DOCUMENTO DESCRITTIVO
Mobile Strong Authentication Descrizione del servizio
Codice Documento: CERTMOST.TT.SODS20000 Stato: Rilasciato Emesso: 10/11/2020
DOCUMENTO DESCRITTIVO
Telecom Italia Trust Technologies S.r.l. - Documento pubblico – Tutti i diritti riservati
VERSIONI DEL DOCUMENTO | ||
Revisione | Descrizione delle modifiche | Emissione |
00 | Redazione | 19/01/2010 |
01 | Scheda d’attivazione definita in allegato esterno | 19/01/2010 |
02 | Revisione generale del documento | 25/10/2011 |
03 | Revisione elementi di servizio | 30/01/2012 |
04 | Aggiunto paragrafo Architettura Logica e capitolo Sicurezza Fisica Centro Servizi Certification Authority | 12/09/2012 |
05 | Variazione Denominazione sociale | 03/01/2014 |
00 new | Nuova Codifica documento (ex CERTMOST.TT.SODS102169). Revisione contenuti e brand policy | 10/11/2020 |
Telecom Italia Trust Technologies è proprietaria delle informazioni contenute nel presente documento, che può essere liberamente divulgato all’esterno del Gruppo Telecom Italia, con riserva di tutti i diritti rispetto all’intero contenuto.
Indice degli argomenti
Scopo del documento 4
1 Definizioni 4
2 Introduzione 4
3 Descrizione dei servizi MOST, Mobile SMS e Mobile INFO 5
3.1 Servizio MOST 5
3.1.1 Architettura Logica del servizio MOST 7
3.1.2 Varianti di servizio Call 7
3.2 Servizio INFO 8
3.3 Servizio SMS 9
4 Evoluzioni del servizio Strong Authentication 9
4.1 SecureCall 9
4.2 SecureCall OTP APP/SMS 9
4.2.1 Perché scegliere SecureCall OTP APP/SMS 9
4.2.1.1 QRCode con inserimento manuale di OTP (use case) 10
4.2.1.2 QRCode con conferma automatica OTP (use case) 10
4.2.1.3 Push Notification/Push SMS OTP con inserimento manuale dell’OTP (use case) 10
4.2.1.4 Push Notification OTP con conferma automatica OTP (use case) 11
4.3 MOST YOU KEY 11
4.3.1 Soluzione conforme al GDPR (Regolamento UE 2016/679) 11
4.3.2 Modalità di utilizzo 12
4.3.2.1 MOST BRDT A2A 12
4.3.2.1.1 Fase di Registrazione 12
4.3.2.1.2 Fase di Associazione 12
4.3.2.1.3 Fase di Condivisione 13
4.3.2.2 MOST BRDT W2A 13
4.3.2.2.1 Fase di Registrazione 13
4.3.2.2.2 Fase di Associazione 13
4.3.2.2.3 Fase di Condivisione 13
4.3.3 MOST BRDT WEB SERVER CONSOLLE (WSC) 14
4.3.3.1 Dashboard, Gestione Utenti e Reportistica 15
4.3.3.2 Modalità di accesso a MOST BRDT WSC e tracciamento dell’Amministratore di Sistema 16 4.3.3.3 Caratteristiche tecniche del WSC 16
4.3.4 Modalità di erogazione Software As A Service 17
4.3.5 Ambiti di applicazione e Servizi offerti da MOST YOU KEY 17
5 Riferimenti 18
Scopo del documento
Il presente documento descrive il servizio ‘MObile STrong authentication’ (o MOST) erogato da TI Trust Technologies (nel seguito, TITT). È liberamente disponibile per la consultazione ed il download sul sito di TI Trust Technologies: xxxxx://xxx.xxxxxxxxxxxxxxxxx.xx.
Sono riportate le caratteristiche dei servizi accessori di Mobile SMS e Mobile INFO nonché le possibili estensioni di servizio attivabili secondo le personalizzazioni richieste.
MOST e i servizi accessori vengono erogati utilizzando la piattaforma di servizio gestita da Telecom Italia Trust Technologies.
1 Definizioni
CA | Autorità di Certificazione: prestatore di servizi di certificazione |
CED | Centro di Elaborazione Dati |
MOST | MObile STrong authentication |
OTP | One Time Password |
PIN | Codice personale di accesso alle chiavi custodite su HSM dispositivi sicuri di firma |
PRI | Il Primary Rate Interface, l’interfaccia standard di telecomunicazioni per veicolare trasmissioni multiple DS0 in voce e dati tra la rete e un utilizzatore. |
PSTN | Public Switched Telephone Network. Rete telefonica analogica. La normale rete telefonica per le trasmissioni vocali. Può essere utilizzata per l'invio di dati tramite router (o modem). Talvolta è chiamata anche POTS. |
SIM | Subscriber Identity Module |
SMS | Short Message Service |
SLA | Service Level Agreement |
TTS | Sistemi di sintesi vocale sono noti anche come sistemi Text-To-Speech |
VPN | Virtual Private Network |
2 Introduzione
L’utilizzo di metodi di autenticazione tradizionale basati su “nome utente e password” nell’ambito dei servizi on-line, se utilizzati sia in fase di “accesso al portale” che in fase di “conferma dispositiva”, oggi non sono più in grado di fornire sufficienti requisiti di sicurezza.
Con il recepimento della Direttiva 2015/2366/EU (PSD2) è stato introdotto, a partire da settembre 2019, il concetto di “Autenticazione forte del cliente” (o “Customer Strong Authentication”). Con particolare riferimento ai prestatori di servizi di pagamento (es. Banche) si dispone che sia in fase di accesso che in caso di disposizione a distanza, i prestatori di servizi di pagamento devono applicare l’autenticazione forte del cliente, comprendendo elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario specifico.
Alle disposizioni normativa, si affianca l’esigenza sempre più sentita sul mercato, di sviluppare sistemi di “certificazione dell’identità” dell’utente del servizio in grado di elevare il profilo di sicurezza aumentando la resistenza verso i più diffusi attacchi informatici e il furto di identità.
Tra le tecniche di Strong Authentication emerge quella a “canale complementare”, nella quale l’utente agisce sfruttando un canale di comunicazione differente rispetto a quello di originale fruizione del servizio.
La rete telefonica mobile e la rete dati si presta a essere utilizzata in questo ambito, poiché in essa i parametri di sicurezza e il metodo di autenticazione dell’utente sono del tutto particolari.
Trust Technologies implementa la Strong Authentication del servizio MOST sul canale complementare di telefonia mobile.
La soluzione proposta garantisce i seguenti vantaggi:
non è necessario dotare gli utenti di smart-card, token o dispositivi hardware aggiuntivi, oltre al cellulare di cui già dispongono. Ne consegue, per il cliente, un notevole vantaggio in termini riduzione del costo e del tempo necessari per lo sviluppo e diffusione del servizio.
l’utente, nella fase di conferma dispositiva, non deve sostenere alcun costo telefonico.
non c’è nessun limite imposto dalla tecnologia, visto che tutti i potenziali utenti già dispongono di almeno un telefono cellulare.
È importante precisare che dalla Rete TIM vengono autorizzate solo chiamate originate dalle Reti degli Operatori Mobili nazionali dai numeri telefonici che iniziano con “+39 3xx”.
3 Descrizione dei servizi MOST, Mobile SMS e Mobile INFO
3.1 Servizio MOST
La piattaforma applicativa erogata da Trust Technologies consente di implementare un sistema di strong authentication su canale secondario (la rete telefonica mobile), dove il meccanismo di sicurezza è il riconoscimento del numero chiamante dell’utente.
In questo modo non è richiesto nessun token o dispositivo generatore di chiavi addizionale: l’utente può usare direttamente il proprio cellulare e senza necessità di installare in esso alcuna applicazione.
Per utilizzare il servizio MOST il cliente deve integrare il proprio servizio applicativo (es. portale web) con la piattaforma di erogazione del servizio MOST di Trust Technologies tramite l’apposita interfaccia applicativa basata su tecnologia Web Service.
Il servizio MOST presenta la seguente mimica funzionale:
L’utente compie una prima autenticazione al servizio che sta utilizzando mediante la classica coppia di dati Username e Password (login al portale web).
Al momento di eseguire la strong authentication, l’applicativo Cliente esegue una richiesta al servizio MOST di Trust Technologies il quale restituisce un codice OTP numerico.
L’applicativo cliente chiede all’utente di effettuare una chiamata dal suo telefono cellulare al Numero Verde del servizio MOST e di digitare in post-selezione le quattro cifre numeriche del codice OTP che è stato generato per la specifica sessione.
Al codice OTP risulta associata, nei sistemi di Trust Technologies, una determinata linea della rete telefonica fissa alla quale sono collegati i sistemi della piattaforma MOST. Il servizio rileva il numero chiamante sulla linea specifica (il numero di cellulare di chi deve autenticarsi) e lo restituisce all’applicativo cliente. Trust Technologies dispone di innumerevoli linee telefoniche che utilizza per il servizio MOST, il che rende praticamente impossibile la saturazione.
L’applicativo cliente verifica la coincidenza del numero chiamante restituito dal servizio MOST con il numero del telefono cellulare, memorizzato nel proprio database, relativo all’utente che sta eseguendo l’operazione. In caso di esito positivo viene autorizzato l’accesso.
Con questa soluzione, così come descritta in precedenza, risulta evidente che Trust Technologies non memorizza il numero chiamante, né ha un Data Base con gli utenti del cliente.
Il numero telefonico chiamante identifica l’utente, mentre il codice OTP, che compare a video insieme al Numero Verde, identifica la sessione specifica.
Lo schema seguente descrive la chiamata con OTP.
L’utente utilizza un servizio online al quale si è autenticato tramite credenziali personali di accesso.
3.1.1 Architettura Logica del servizio MOST
Nella figura seguente si evidenziano le componenti principali coinvolte nell’architettura del servizio MOST.
Ogni componente è in configurazione di alta affidabilità oltre ad essere in costante monitoraggio sui sistemi dedicati di Trust Technologies.
La Componente di Back End è inserita nella zona più protetta della rete di Trust Technologies e non viene esposta all’esterno (ossia non è per nessuna ragione raggiungibile direttamente da Internet o comunque da connessioni esterne all’infrastruttura del Certificatore. La componente di Back End è protetta da FW (FW BE).
La Componente di Front End è l’unica componente preposta all’esposizione dei servizi e relativi dati verso Internet/Intranet. A tal fine è autorizzata a colloquiare, con opportuni sistemi di sicurezza e controllo, con la componente di Back-End. La componente di Front End è protetta da un FW (FW FE).
La Rete di Management permette agli operatori di raggiungere i sistemi posti sulle reti di Front End e Back End per le attività di conduzione sistemi. Tale rete è posta all’interno della Sala Sistemi del Centro Servizi del Certificatore e non è raggiungibile dall’esterno se non tramite apposite VPN di servizio.
La Rete di backup garantisce il corretto servizio di salvataggio ed archiviazione dei dati. A tale rete è attestato il sistema di Archiviazione Dati in cui sono conservati i log di accesso a tutti i sistemi attestati sia alla rete di front end che a quella di back end.
Completano l’architettura sistemi di IDS (Intrusion Detection System) che identificano accessi non autorizzati ai computer o alle reti locali e sistemi di monitoraggio a vari livelli.
3.1.2 Varianti di servizio Call
Il servizio MOST, nella sua versione standard, prevede il metodo di autenticazione descritto in precedenza.
Nella realizzazione di servizi personalizzati la piattaforma gestita da Trust Technologies offre diverse varianti del servizio con opzioni di autenticazione forte che possono essere adottate singolarmente oppure congiuntamente, a seconda delle esigenze dei singoli utenti. Tra le più significative:
Call con OTP + PIN Alla risposta, l’utente viene invitato ad inserire il codice OTP, a seguito del quale un messaggio vocale (registrato o comunicato attraverso un meccanismo di TTS) richiede la digitazione di un codice personale PIN.
Call con Callback + PIN
Alla risposta, eseguita la rilevazione del numero chiamante, la telefonata viene abbattuta e il servizio richiama automaticamente il numero di telefono cellulare rilevato. Un messaggio registrato o comunicato attraverso un meccanismo di TTS (statico o dinamico) richiede all’utente la digitazione di un codice personale PIN.
OutgoingCall + PIN La piattaforma, invece di attendere una chiamata dell’utente, effettua direttamente la chiamata al suo numero di telefono cellulare. Un messaggio registrato o comunicato attraverso un meccanismo di TTS (statico o dinamico) richiede la successiva digitazione di un codice personale PIN.
La configurazione della piattaforma viene realizzata in funzione della tipologia di servizio richiesto dal cliente. Alcune modalità comportano un costo aggiuntivo come nel caso della OutgoingCall dove sono previste chiamate in uscita.
Come ulteriore opzione, il sistema può inviare all’utente un SMS informativo con i dati riassuntivi dell’operazione appena autorizzata, mediante i servizi aggiuntivi di messaggistica descritti nel seguito.
3.2 Servizio INFO
La piattaforma applicativa gestita da Trust Technologies è collegata ai servizi di messaggistica SMS di TIM e può essere utilizzata anche per fornire informazioni personalizzate a un utente che ha chiamato il sistema con il proprio cellulare.
Si può configurare la piattaforma per rispondere alle richieste dell’utente sia inviandogli direttamente un SMS (modalità PULL), sia riproducendo dei messaggi vocali utilizzando la funzionalità TTS (Text-To-Speech).
La tipologia di risposta può essere determinata dalla configurazione effettuata sul numero telefonico chiamante e/o dalla sequenza di tasti digitati dopo che è stata instaurata la connessione in base.
È possibile programmare l’azione del sistema a seconda del numero telefonico chiamato, ad es.: chiamare il numero 8001001 potrebbe significare “Voglio conoscere lo stato del mio account” mentre chiamare il numero 8001002 potrebbe significare “Ho bisogno di un nuovo PIN temporaneo per la mia scheda”, e così via.
Ancora, l’azione può essere diversificata a seconda dalla sequenza di tasti digitati dopo che è stata instaurata la connessione, ad es.: 100# potrebbe significare “Richiesta stato Account”; 200# potrebbe significare “Richiesta Password temporanea”; ecc.
I contenuti dei messaggi da trasmettere devono essere forniti dal cliente in modalità gestibili dalla piattaforma (ad esempio in forma di pagina HTML oppure mediante URL che effettuino interrogazioni sul sistema del cliente).
Il servizio Mobile INFO con SMS in genere prevede che il cliente acquisti un proprio canale di invio di SMS di TIM, “InfoTIM” e possibili costi aggiuntivi.
3.3 Servizio SMS
Il modulo per la gestione degli SMS fornisce alle applicazioni del cliente la capacità di inviare e/o ricevere SMS verso i telefoni mobili tramite una connessione IP senza doversi dotare di apparati proprietari o sistemi hardware particolari (es. apparati GSM, schede SIM e altri sistemi di invio e gestione).
Si tratta di un servizio di invio SMS in modalità PUSH.
Più in dettaglio, il servizio può ricevere il testo che deve essere inviato in numerosi modi differenti, quali:
invocando appositi Web Service;
fornendo un URL a una pagina http/https contenente il testo inserito fra speciali ‘tag’;
fornendo connessioni a Database dedicati (XXX, JDBC);
leggendo file testuali inviati via FTP; inviando e-mail a un server mail dedicato (SMTP).
4 Evoluzioni del servizio Strong Authentication
4.1 SecureCall
SecureCall è la piattaforma che implementa l’autenticazione forte (strong authentication) di un utente, in un sistema integrato, e che può prevede diversi scenari. Può essere utilizzata per soluzioni di strong authentication con doppio canale, a due o più elementi di autenticazione.
Si tratta di una piattaforma modulare e scalabile che permette al cliente:
l’uso di uno o più tipi di autenticazione forte, aggiungendo ulteriori nuovi tipi di autenticazione, senza alcun cambiamento nelle infrastrutture;
oppure l'interfaccia API tra SecureCall e le applicazioni del Cliente.
Ad esempio, il Cliente può iniziare a utilizzare il modulo SecureCall OTP SMS o APP (descritti in seguito), e può successivamente aggiungere i moduli di autenticazione biometrica.
4.2 SecureCall OTP APP/SMS
SecureCall OTP APP/OTP SMS è la modalità di autenticazione forte (strong authentication) a più fattori per l’autorizzazione/verifica. Prevede la generazione di un codice OTP (One Time Password) compliant con le raccomandazioni EBA riguardanti i servizi di “Payment Account Access” (Directive 2015/2366/EU (PSD2))
SecureCall OTP, nella versione con APP, fornisce sia un’applicazione mobile che un SDK (che consente l’integrazione nell’APP di Mobile del Cliente) per la generazione di OTP.
È la soluzione ideale per gli utenti che si devono autenticare nelle aree riservate, come ad esempio: web banking, Mobile APP di banche e assicurazioni, intranet aziendali, ATMs e diversi tipi di Identity Access Manager.
In ambito bancario, uno dei possibili scenari utilizzativi di SecureCall OTP, è l’autorizzazione ad un’operazione (informativa e/o dispositiva).
SecureCall OTP APP è utilizzabile anche in assenza di connessioni dati sul dispositivo perché in grado di rilevare automaticamente se è attiva una connessione dati e, diversamente, scatena un processo alternativo di generazione OTP.
4.2.1 Perché scegliere SecureCall OTP APP/SMS
Utilizzabile da più device per lo stesso utente (Multidevice)
Possibilità di attivazione sincrona e asincrona
Utilizzabile con device sia online che offline (rileva automaticamente la presenza della connessione dati)
User experience semplice e intuitiva
Sicuro, previene gli attacchi (ad es. malware, jailbreak, ecc.) e tutte le comunicazioni avvengono su canale criptato SSL
Notifiche Push personalizzabili
Scalabile e facilmente integrabile
SecureCall OTP APP/SMS offre quattro diverse user experience:
1. QRCode con inserimento manuale del codice OTP;
2. QRCode con conferma automatica del codice OTP;
3. Notifica Push dell’OTP con inserimento manuale del codice OTP;
4. Notifica Push dell’OTP con conferma automatica del codice OTP.
Nei paragrafi seguenti vengono descritti gli use case di SecureCall OTP APP basandosi sull’esempio di un utente di una banca che desidera autorizzare un’operazione da web banking.
4.2.1.1 QRCode con inserimento manuale di OTP (use case)
1. L'applicazione (es. web banking) mostra un QRCode cifrato al fine di autorizzare una transazione;
2. L'utente apre SecureCall OTP APP sullo smartphone (non previsto nella versione SMS push);
3. L'utente sblocca l’APP inserendo il proprio PIN oppure tramite verifica delle impronte digitali TouchID (per gli smartphone che supportano tale possibilità);
4. L'APP decifra il QRCode e mostra l’OTP e le informazioni della transazione da autorizzare sullo schermo del dispositivo (non previsto nella versione SMS push);
5. L'utente autorizza la transazione inserendo manualmente l’OTP sulla pagina web.
Questo scenario funziona sia con lo smartphone online che offline (la logica dell’App riconosce in autonomia se il telefono ha la connessione e modifica di conseguenza il processo).
4.2.1.2 QRCode con conferma automatica OTP (use case)
1. L'applicazione (es. web banking) mostra un QRCode cifrato al fine di autorizzare una transazione;
2. L'utente apre il SecureCall APP sullo smartphone;
3. L'utente sblocca l’APP inserendo il proprio PIN o con la verifica delle impronte digitali Touch ID;
4. L'APP decifra il QRCode, mostra i dettagli della transazione che devono essere autorizzati sullo schermo del dispositivo e chiede all'utente di confermare;
5. L'APP invia automaticamente, attraverso il canale IP, la conferma all’applicazione della Banca.
4.2.1.3 Push Notification/Push SMS OTP con inserimento manuale dell’OTP (use case)
1. L'applicazione web (es. bancaria) richiede al back-end SecureCall la generazione di un’OTP da inviare al dispositivo dell'utente al fine di autorizzare una transazione;
2. L'utente riceve, sul suo smartphone, una notifica push/SMS push con la richiesta di confermare una transazione;
3. L'utente sblocca l’APP inserendo il proprio PIN o con la verifica delle impronte digitali Touch ID (non previsto nella versione SMS push);
4. SecureCall OTP APP mostra l’OTP e le informazioni della transazione da autorizzare sullo schermo del dispositivo (non previsto nella versione SMS push);
5. L'utente autorizza la transazione inserendo manualmente l’OTP sulla pagina web.
4.2.1.4 Push Notification OTP con conferma automatica OTP (use case)
1. L'applicazione web (es. bancaria) richiede al back-end di SecureCall la generazione di un codice OTP da inviare in modalità push al dispositivo dell'utente, al fine di autorizzare una transazione;
2. L'utente riceve, sul suo smartphone, una notifica push con la richiesta di confermare una transazione;
3. L'utente sblocca l’APP inserendo il proprio PIN o con la verifica delle impronte digitali Touch ID;
4. SecureCall OTP APP mostra l’OTP e le informazioni della transazione da autorizzare sullo schermo del dispositivo e chiede all'utente di confermare;
5. La APP invia automaticamente, attraverso il canale IP, la conferma all’applicazione della Banca.
4.3 MOST YOU KEY
La soluzione MOST YOU KEY è la soluzione che consente di creare e gestire i Diritti di un qualsiasi “Contenuto” (documento, registrazione vocale, file musicale, video o più in generale un “contenitore di informazioni digitali”), creato e/o scelto nell’archivio del proprio device/computer e recapitarlo solo a quei Destinatari di cui si vuole abbiano le autorizzazioni al trattamento, ossia:
- aprire il contenuto;
- leggere il contenuto;
- eventualmente modificarlo
con il massimo livello di sicurezza, garantendo sia l’identità del Mittente che quella dei Destinatari, la validità legale di tali identità, il completo controllo di tali Diritti e l’assoluta riservatezza di tutti gli interlocutori.
Il “contenuto” può essere dunque inviato dal “Proprietario” (Owner) ad uno o più Destinatari scegliendo di volta in volta un sistema di comunicazione (email, file transfer, chat, cloud, ecc.) e potrà essere aperto, letto (ed eventualmente modificato) soltanto dai Destinatari “autorizzati”, al momento della creazione del documento stesso.
La tecnologia di MOST YOU KEY non necessita di provider intermediari in quanto l’architettura per la fruizione dei contenuti è PeerToPeer.
MOST YOU KEY utilizza l’impronta biometrica (finger, iride, vocale, facciale, ecc.) anche in modalità multipla come unico elemento per l’associazione dell’identità “fisica” con quella “digitale” garantendo valenza legale all’intero processo.
4.3.1 Soluzione conforme al GDPR (Regolamento UE 2016/679)
Il nuovo regolamento comunitario sulla Data Privacy richiede di gestire con specifiche misure di sicurezza ogni catena di trattamento dei dati personali, sensibili o oggetto di provvedimenti giudiziari, evitando accessi non autorizzati sui singoli “Contenuti”.
Con MOST YOU KEY è possibile ottemperare a questi obblighi senza necessità di implementare ulteriori misure di sicurezza aggiuntive per la protezione di perimetri, archivi, data base, device, computer, server, client, consentendo un notevole risparmio economico e prestazionale sia in termini di risorse che di tecnologie.
La soluzione consente infatti di “Proprietario” di tenere traccia di tutte le autorizzazioni concesse sui contenuti digitali presenti in rete, consentendo di implementare in modo controllato ed automatico il “Diritto all’Oblio” ritirando i “Diritti” (Right) concessi su tutta la catena del trattamento con una sola operazione (un click sul Computer o sullo Smartphone).
4.3.2 Modalità di utilizzo
La soluzione MOST YOU KEY prevede l’operatività di un “Centro di gestione” (Web Server Consolle (WSC) per le funzionalità base di logging, registrazione utenti e censimento/monitoraggio numero e data delle transazioni scambiate tra gli utenti (non dei contenuti), anche su BlockChain.
MOST YOU KEY è fruibile in 2 modalità:
1. MOST BRDT A2A. Prevede, per ogni User, uno Smartphone (Android/iOS) o un Tablet, dotato di accesso biometrico connesso in rete. Il Device (Smartphone) verrà utilizzato anche per creare e condividere contenuti.
2. MOST BRDT W2A. Prevede, per ogni User, oltre ad uno Smartphone (Android/iOS) dotato di accesso biometrico, anche un software per Laptop/Desktop (entrambi connessi in rete), configurato come file manager per creare e condividere contenuti.
4.3.2.1 MOST BRDT A2A
MOST BRDT A2A prevede l’utilizzo di una App che viene distribuita (o se ne autorizza il download), da opportuno sito protetto, ad ogni User avente diritto all’uso della Licenza.
Una volta scaricata sul Device (tipicamente Smartphone) la App deve essere installata con modalità del tutto simili ad ogni applicazione. Funzionerà da lettore Biometrico.
La App richiederà l’attivazione di autorizzazioni per abilitare specifiche funzionalità (es. verifica della propria impronta biometrica), condividere contenuti (documenti, immagini, video, altro).
Queste autorizzazioni sono usate limitatamente ed in conformità alle norme nazionali ed europee in materia di trattamento e riservatezza dei dati personali.
Lo scambio di contenuti avviene analogamente ai comuni ambienti mobile di tipo chat ma in modalità P2P
(contrariamente a Whatsapp, Telegram, ecc. che utilizzano Content Server sui quali caricare e distribuire i contenuti).
4.3.2.1.1 Fase di Registrazione
Viene effettuata la prima volta che si utilizza l’applicazione sul Device Biometrico, tramite la registrazione dei dati personali (Nome, Cognome, mail, numero di telefono mobile e codice fiscale) inclusa la verifica dell’identità biometrica. A questi dati vengono aggiunti dati univoci del device (IMEI, SIM Serial Number, ed altro).
Se dovesse cambiare anche una sola delle informazioni (Device, Dati, ecc.) sarà necessaria una nuova registrazione.
Sono previste opzioni di compatibilità per garantire funzionalità afferenti a transazioni pregresse.
4.3.2.1.2 Fase di Associazione
Si attua scegliendo dalla lista della Community (una sorta di directory degli User già registrati sulla dalla Console WSC) gli interlocutori con cui ci si vuole associare. Si ottiene così una sorta di Associate List.
Questa fase è reversibile, ossia, si può operare una dissociazione e/o una nuova scelta di interlocutori ogni volta che si desidera.
La Community List viene sempre letta on line dalla Web Server Consolle (WSC), mentre la Association List risiede nel device dell’utilizzatore e viene aggiornata ad ogni variazione.
4.3.2.1.3 Fase di Condivisione
Dopo aver effettuato le due Fasi precedenti l’utente è pronto per scegliere e condividere contenuti.
Si individua un contenuto detenuto e/o creato;
si scelgono gli interlocutori da autorizzare (presenti nella Associate List);
si condivide il contenuto con i normali canali di comunicazione in proprio possesso.
Il Destinatario autorizzato che riceve il contenuto lo apre con la medesima applicazione e, dopo aver immesso la propria impronta Biometrica avrà a disposizione il contenuto nel formato originale.
4.3.2.2 MOST XXXX X0X
XXXX XXXX X0X è una modalità attraverso la quale l’utilizzatore può creare e gestire i suoi contenuti da un normale Laptop, Netbook o Desktop.
Questa funzionalità viene utilizzata laddove l’utente, già in possesso di MOST BRDT A2A, preferisca creare e gestire i contenuti da Laptop/Desktop piuttosto che sullo stesso Device mobile (Smartphone) utilizzato per l’impronta biometrica.
In questa modalità possiamo quindi inviare anche dei file assenti nel device ma presenti sul laptop. Concettualmente viene eseguito lo stesso procedimento descritto per le 3 Fasi di MOST XXXX X0X.
XXXX XXXX X0X avrà quindi due componenti:
1. Laptop/Desktop, fruibile in ambiente Windows e/o Mac;
2. Device Mobile dell’utente, già dotato di MOST BRDT A2A.
MOST BRDT W2A viene autorizzata al download da opportuno sito protetto ad ogni User avente diritto all’uso.
Sarà installata con modalità del tutto simili ad ogni applicazione per lo specifico ambiente operativo (Windows, MacOS, …)
Lato laptop/desktop l’utilizzatore, avviando la componente MOST BRDT W2A, avrà un QR Code generato e mostrato sullo schermo del Laptop/Desktop, pronto per essere letto dalla App su Device.
4.3.2.2.1 Fase di Registrazione
La fase di registrazione deve essere preventivamente effettuata tramite MOST BRDT A2A.
MOST BRDT W2A richiederà che alcune autorizzazioni vengano attivate per abilitare specifiche funzionalità, es. la verifica della propria impronta biometrica, la condivisione di contenuti (documenti, immagini, video, altro) attraverso l’utilizzo delle Community & Association List.
Queste autorizzazioni sono usate limitatamente ed in conformità alle norme nazionali ed europee in materia di trattamento e riservatezza dei dati personali.
4.3.2.2.2 Fase di Associazione
Si attua scegliendo dalla lista della Community (v. MOST BRDT A2A – sottopar. 4.3.2.1.2 Fase di Associazione).
4.3.2.2.3 Fase di Condivisione
Dopo aver effettuato le due Fasi precedenti l’utente è pronto per scegliere e condividere contenuti.
Si individua un contenuto detenuto e/o creato;
si scelgono gli interlocutori da autorizzare (presenti nella Associate List);
Si trasforma il contenuto, dopo aver ricevuto la richiesta di inserimento della propria impronta biometrica nel Device (il contenuto viene quindi “congelato” e trasformato dall’originale file .ext a un file .brdt.);
si condivide il contenuto con i normali canali di comunicazione in proprio possesso.
Il Destinatario autorizzato che riceve il contenuto:
lo apre con la medesima applicazione, dopo aver immesso la propria impronta Biometrica sul Device dove è installata la MOST BRDT A2A;
avrà nuovamente a disposizione il contenuto riportato nel formato originale.
In sintesi, il contenuto trasmesso è «comprensibile» solo dai soggetti «biometricamente autorizzati». Se per errore si invia il contenuto a soggetti non autorizzati questi non avranno alcun modo per «comprenderlo» e quindi non potranno aprilo e trattarlo.
4.3.3 MOST BRDT WEB SERVER CONSOLLE (WSC)
MOST BRDT WSC è una web application (powered by Alosys Communications) che consente di monitorare ed attivare le funzionalità previste dalla soluzione, quali a titolo esemplificativo:
ricezione dei record anagrafici di registrazione da parte degli Utenti che dalla propria MOST BRDT A2A effettuano la registrazione;
possibilità di far accedere in lettura gli Utenti alla Community List dall’interno dei menù del MOST XXXX X0X;
monitoraggio delle richieste di Association
da parte degli Utenti;
possibilità di creare gruppi per poter consentire Associazioni e/o Sharing multipli;
il monitoraggio delle tipologie e numerosità di eventi P2P.
4.3.3.1 Dashboard, Gestione Utenti e Reportistica
La Dashboard è anche l'home page di MOST BRDT WSC ed è direttamente collegata al database.
Sulla parte sinistra è presente un menù grazie al quale eseguire tutte le funzionalità di gestione degli utenti e
visualizzazioni dei log.
Nella dashboard vengono riportati grafici con i dati di utilizzo della soluzione MOST YOU KEY da parte degli utilizzatori.
In particolare:
Numero totale degli utenti registrati
Numero totale degli utenti che hanno Associazioni attive (Active Users)
Numero totale degli utenti che non hanno alcuna Associazione (Inactive User)
Numero totale delle transazioni giornaliere, mensili e progressive
Numero di contenuti (file.brdt) trasferiti (non i contenuti)
Altri dati che via via si renderanno disponibili con le implementazioni delle opzioni aggiuntive.
È possibile estrarre reportistiche aggiuntive su richiesta, configurabili in fase di installazione e configurazione.
4.3.3.2 Modalità di accesso a MOST BRDT WSC e tracciamento dell’Amministratore di Sistema
L’Amministratore di Sistema ha accesso, con credenziali univoche, alla WSC sia a livello Application che a livello DB per effettuare le operazioni descritte in precedenza.
WSC adotta strumenti software e hardware con cui registrare i Log degli accessi al sistema e ai dati da parte dell’AdS.
Al fine di garantire piena conformità al Regolamento Europeo (GDPR) EU 2016/679 ed al Decreto Legislativo del 10 agosto 2018 n. 101, tutti i log sono validati con data certa per poi essere conservati per un periodo di 6 mesi con caratteristiche di completezza, integrità ed inalterabilità in modo che siano registrati e immodificabili (cfr. Write Once Read Many – WORM)
Ogni Log contiene:
la data
l’evento
l’identificativo del sistema
qualsiasi informazione per tracciare l’attività dell’AdS.
Possono essere rese disponibili funzionalità di creazione ulteriori profili di Amministratore esclusivamente su base richiesta
4.3.3.3 Caratteristiche tecniche del WSC
MOST BRDT WSC può essere personalizzata secondo specifiche esigenze del cliente.
È scalabile e interfacciabile con software di terze parti in varie modalità (API, HTML ecc).
4.3.4 Modalità di erogazione Software As A Service
MOST YOU KEY SaaS LICENCE | FEATURE | CARATTERISTICHE |
MOST BRDT A2A (*) | App (Android/iOS) per Smartphone | Consente di poter condividere in rete o in presenza tra diversi soggetti interlocutori aderenti a MOST YOU KEY, documenti elaborati con elementi biometrici e con il metodo scelto come idoneo al caso d'uso tra Smartphone (Android, iOS) |
Registrazione (*) | Registration Remote Management | Servizio di Registrazione e Tracciatura dei Device Owners con biometria individuale su Device Laptop e Desktop |
Community | Community Remote Management | Profilazione Tracciatura dei flussi dei contenuti condivisi tra gli utenti, Segnalazione di anomalie dei singoli device, Gestione dei gruppi di associati, portabilità biometrica su diversi dispositivi, gestione cambio device per rottura, smarrimento, evoluzione tecnologica, delega, duplicazione |
Associazione (*) | Association Remote Management | Servizio di SW Distribution, Licences, Address Book |
MOST BRDT W2A | App per Tablet (Android/IoS) e Sw per Laptop/Desktop (Windows/Mac) | Consente di poter condividere in rete o in presenza tra diversi soggetti interlocutori aderenti a MOST YOU KEY, documenti elaborati con elementi biometrici e con il metodo scelto come idoneo al Caso d'Uso tra Tablet e Laptop/Desktop (OS Windows, Mac) usando Device Biometrici (Smartphone Android, IoS) |
MOST BRDT WSC (*) | Web Server Console | Consente di poter monitorare gli eventi (Registrazione, Associazione, Sharing e tipologia di contenuti, modelli di device utilizzati, ecc) di elaborare statistiche di traffico e volumi, di effettuare creazione di Gruppi, e di sviluppare funzionalità di integrazione con Anagrafiche corporate (Nome, Cognome, mail address, numero di telefono, codice fiscale, ecc.) |
(*) MANDATORY
“MOST BRDT A2A” prevede, per ogni User, uno Smartphone (Android/iOS) o un Tablet, dotato di accesso biometrico connesso in rete
“MOST BRDT W2A” prevede, per ogni User, l’uso di un Computer Windows (o Mac) e di uno Smartphone (Android/iOS) dotato di accesso biometrico, entrambi connessi in rete.
Progetti e personalizzazioni saranno caratterizzati da specifiche scelte metodologiche ed architetturali.
4.3.5 Ambiti di applicazione e Servizi offerti da MOST YOU KEY
Industry = Segreti Industriali, Data Loss Prevention (DLP);
Media = Diritti d’Autore, Digital Rights Management (DRM), Protezione contenuti digitali;
Telecommunication = per PMI, B2C, Consumer nel Cloud delle Telco Company come servizio per la gestione delle transazioni e dei contratti tra imprese;
Medical = Fascicolo Sanitario Cittadino, Cartelle cliniche, Analisi, Referti, Diagnosi, Terapie, Contact Tracing;
Finance = consente di associare l’identità fisica con quella digitale per accreditare l’identità “emergente” ad operare in rete (Blockchain) per transazioni finanziarie (tradizionali o con crypto payments) e legali (cfr. smart contract).
Legal = consente di dare validità legale ad atti, mandati, procure, evidenze probatorie e relazioni di digital forensics.
5 Riferimenti
TI Trust Technologies Srl con unico socio Direzione e Coordinamento Telecom Italia S.p.A.
Sede legale: X.X. 000 Xxxxxxx, xx 00,000 - 00000 Xxxxxxx (Xxxx)
C.F. P. IVA e Iscriz. Reg. Imp. Roma n. 04599340967 REA n. 1085826
TI Trust Technologies è accreditata presso l’Agenzia per l’Italia Digitale (AGID), in qualità di:
Gestore dell’identità digitale nell’ambito del Sistema Pubblico di Identità Digitale (SPID);
Conservatore per la conservazione di documenti informatici, ai sensi del DPCM 3 dicembre 2013;
Gestore del servizio di Posta Elettronica Certificata;
Qualified Trusted Service Provider europeo (QTSP) per l’emissione di Certificati qualificati per i servizi di Firma Elettronica Qualificata, firma elettronica avanzata e validazione temporale.
TI Trust Technologies S.r.l. è certificata ISO 9001:2015 e ISO 27001:2013, a garanzia della qualità dei processi e della sicurezza delle informazioni. La supervisione periodica da parte di un Ente terzo accreditato, verifica la corretta applicazione degli standard internazionali richiamati dalle normative.