenuto del Manuale e dell’Allegato Tecnico.
3.1 Aruba si impegna a fornire il Servizio ai Titolari, con le modalità indicate nell’Allegato Tecnico e alle condizioni economiche concordate dalle Parti di cui al successivo art. 5, per tutta la durata del contratto.
3.2 Il Servizio potrà essere erogato mediante acquisto diretto tramite codice Convenzione sul sito xxx.xxx.xx. In tale caso le modalità di erogazione del Servizio ai Titolari sono descritte nelle Condizioni Generali di fornitura relative allo specifico servizio di firma digitale disponibili al sito web xxxxx://xxx.xxx.xx/xxxxxxx-xxxxxxxxxx.xxxx.
In particolare il Cliente prende atto ed accetta che l’attivazione del servizio è subordinata all’accettazione del Modulo di Richiesta, da parte del Titolare, nonché alla corretta esecuzione delle attività di riconoscimento.
3.3 Resta inteso che la conclusione del contratto e l’erogazione del Servizio è subordinata alla nomina del singolo Ordine Provinciale a C.D.R.L. di Aruba PEC, secondo la modulistica allegata al presente accordo.
3.4 Rimane escluso dal presente Contratto il riconoscimento al Cliente di indennità o altre somme derivanti dalle iniziative di comunicazione della presente convenzione ai Titolari e dall’effettiva erogazione del Servizio ai Titolari.
Art. 4 - Perfezionamento, durata, rinnovo e cessazione del Contratto
4.1 Il presente accordo si perfeziona all’atto della sottoscrizione di entrambe le Parti ed entra in vigore a partire dal 1° ottobre 2024 (“Data di Efficacia”).
4.2 Il presente accordo ha una durata di tre anni dalla Data di Efficacia.
4.3 È data ad entrambe le Parti la possibilità di recesso unilaterale dall’accordo dandone preavviso entro 90 giorni dalla scadenza dell’accordo lasciando comunque inalterata la possibilità per Aruba PEC ed Aruba di offrire e commercializzare direttamente il Servizio ai Titolari, ed in generale, a tutti i soggetti iscritti agli Ordini Provinciali del Cliente.
Art. 5 - Corrispettivi, modalità e termini di pagamento
5.1 Aruba PEC si impegna nei confronti del Cliente ad applicare ai Titolari il prezzo di seguito riportato alle richieste di attivazione del Servizio che perverranno dai Titolari. Il Cliente renderà disponibili i seguenti codici convenzione:
• CNSCNI18.
• FDING3174
• FDING1793
I codici convenzione FDING3174 e FDING1793 resteranno attivi solo per il rinnovo dei servizi. Le nuove attivazioni sono veicolate dal codice CNSCNI18. Qualora il certificato attivo sui codici FDING3174 e FDING1793 non fosse rinnovabile si dovrà procedere ad un nuovo acquisto tramite il codice CNSCNI18.
Di seguito gli articoli e relativi prezzi per ciascun codice convenzione (per i tempi di inserimento dei nuovi articoli fare riferimento a offerta tecnica):
CNSCNI18 -ARTICOLO | PREZZO al netto IVA |
Kit CNS + Aruba Key Card Reader con certificato di ruolo e layout personalizzato | € 58,50 |
Smart Card CNS + Xxxxxxx Xxxxxx con certificato di ruolo e layout personalizzato | € 44,00 |
Smart Card CNS con certificato di ruolo e layout personalizzato | € 37,50 |
Lettore Smart Card da tavolo | € 12,90 |
Lettore Aruba Key Smart Card | € 38,00 |
Firma remota OTP Mobile | € 37,50 |
Firma remota OTP Display | € 39,90 |
Rinnovo Certificato Firma Remota | € 36,00 |
Riconoscimento FD, CIE, CNS, TSCNS | gratuito |
Riconoscimento Firma Remota * | gratuito |
Riconoscimento SPID | € 4,00 |
Riconoscimento DVO | € 22,50 |
Spese di Spedizione presso iscritto | € 8,00 |
Spese di Spedizione presso Ordine | € 5,00 |
Rinnovo Certificato CNS con certificato di ruolo | € 36,00 |
Rinnovo certificato firma remota | € 36,00 |
* Certificato Firma Remota emesso da Aruba PEC / Actalis
FDING3174* -ARTICOLO | PREZZO al netto IVA |
Rinnovo Certificato CNS Like | € 36,00 |
FDING1793* -ARTICOLO | PREZZO al netto IVA |
Rinnovo Certificato CNS Like con certificato di ruolo | € 36,00 |
*I codici convenzione FDING3174 e FDING1793 saranno utilizzabili solo per il rinnovo di certificati attivi. Per le nuove attivazioni o l’acquisto di nuovi articoli a fronte di rinnovi non possibili dovrà essere utilizzato il codice CNSCNI18.
Il certificato avrà validità triennale. I corrispettivi saranno versati direttamente dai Titolari al momento dell’acquisto del Servizio. Non sono previsti oneri a carico del Cliente.
5.2 Aruba PEC si riserva ad ogni modo di adeguare il listino e le condizioni economiche previste nella presente Convenzione, dandone preavviso al Cliente di 30 (trenta) giorni. Entro tale data il Cliente potrà recedere dal Contratto, in caso contrario le suddette variazioni si intenderanno accettate ed entreranno in vigore le nuove condizioni economiche.
Art. 6 - Diritti ed obblighi delle Parti e limitazioni di responsabilità di Aruba PEC
6.1 Il Cliente si impegna a condividere con Aruba PEC le iniziative di comunicazione dell’accordo.
6.2 In caso di erogazione del Servizio con le modalità indicate al precedente art 3.2., Aruba, a seguito della stipula del presente Contratto, fornirà il Codice Convenzione al Cliente che, una volta inserito nelle apposite schermate online di Aruba da parte del Titolare, permetterà a quest’ultimo di ottenere il Servizio alle condizioni economiche descritte nel presente Contratto.
6.4 In ogni caso, il Servizio verrà erogato in favore del Titolare a seguito della stipula di apposito contratto tra Xxxxx ed il Titolare stesso con il quale viene regolata l’erogazione del Servizio, rispetto al quale il Cliente si dichiara - ed è in effetti riconosciuto - quale soggetto totalmente estraneo.
6.5 Aruba PEC garantisce al Cliente la fornitura e l'utilizzo del Servizio in conformità a quanto previsto dal Manuale Operativo e dalla Scheda Prodotto o Specifiche Tecniche del Servizio.
6.6 Gli obblighi e le responsabilità di Aruba PEC verso il Cliente sono quelli definiti dal Contratto, restando espressamente escluso, ora per allora, qualsiasi altro indennizzo o risarcimento al Cliente derivante dall’erogazione del Servizio ai Titolari.
6.7 Il Cliente prede atto ed accetta che in relazione al Servizio di Firma Digitale, l’esecuzione del presente contratto comporta la nomina degli Ordini Provinciali a C.D.R.L. di Aruba PEC, secondo il modello allegato al presente contratto. Per l’effetto, il Cliente si impegna a trasmettere tutta la documentazione necessaria alla nomina a agli Ordini Provinciali, i quali provvederanno ad individuare al loro interno i singoli Incaricati al Riconoscimento, al fine di compiere le attività di riconoscimento dei Titolari, secondo le modalità e con la modulistica allegata al presente accordo.
6.8 Aruba PEC non assume alcuna responsabilità circa il contenuto dei dati e/o delle informazioni a qualsiasi titolo immessi e/o trattati e/o trasmessi tramite il Servizio.
Art. 7 - Risoluzione del Contratto
7.1 Senza pregiudizio per quanto previsto dalla normativa vigente e in altre clausole del Contratto, il medesimo sarà da considerarsi risolto con effetto immediato, ai sensi e per gli effetti di cui all’Art. 1456 Codice Civile, qualora:
(i) il Cliente violi gli obblighi previsti nell’art. 6 e 12 del presente Contratto così come le disposizioni previste in documenti cui esso faccia rinvio;
(ii) Aruba PEC violi gli obblighi previsti nell’art. 6 del Contratto.
7.2 L’eventuale risoluzione del Contratto ai sensi del presente articolo ne comporta l’immediata cessazione. Nell’ipotesi di risoluzione del Contratto ai sensi dell’art. 7.1 (i), Aruba PEC avrà la facoltà di addebitare al Titolare i corrispettivi maturati in relazione al Servizio e non ancora versati.
Art. 8 - Sicurezza delle Informazioni
8.1 Il Cliente, preso atto che Aruba PEC si è dotata della certificazione ISO 27001 e degli altri mezzi e/o strumenti ritenuti idonei a tutelare nella maniera più efficace la sicurezza delle informazioni (fisica, logica, informatica ed organizzativa), si impegna, ora per allora, a non divulgare ovvero rendere in alcun modo disponibili a terzi le informazioni confidenziali conosciute o gestite in relazione alla esecuzione e/o applicazione del Contratto in assenza di specifico consenso scritto di Aruba PEC.
8.2. Medesime cautele dovranno essere poste in essere da Aruba PEC con riferimento alle informazioni confidenziali rivelate dal Cliente in esecuzione del Contratto.
Art. 9 - Coperture Assicurative
9.1 Aruba PEC ha stipulato e si impegna a mantenere attive durante la vigenza contrattuale le assicurazioni obbligatorie per legge, nonché quelle RC/T e RC Professionale.
Art. 10 - Comunicazioni tra le Parti
10.1 Tutte le comunicazioni fra le Parti dovranno essere inviate via raccomandata o PEC ai seguenti indirizzi:
(a) il Cliente Consiglio Nazionale degli Ingegneri xxx XX Xxxxxxxxx 0, 00000, Xxxx PEC: xxxxxxxxxx@xxxxxx.xx
(b) Aruba PEC: Aruba PEC S.p.A. Xxx Xxx Xxxxxxxx 00, 00000, Xxxxx Xxx Xxxxxx (XX) PEC: xxxxxxxx@xxxxx.xxx.xx
Art. 11 - Legge applicabile e foro competente
11.1 Il Contratto è regolato esclusivamente dalla legge italiana restando esclusa qualsiasi applicazione della convenzione delle Nazioni Unite sulla vendita internazionale delle merci.
11.2 L'Autorità Giudiziaria italiana sarà giurisdizionalmente competente, in via esclusiva, a risolvere e decidere ogni e qualsiasi controversia relativa all'interpretazione e/o esecuzione e/o applicazione del Contratto.
11.3 Per ogni e qualsiasi controversia relativa all'interpretazione, esecuzione e risoluzione del presente Contratto sarà esclusivamente competente il Foro di Arezzo.
Art. 12 - Trattamento dei dati personali
12.1 Il trattamento dei dati personali del Cliente e dallo stesso comunicati ad Aruba PEC ai fini dell’esecuzione del presente Contratto e della successiva erogazione del Servizio, avverrà in conformità al D.lgs. 196/2003, al Regolamento UE 2016/679, all’informativa privacy riportata di seguito.
12.2 Aruba PEC nelle fasi di raccolta, trattamento e gestione dei dati, necessarie ai fini dell’erogazione dei Servizi, si pone quali Titolare autonomi del trattamento in conformità alle definizioni dei ruoli descritte nel D.lgs. 196/2003 e nel Regolamento UE 2016/679. Il Cliente garantisce, in riferimento ai dati di terzi da egli stesso trattati in fase di ordine e/o di utilizzo dei Servizi, di aver preventivamente fornito loro le informazioni di cui all'art. 13 Regolamento UE 2016/679 e di aver acquisito dai medesimi il consenso al trattamento.
12.3 Nel caso in cui Aruba PEC, per esigenze correlate alla corretta esecuzione del Servizio, dovesse gestire infrastrutture o implementare soluzioni capaci di comportare il trattamento di dati di titolarità del Cliente, Xxxxx Xxx potrà essere nominata responsabile del trattamento secondo le modalità definite nel Data Processing Agreement allegato.
13.1 Il Contratto annulla e sostituisce ogni altro precedente accordo o intesa eventualmente intervenuta tra Xxxxx PEC e il Cliente in ordine allo stesso oggetto. Nessuna modifica, postilla o clausola comunque aggiunta al Contratto sarà valida ed efficace tra le Parti, se non specificatamente ed espressamente approvata per iscritto da entrambe. In caso di accordi particolari con il Cliente questi dovranno essere formulati per iscritto e costituiranno addendum al Contratto. Resta fermo che Aruba PEC ed il Cliente sono soggetti autonomi e indipendenti e che il presente Contratto non stabilisce alcun rapporto di collaborazione o di agenzia tra Aruba PEC e il Cliente. Né Aruba PEC né il Cliente avranno il potere di impegnare l'altro o di assumere obblighi per conto dell'altro, senza il consenso scritto dell’altro.
13.2 In nessun caso eventuali inadempimenti e/o comportamenti del Cliente difformi rispetto al Contratto, potranno essere considerati quali deroghe al medesimo o tacita accettazione degli stessi, anche se non contestati da Aruba PEC.
L'eventuale inerzia di Aruba PEC nell'esercitare o far valere un qualsiasi diritto o clausola del Contratto, non costituisce rinuncia a tali diritti o clausole.
13.3 L’eventuale inefficacia e/o invalidità, totale o parziale, di una o più clausole del Contratto non comporterà l’invalidità delle altre, le quali dovranno ritenersi pienamente valide ed efficaci.
13.4 È fatto divieto al Cliente di cedere il Contratto a terzi senza la previa autorizzazione scritta di Xxxxx XXX.
13.5 Per quanto non espressamente previsto e disciplinato nel presente Contratto, le Parti rinviano alle norme del Codice civile e dell’ordinamento giuridico vigente in quanto applicabili.
13.6 Ai sensi e per gli effetti degli articoli 1341 e 1342 del Codice Civile, le Parti dichiarano che ogni clausola del presente accordo è stata negoziata e dalle stesse espressamente accettata e voluta.
Informativa ai sensi dell’art. 13 del Regolamento (UE) n. 2016/679 (“GDPR”)
Il trattamento dei dati personali del Cliente e dallo stesso comunicati ad Aruba PEC ai fini della stipula del Contratto e della successiva erogazione del Servizio, avverrà in conformità al D.lgs. 196/2003, al Regolamento UE 2016/679 e all'informativa privacy disponibile al link xxxxx://xxx.xxx.xx/xxxxxxxxx/xx-xxxxx/xx/00_xxxxxxxxxxxxxxxxxxxxxxxxxx.xxx.
Aruba PEC nelle fasi di raccolta, trattamento e gestione dei dati, necessarie ai fini dell’erogazione dei Servizi, si pone quale Titolare autonomo del trattamento in conformità alle definizioni dei ruoli descritte nel Regolamento UE 2016/679. Il Cliente garantisce, in riferimento ai dati di terzi da egli stesso trattati in fase di ordine e/o di utilizzo dei Servizi, di aver preventivamente fornito loro le informazioni di cui all'art. 13 Regolamento UE 2016/679 e di aver idonea base giuridica al trattamento.
Ponte San Xxxxxx,
Aruba PEC S.p.A. | Il Cliente |
ALLEGATO TECNICO
Roma, 09/09/2024
Spett. le:
Consiglio Nazionale degli Ingegneri Roma
OGGETTO: Rinnovo fornitura dei servizi fiduciari Aruba - prot. AD36443_AT_20240725_v1 Rel. 1.0
Buongiorno,
con la presente inviamo la nostra migliore soluzione per il rinnovo della Convenzione dei Servizi di Firma Elettronica Qualifica per gli iscritti agli Ordini Provinciali. Di seguito si riportano le relative specifiche tecniche.
Aruba PEC S.p.A.
Xxx Xxx Xxxxxxxx, 00
24036 PONTE SAN XXXXXX (BG)
RIFERIMENTO TECNICO
Xxxxxxx Di Xxxxxx xxxxxxx.xxxxxxxx@xxxxx.xxxxx.xx
SOMMARIO
1. INTRODUZIONE E PRESENTAZIONE AZIENDALE 3
1.1 Aruba PEC: Il Gruppo, la storia, il mercato 3
1.2 Principali certificazioni e accreditamenti 3
3. DESCRIZIONE DELLA FORNITURA 7
3.1 Il servizio di firma elettronica qualificata locale 7
3.2 Il servizio di Firma Remota Qualificata 7
I certificati di firma remota qualificata 8
4. SERVIZI PREVISTI DALLA CONVENZIONE 10
4.3 Strumenti per la firma digitale 16
1. INTRODUZIONE E PRESENTAZIONE AZIENDALE
Il presente documento descrive la soluzione che Xxxxx XXX propone al Consiglio Nazionale degli Ingegneri (per brevità CNI) per il rinnovo della Convezione per i Servizi di Firma Elettronica Qualificata per gli iscritti agli Ordini Provinciali.
1.1 ARUBA PEC: IL GRUPPO, LA STORIA, IL MERCATO
Aruba PEC S.p.A. è una società appartenente al Gruppo Aruba, di cui Aruba S.p.A. – azienda 100% italiana –
è la capogruppo.
Fondata nel 2006, ben presto è diventata azienda leader nei Trust Services, quali Posta Elettronica Certificata, Firma Digitale, Firma Remota e Grafometrica, Marca temporale, Fatturazione Elettronica e Conservazione Digitale a Norma.
Aruba PEC S.p.A. offre una gamma completa di prodotti e servizi fiduciari rivolgendosi alla Pubblica Amministrazione, alle Aziende e ai professionisti. Fanno parte del nostro portafoglio clienti società di tutti i settori, Ministeri, Banche, Enti Sanitari, Regioni, Province, Comuni, Università e Associazioni di Categoria.
Le soluzioni Aruba PEC sono disponibili tramite una rete commerciale e di partner con l’obiettivo di soddisfare sia esigenze standard – attraverso dei servizi fruibili tramite siti internet e, ove possibile, in self-provisioning
– sia esigenze più specifiche attraverso soluzioni personalizzate sviluppate su misura.
Tutte le soluzioni sono erogate da data center proprietari e localizzati sul territorio nazionale che si contraddistinguono per criteri di eccellenza tecnica comprovati dal possesso di alcune delle principali certificazioni in materia di sicurezza, efficienza ed affidabilità in termini di uptime grazie all’aderenza della progettazione, delle infrastrutture e dei processi di gestione ai migliori standard internazionali ed alle più recenti normative del settore.
Le aree di business all’interno delle quali opera Aruba PEC S.p.A. sono: SOLUZIONI DI POSTA ELETTRONICA CERTIFICATA, FIRMA DIGITALE, SERVIZI DI CERTIFICAZIONE, STRONG AUTHENTICATION, SPID, CARTA NAZIONALE DEI SERVIZI – CNS, CARD MANAGEMENT SYSTEM, MARCA TEMPORALE, TIMBRO DIGITALE, FATTURAZIONE ELETTRONICA, CONSERVAZIONE DIGITALE A NORMA.
1.2 PRINCIPALI CERTIFICAZIONI E ACCREDITAMENTI
Aruba PEC è Gestore Accreditato di Posta Elettronica Certificata dal 12/10/2006 ed è iscritta all’elenco pubblico gestito dall’Agenzia per l’Italia Digitale (AgID).
In data 06/12/2007 è diventata Autorità di Certificazione per la Firma Digitale ottenendo l’iscrizione all’elenco dei Certificatori Accreditati tenuto da AgID, ed è iscritta nell’elenco dei “Prestatori di servizi fiduciari attivi in
Italia”, formalmente attiva in tutta Europa in qualità di QTSP (Qualified Trust Service Provider) qualificato secondo il regolamento eIDAS.
Aruba PEC ha ottenuto, in data 02/12/2014, l’accreditamento presso l’elenco dei conservatori tenuto dalla
stessa AgID (poi abolito).
Dal 14/02/2022 è iscritta al Market Place dei servizi di Conservazione tenuto da AgID.
Dal 2014 è diventata Registro ufficiale della prestigiosa estensione “.cloud” e il 14 luglio 2016 è stata accreditata come Identity Provider e di conseguenza abilitata all’emissione del servizio SPID.
Ha conseguito le certificazioni ai sensi dell’art 24 del Regolamento eIDAS quale “Prestatore di Servizi Fiduciari Qualificati per l’emissione di validazioni temporali, Autorità di Certificazione e l’emissione di certificati di autenticazione di siti web”, “Prestatore di Servizi Fiduciari di identificazione digitale SPID”, “Prestatore di Servizi Fiduciari di Conservazione a norma”.
Aruba PEC è Qualified Trust Service Provider nella OBE Directory per la fornitura di servizi QWAC e Q SEALc.
Inoltre, è possibile avvalersi della consociata Aruba S.p.A. accreditata da ACN (precedentemente da AgID) per servizi Cloud IaaS per la Pubblica Amministrazione.
Aruba PEC ha conseguito:
- la certificazione ISO 27001:2017 per la sicurezza delle informazioni
- la certificazione ISO 9001:2015 per i sistemi di gestione della qualità
- la certificazione ISO 45001:2018 per i sistemi di gestione per la salute e sicurezza sul lavoro
1.3 DATA CENTER DEL GRUPPO
I servizi del Gruppo vengono erogati dai quattro data center di proprietà. Due di essi si trovano ad Arezzo (DC-IT1 e IT2), uno a Ponte San Xxxxxx in provincia di Bergamo (Global Cloud Data Center o DC-IT3) e uno a Ktiš in Repubblica Ceca (DC-CZ1), un quinto è in costruzione a Roma (Hyper Cloud Data Center o DC-IT4). Nello specifico i servizi di Aruba PEC sono erogati ad oggi dai data center di proprietà che si trovano in Italia.
Al fine di offrire dei servizi all’avanguardia e con un elevato livello di ridondanza e prestazioni, considerando anche l’importanza di tali servizi all’interno dei processi aziendali dei nostri clienti, grazie alla vicinanza strategica dei due data center localizzati ad Arezzo (a circa 3,5 km di distanza tra loro), si è deciso di sviluppare soluzioni in alta disponibilità: ossia con l’erogazione contemporanea da entrambe i siti e la replica dei dati in tempo reale.
In aggiunta, laddove previsto a livello normativo o nei livelli di servizio (SLA) abbiamo sviluppato soluzioni di Disaster Recovery presso il Global Cloud Data Center di Ponte San Xxxxxx (in futuro anche presso l’Hyper Cloud Data Center di Roma), sfruttando la posizione strategica dei data center di Arezzo situati a metà strada tra i data center vicino Bergamo e quello di Roma.
Sia il DC-IT1 che il DC-IT3 hanno ottenuto il livello massimo di certificazione (RATING 4) ai sensi delle norme ANSI/TIA 942-B per la valutazione della resilienza dei data center, ossia della capacità di garantire la continuità dei servizi forniti.
I data center di Aruba sono dotati degli standard tecnologici più moderni, oltre che di sistemi di sicurezza avanzati, fattori che garantiscono la continuità e la qualità del servizio.
2. AMBITO E REQUISITI
Xxxxx XXX propone a CNI il rinnovo della Convenzione per il Servizio di Firma Elettronica Qualificata per gli Ordini Provinciali in 2 fasi.
FASE 1
Questa fase prevede, in continuità con la proposizione attuale, il rinnovo dei servizi relativi alla Convenzione con codice CNSCNI18. Le Convenzioni con codice FDING1793 ed FDING3174 (CNSLike) resteranno attive solo per consentire i rinnovi dei certificati attivi. Le nuove attivazioni verranno veicolate sulla convenzione con codice CNSCNI18.
Qualora il certificato attivo sulle convenzioni con codici FDING3174 e FDING1793 non fosse rinnovabile si dovrà procedere ad un nuovo acquisto tramite il codice CNSCNI18
FASE 2
Nella fase 2 Aruba PEC propone a CNI l’aggiornamento ed il miglioramento dei servizi offerti, tramite:
• L’aggiunta dei seguenti articoli per la convenzione con codice CNSCNI18:
o Firma remota con OTP mobile
o Firma remota con OTP display
• il servizio di Firma Elettronica Qualificata Remota, che consente agli Ingegneri di firmare i documenti senza necessità di ulteriori device (smart card, Aruba key, ecc.);
• per gli articoli di Firma Elettronica Qualificata Remota potrebbe rendersi necessaria la creazione di un nuovo codice convenzione dedicato.
La Firma Elettronica Qualificata Remota verrà inizialmente fornita senza certificato di ruolo. A valle delle verifiche di stima per inserimento del ruolo verrà inviata un’apposita comunicazione e si procederà con un addendum al presente accordo.
• Eliminazione del riconoscimento in presenza presso l’Ordine Provinciale a favore dell’identificazione certa del titolare di firma tramite metodologie elettroniche e pertanto veloci e sicure, quali SPID, CIE, TS-CNS o altra firma elettronica qualificata, eliminando di conseguenza l’onere del riconoscimento presso l’Ordine Provinciale;
• di effettuare la validazione del terzo interessato in modo più semplice e veloce, tramite la firma automatica del Presidente dell’Ordine Provinciale, eliminando di conseguenza tutto il materiale cartaceo e velocizzando le attività a carico dell’Ordine Provinciale stesso;
• di prevedere, dove necessario, la consegna del materiale direttamente a casa dell’Ingegnere, anche
in questo caso scaricando l’Ordine Provinciale dall’attività di consegna.
3. DESCRIZIONE DELLA FORNITURA
3.1 IL SERVIZIO DI FIRMA ELETTRONICA QUALIFICATA LOCALE
È lo strumento di firma tradizionale che si basa sull’uso di un supporto hardware (es. smart card, chiavetta USB) in cui è conservato il certificato di firma rilasciato dall’ente certificatore.
La firma digitale qualificata è una tipologia di firma elettronica che soddisfacendo i requisiti particolarmente stringenti definiti dall’apposito DPCM 22 Febbraio 2013 e dal regolamento UE 910/2014 eIDAS, garantisce autenticità, integrità e affidabilità al documento informatico.
Il documento informatico, sottoscritto con tale firma, nel quadro normativo italiano, ha la stessa efficacia probatoria prevista dall'articolo 2702 del codice civile.
Per il suo uso non è necessaria una connessione Internet, ma per il corretto funzionamento devono essere installati nel computer i relativi driver (smart card e lettore/token USB).
La data e l’ora di sottoscrizione è quella locale che viene rilevata dall’applicazione di firma digitale interrogando direttamente l’orologio del sistema operativo utilizzato dal software di firma; in conseguenza di ciò, la data e l’ora non sono né certe, né precise.
All’interno dei dispositivi per la firma digitale, oltre il certificato di firma locale, possono essere inseriti altri servizi quali il certificato CNS (Carta Nazionale dei Servizi) utilizzabile per accedere ai servizi online della Pubblica Amministrazione su tutto il territorio nazionale, ai servizi telematici dell’Agenzia delle Entrate e, previa richiesta di attivazione, al punto d’accesso del Processo Tributario Telematico.
3.2 IL SERVIZIO DI FIRMA REMOTA QUALIFICATA
La firma remota qualificata è una modalità evoluta di firma digitale che, garantendo lo stesso grado di sicurezza e gli stessi effetti di legge della tradizionale firma digitale basata su smart card o token USB, consente, rispetto a queste ultime modalità, di poter usufruire di numerosi vantaggi, quali:
• apporre firme digitali senza la necessità di ricorrere all’installazione di hardware o driver;
• sottoscrivere digitalmente documenti informatici via web in condizioni di massima sicurezza;
• disporre in ogni momento della propria firma digitale su diversi ambienti (Windows, Linux, Mac, tablet, smartphone) semplicemente installando il software Aruba Sign o l’apposita app Firma Digitale Aruba;
• eliminare le problematiche legate all’incompatibilità di particolari dispositivi (lettori, smart card e token USB) con determinate piattaforme hardware o software.
In concreto, la firma remota qualificata è il risultato di una procedura informatica basata su un certificato qualificato e su un sistema di chiavi crittografiche correlate tra loro, una definita “pubblica” e l’altra “privata”, che consente al titolare, tramite la chiave privata, di sottoscrivere digitalmente un documento e al destinatario, tramite la chiave pubblica, di verificare la provenienza e l’integrità dello stesso documento. La
particolarità della firma remota qualificata sta nel fatto che la chiave privata assegnata al titolare del certificato da una Certification Authority, previa identificazione certa dell’identità e acquisizione del consenso del titolare, viene custodita direttamente dalla Certification Authority all’interno di appositi apparati certificati a tale scopo (HSM – Hardware Security Module). Il titolare del certificato mantiene il controllo esclusivo del certificato (in particolare della chiave privata) mediante conoscenza delle credenziali di accesso al servizio di firma remota e possesso di un dispositivo (smartphone, telefono cellulare, token hardware, chiavetta USB “Yubico”) con cui generare un OTP (One Time Password). I dati da firmare (o meglio la loro impronta, detta “hash”) sono inviati dall’applicazione di firma allo HSM attraverso la rete, e analogamente la risposta ritorna all’applicazione mediante la rete.
Figura 1 : Schema di funzionamento
Il dialogo tra l’applicazione client e il sistema di firma remota Aruba PEC può essere così sintetizzato:
• l’utente richiede la firma qualificata di un documento mediante apposita applicazione client di firma
• l’utente si autentica al servizio di firma remota Aruba PEC (dove è residente la chiave privata relative al proprio certificato di firma qualificata) mediante username, password e OTP;
• il client richiede la firma digitale, inviando al servizio di firma lo hash del documento;
• il servizio di firma cifra lo hash mediante la chiave privata del firmatario e lo restituisce, insieme al certificato contenente la chiave pubblica del firmatario, al client di firma.
• Il client di firma ricostruisce il file firmato digitalmente.
Lo stesso tipo di soluzione è utilizzabile, con gli stessi vantaggi, sia per apporre firme su singoli documenti, in modo interattivo, sia per firmare in modo “massivo” una serie di documento (firma c.d. “con procedura automatica”).
I CERTIFICATI DI FIRMA REMOTA QUALIFICATA
Secondo quanto previsto dalla normativa vigente in materia di FEQ (Firma Elettronica Qualificata) e firma digitale, le procedure per l’emissione e il rilascio di un certificato digitale di firma qualificata prevedono 3 fasi:
• IDENTIFICAZIONE: il Certificatore accreditato ha l’obbligo di identificare in modo certo l’utente
richiedente, a distanza (in ottemperanza alle norme antiriciclaggio, mediante firma digitale,
mediante identificazione con l’ausilio di un sistema di videoconferenza, mediante identificazione elettronica – CNS, CIE, ecc.) o de visu (di persona presso gli sportelli convenzionati della Certification Authority o suoi Centro di Registrazione Locale – Registration Authority delegate).
• ACQUISIZIONE DEL CONSENSO: il Certificatore accreditato ha l’obbligo di informare in modo chiaro l’utente degli esatti termini e condizioni relative all’uso del servizio di Firma Digitale, subordinando l’attivazione del servizio alla sottoscrizione, da parte dell’utente richiedente, di una dichiarazione di accettazione delle condizioni del servizio.
• REGISTRAZIONE UTENTE: una volta soddisfatti i punti precedenti, il Certificatore accreditato può procedere con la registrazione degli utenti e con il rilascio del relativo certificato digitale, consegnando, in modo sicuro, gli eventuali dispositivi di Strong Authentication necessari al fine del servizio (ove previsti).
4. SERVIZI PREVISTI DALLA CONVENZIONE
4.1 FASE 1
Nella prima fase Aruba PEC prevede il rinnovo dei seguenti servizi:
Convenzione | Articolo | Descrizione |
CNSCNI18 | Kit CNS + Aruba Key Card Reader | Smart card con certificati di autenticazione CNS e digitale di ruolo durata anni tre con layout personalizzato ed Aruba Key con lettore Smart Card |
Smart Card CNS + Lettore da tavolo | Smart card con certificati di autenticazione CNS e digitale di ruolo durata anni tre con layout personalizzato e lettore smart card da tavolo | |
Smart Card CNS | Smart card con certificati di autenticazione CNS e digitale di ruolo durata anni tre con layout personalizzato | |
Lettore Smart Card da tavolo | Lettore USB di Smart Card da tavolo | |
Lettore Aruba Key Smart Card | Aruba Key con lettore laterale di Smart Card | |
Spese di spedizione presso l’ordine | ||
Spese di spedizione presso l’iscritto | ||
DVO | De Visu Online (Sessione online con operatore Aruba) | |
Rinnovo dei certificati | Rinnovo dei certificati di autenticazione CNS e digitale di ruolo, durata anni tre | |
FDING3174 | Rinnovo Certificato CNSLike | Rinnovo dei certificati di autenticazione CNSLike e digitale, durata anni tre |
FDING1793 | Rinnovo Certificato CNSLike | Rinnovo dei certificati di autenticazione CNSLike e digitale di ruolo, durata anni tre |
I codici convenzioni FDING1793 w FDING3174 resteranno attive solo per consentire i rinnovi dei certificati attivi. Le nuove attivazioni sono veicolate dal codice CNSCNI18.
Qualora il certificato attivo sui codici FDING3174 e FDING1793 non fosse rinnovabile si dovrà procedere ad un nuovo acquisto tramite il codice CNSCNI18
Il rinnovo dei certificati di firma potrà avvenire, qualora idoneo, unicamente sul dispositivo in dotazione
all’Ingegnere dell’Ordine Provinciale.
Nel caso il dispositivo non risulti più idoneo sarà necessario per l’Ingegnere richiedere una nuova emissione della firma digitale completa, su un nuovo dispositivo. Le nuove attivazioni sono veicolate dalla Convenzione con codice CNSCNI18
Flusso di rilascio con riconoscimento in presenza presso l’Ordine
a) L’iscritto accede al portale Aruba (xxx.xxx.xx) e richiede il rilascio del certificato di Firma Elettronica Qualificata e del certificato CNS tramite l’apposita funzione;
b) Inserisce i dati anagrafici, i dati di iscrizione all’Ordine ed effettua il pagamento;
c) L’Ordine Provinciale valida la richiesta online con la facoltà di apporre eventuali modifiche ai dati di iscrizione;
d) Aruba PEC produce il dispositivo con i certificati richiesti associati alle anagrafiche validate e procede
alla spedizione all’Ordine Provinciale;
e) L’iscritto riceve mail di notifica della disponibilità del kit presso l’Ordine e si reca presso di esso per il
riconoscimento ed il ritiro.
Flusso di rinnovo
a) Il titolare riceve via email l’avviso di scadenza dei certificati (Firma e CNS) a partire da 2 mesi prima della scadenza. All’interno della mail sono riportate le istruzioni per il rinnovo;
b) Il titolare scarica il sw Aruba Enroll dal sito xxxxx://xxx.xxx.xx/xxxxxxxx-xxxxxxxx-xxxxx-xxxxxxxx.xxxx e vi accede dopo essersi autenticato con il pin della Smart Card;
c) inizia così il processo di rinnovo che prevede:
a. la firma digitale del modulo di rinnovo
b. lo scarico dei nuovi certificati sulla Smart Card
c. il pagamento del rinnovo.
d. la validazione della richiesta di rinnovo da parte dell’Ordine Provinciale
d) Validata la richiesta il processo ha termine.
4.2 FASE 2
Come proposta evolutiva Aruba PEC propone a CNI i seguenti nuovi articoli:
Articolo | Descrizione |
Kit di firma remota OTP mobile | Kit di Firma Remota OTP con app su dispositivo mobile e certificato di firma qualificata eIDAS durata anni tre. Non sono previste personalizzazioni, né certificato di ruolo (*). |
Kit di firma remota OTP fisico con display | Kit di Firma Remota con OTP fisico con display e certificato di firma qualificata eIDAS durata anni tre. Non sono previste personalizzazioni, né certificato di ruolo (*). |
Certificato Digitale Remoto | Rinnovo del certificato di Firma qualificata Remota eIDAS durata anni tre |
(*) La Firma Elettronica Qualificata Remota verrà inizialmente fornita senza certificato di ruolo. A valle delle verifiche di stima per inserimento del ruolo verrà inviata un’apposita comunicazione e si procederà con un addendum al presente accordo.
Modalità di consegna
Con l’introduzione delle nuove modalità di riconoscimento, descritte nel capitolo successivo, si cesserà l’invio del kit presso l’Ordine Provinciale e si invierà direttamente all’indirizzo dell’iscritto.
In fase di ordine l’iscritto dovrà pertanto indicare l’indirizzo al quale ricevere gli articoli richiesti.
Nuove modalità di riconoscimento
Per quanto riguarda le modalità di riconoscimento, Aruba PEC propone nuove modalità elettroniche, che offrono maggiori vantaggi rispetto al riconoscimento in presenza, tra cui:
• maggiore velocità e sicurezza: l’attività viene svolta in tempo reale e con la massima sicurezza;
• nessuna attività in carico all’Ordine Provinciale;
• modalità priva di qualsiasi modulistica cartacea (paperless) da compilare;
• assenza di invio documentazione cartacea;
• nessun rischio di sospensione della firma in caso di anomalie nella verifica della documentazione.
Le nuove modalità di riconoscimento elettronico previste da Aruba PEC sono:
Tipologia di riconoscimento | Descrizione |
SPID | Sistema Pubblico di Identità Digitale |
CIE | Carta d’Identità Elettronica |
TS-CNS, | Tessera Sanitaria – Carta Nazionale dei Servizi |
Firma Digitale | Firma Digitale rilasciata da qualsiasi gestore |
(altra) Firma Remota | (altra) Firma Remota di Aruba PEC / Actalis |
Con l’adozione delle nuove modalità di riconoscimento verrà dismesso il riconoscimento in presenza presso l’Ordine Provinciale.
Flusso di rilascio di un certificato di firma remota con riconoscimento a distanza
a) Inserimento codice convenzione su xxx.xx e selezione Ordine Provinciale di appartenenza;
b) scelta tipologia di kit tra quelli disponibili;
c) autenticazione su xxx.xx (l’iscritto effettua login o registrazione);
d) allo step di scelta tipologia di riconoscimento l‘iscritto sceglie il sistema di riconoscimento elettronico
a distanza (SPID, CIE, TS-CNS, firma elettronica qualificata);
e) inserimento dei dati del titolare del certificato (dati anagrafici);
f) Inserimento dei dati relativi al documento di identità del titolare;
g) scelta indirizzo di spedizione: l‘iscritto può scegliere di farsi inviare il kit OTP ad un indirizzo privato;
h) conclusione ordine e pagamento a carico dell’iscritto;
i) una volta effettuato il pagamento l'utente riceve la mail per effettuare il riconoscimento con Identification Service (IDS) secondo la metodologia richiesta;
j) l'iscritto si collega alla piattaforma IDS ed effettua il riconoscimento con il sistema prescelto in fase di registrazione o può variarlo tra quelli messi a disposizione;
i. eventuale spedizione del kit (OTP fisico) all’indirizzo fornito dall'utente;
ii. attivazione immediata del certificato di firma remota con OTP mobile;
k) il richiedente alla ricezione del kit OTP provvede alla sua attivazione tramite il link ricevuto via mail
Flusso di rinnovo
a) L’iscritto riceve per email l’avviso di scadenza del certificato di Firma Remota a partire da 2 mesi prima della scadenza con le istruzioni per procedere al rinnovo;
b) il titolare si collega al portale selfcare di Firma Remota autenticandosi con le sue credenziali di Firma Remota;
c) inizia così il processo di rinnovo che prevede la firma del modulo di rinnovo e procede quindi al pagamento;
d) effettuato il pagamento si conclude il processo di rinnovo ed il certificato verrà automaticamente rinnovato dal giorno successivo alla scadenza del certificato di Firma.
Le nuove modalità di riconoscimento elettroniche si applicano anche nel caso di emissione di firma digitale con dispositivo. In tal caso il flusso è quello riportato di seguito.
Flusso di rilascio di un certificato di firma digitale con riconoscimento a distanza
a) Inserimento codice convenzione su xxx.xx e selezione Ordine Provinciale di appartenenza;
b) scelta tipologia di kit tra quelli disponibili;
c) autenticazione su xxx.xx (l’iscritto effettua login o registrazione);
d) allo step di scelta tipologia di riconoscimento l‘iscritto sceglie il sistema di riconoscimento elettronico
a distanza (SPID, CIE, TS-CNS, firma elettronica qualificata);
e) inserimento dei dati relativi al certificato e tesserino di riconoscimento (dati di iscrizione all’albo,
foto, terzo interessato);
f) inserimento dei dati del titolare del certificato (dati anagrafici);
g) inserimento dei dati relativi al documento di identità;
h) indicazione dell’indirizzo di spedizione: l‘iscritto può scegliere di farsi inviare il kit di firma ad un
indirizzo privato;
i) conclusione ordine e pagamento a carico dell’iscritto;
j) al termine del pagamento la richiesta appare sul pannello di validazione dell’Ordine Provinciale di riferimento;
k) al pannello di validazione accede l'Incaricato al Riconoscimento (IR) dell'Ordine Provinciale con un certificato SSL client che si installa sul browser rilasciato nel momento della nomina dell'IR;
l) l’incaricato dell’Ordine verifica i dati inseriti dal richiedente;
m) l’Incaricato valida la richiesta;
n) validando la richiesta viene apposta una firma automatica del Legale Rappresentante dell'Ordine sul modulo di autorizzazione del terzo interessato relativo alla richiesta in oggetto;
o) una volta validata la richiesta l'utente riceve la mail per effettuare il riconoscimento con Identification Service (IDS);
p) l'iscritto si collega alla piattaforma IDS ed effettua il riconoscimento con il metodo prescelto in fase di registrazione o può variarlo tra quelli messi a disposizione;
q) completato il riconoscimento Aruba provvede alla spedizione del kit all’indirizzo fornito dall'utente;
r) il richiedente alla ricezione del kit provvede alla sua attivazione sulle pagine dedicate xxxxx://xxxxxx.xxx.xx/XxxXxxxxXxxxxxxx/XxxxxxxxxXxx.xxxx
Flusso di rinnovo
a) Il titolare riceve via email l’avviso di scadenza dei certificati (Firma e CNS) a partire da 2 mesi prima
della scadenza. All’interno della mail sono riportate le istruzioni per il rinnovo;
b) il titolare scarica il sw Aruba Enroll dal sito xxxxx://xxx.xxx.xx/xxxxxxxx-xxxxxxxx-xxxxx-xxxxxxxx.xxxx e vi accede dopo essersi autenticato con il pin della Smart Card;
c) inizia così il processo di rinnovo che prevede:
a. la firma digitale del modulo di rinnovo
b. lo scarico dei nuovi certificati sulla Smart Card
c. il pagamento del rinnovo
d. la validazione della richiesta di rinnovo da parte dell’Ordine Provinciale
d) validata la richiesta il processo ha termine.
Firma automatica per la sottoscrizione del terzo interessato
Per la gestione del terzo interessato nel flusso automatizzato del sistema IDS, è previsto il rilascio di una firma automatica, puramente tecnica, per ciascun Ordine Provinciale.
La Firma Automatica è una modalità di Firma Remota qualificata che consente di firmare automaticamente e massivamente documenti, tramite il processo di delega, senza la necessità di inserire codici OTP (One Time Password). Il servizio è progettato per essere utilizzato ad esempio in processi che non richiedono un presidio puntuale e continuo da parte del firmatario. Per questo motivo l’utilizzo della Firma Automatica trova un’ottima applicazione nel processo di rilascio di Firma Digitale con Identification Service (IDS) per le convenzioni con pannello di validazione.
A seguito della richiesta di attivazione del servizio di Firma Automatica il titolare deve essere riconosciuto in modo da potergli rilasciare un certificato di Firma. All’interno del processo di rilascio di Firma Digitale con IDS per le convenzioni con pannello di validazione il titolare è rappresentato dal Presidente del singolo Ordine Provinciale e il certificato che viene rilasciato deve contenere la carica rivestita dallo stesso.
Una volta attivato il servizio il titolare, al fine di sottoscrivere in modo automatico i documenti, dovrà autorizzare, mediante un processo di delega, l'utilizzo del proprio certificato da parte dei sistemi informatici designati, nel nostro caso il Pannello di Validazione. Il processo di delega avviene mediante un'applicazione web in grado di gestire le associazioni tra firmatari e applicativi consentendo al titolare di mantenere il pieno controllo della delega all'utilizzo del certificato.
In caso di cessazione della carica del Presidente i singoli Ordini devono procedere con la disattivazione della firma automatica e nuova attivazione per il nuovo incaricato.
4.3 STRUMENTI PER LA FIRMA DIGITALE
Per i servizi di firma digitale, Aruba PEC mette a disposizione diversi strumenti a corredo.
Per l’utilizzo della firma digitale e remota:
• Aruba Sign è il software che consente di apporre, gestire e verificare firme digitali e marche temporali direttamente da desktop. Aruba mette a disposizione del firmatario la versione più recente di Aruba Sign sul proprio sito internet (xxxxx://xxx.xx), per il download da parte dell’utente.
• Firma Digitale Aruba è l’app di Aruba per utilizzare la firma remota e le marche temporali su smartphone e tablet. Consente di apporre le firme elettroniche qualificate e le marche temporali su documenti a bordo dei device mobili secondo la vigente normativa Italiana. Inoltre permette anche la verifica dei documenti firmati digitalmente e/o marcati temporalmente. Aruba mette a disposizione del firmatario la versione più recente dell’App mobile direttamente sui rispettivi store di Google e Apple.
• Aruba Sign online: Aruba Sign Online (ASOL) è un servizio web-based fruibile da qualsiasi dispositivo fisso o mobile, senza alcuna installazione al seguente indirizzo: xxxxx://xxxxxxxxx.xxxxxxxx.xx/xxxxxxxx/. Il servizio consente di apporre, gestire e verificare firme digitali e marche temporali.
• Aruba Key è il software che consente di apporre, gestire e verificare firme digitali e marche temporali direttamente da desktop, senza necessità di installazione e attraverso il token USB Aruba Key. Il software ha alcune funzioni aggiuntive quali: cifratura cartelle e documenti, gestione smartcard, backup, Firefox e PDF Reader portable.
Per la gestione in self-care dei certificati di firma digitale e remota:
• Aruba OTP è l'App per dispositivi mobili che genera a intervalli di tempo regolari One Time Password (OTP) per l’espressione del sole control a doppio fattore di sicurezza da parte del firmatario. L’App permette di gestire separatamente la generazione di OTP per la firma remota, per lo SPID Aruba e per l’accesso alla PEC adeguata agli standard europei di Aruba.
• Il Pannello Self Care di Aruba è un servizio web-based fruibile da qualsiasi dispositivo fisso o mobile, senza alcuna installazione al seguente indirizzo: xxxxx://xxxxxxxx.xxxxx-xxxxxx.xx/. Il pannello permette la gestione in autonomia dei propri dispositivi e credenziali di firma digitale.
• Aruba Enroll è un’applicazione sviluppata da Aruba utilizzata per i rinnovi dei certificati di firma
digitale sulle smartcard, ed in alcuni flussi di emissione remoti. È scaricabile dal sito xxxxx://xxx.xx.
4.4 TEMPISTICA
La tempistica, prevista per le 2 Fasi su indicate, è la seguente:
• Fase 1: dal 1° ottobre 2024;
• Fase 2: dal 15 gennario 2025.
5. ASSISTENZA
L’assistenza è erogata in orario lavorativo (09:00 – 18:00) dal lunedì al venerdì, escluse festività nazionali. Viene messo a disposizione un canale telefonico dedicato, oltre ai portali standard di trouble-ticketing online.
Questi i canali previsti:
• canale telefonico dedicato agli Ordini Provinciali: 0575 050014
• canale e-mail dedicato agli Ordini Provinciali: xxxxxxxxxx@xx.xxxxxxxx.xx
• canale telefonico per gli iscritti: 0575 0505
• canale ticketing online per gli iscritti: xxxxx://xxxxxxxxxx.xxxxx.xx/