Manuale di Conservazione Aruba PEC
Manuale di Conservazione Aruba PEC
Redatto da: Verificato da:
Marco Farina
Project Manager del servizio di conservazione
Adriano Santoni
Resp. della sicurezza dei
sistemi per la conservazione
Data
Verificato da: Roberto Ravazza
Resp. dei sistemi informativi
per la conservazione Data
Verificato da: Salvatore Pulvirenti
Resp. dello sviluppo e della manutenzione del sistema di conservazione
Data
Approvato da: Simone Braccagni
Resp. del servizio di
Conservazione Data
Il documento è :
• REDATTO se provvisto della/e firma/e di redazione,
• VERIFICATO se provvisto anche della firma di verifica,
• APPROVATO se provvisto di tutte le firme
Codice documento: 9035 - 05 - 01
Codice Prog.
N° Doc. Ver- sione
Distribuzione: Pubblica
N°Ver/Rev/Bozza | Data emissione | Modifiche apportate | Osservazioni |
1.0 | 26/11/2014 | Prima versione documento | |
1.1 | 02/02/2016 | Revisione del manuale a seguito della pubblicazio- ne del nuovo schema sul sito istituzionale dell’Agid | |
1.2 | 04/04/2016 | Modifiche su terminologie utilizzate |
Sommario
1 SCOPO E AMBITO DEL DOCUMENTO 6
2 TERMINOLOGIA (GLOSSARIO E ACRONIMI) 7
2.1 Glossario dei termini e Acronimi 7
2.2 Abbreviazioni e termini tecnici 15
3 NORMATIVA E STANDARD DI RIFERIMENTO 18
3.1 Normativa di riferimento 18
3.2 Standard di riferimento 19
4.1 PROFILI PROFESSIONALI ALL’INTERNO DELLA STRUTTURA ORGANIZZATIVA ARUBA 20
5 STRUTTURA ORGANIZZATIVA PER IL SERVIZIO DI CONSERVAZIONE 24
5.2 Strutture organizzative 24
5.3 Responsabilità e funzioni nel processo di conservazione 26
6 OGGETTI SOTTOPOSTI A CONSERVAZIONE 30
6.1 Descrizione delle tipologie dei documenti sottoposti a conservazione 30
6.2 Copie informatiche di documenti analogici originali unici 31
6.3.1 Caratteristiche generali dei formati 32
6.3.2 Formati consigliati per la conservazione 33
6.3.4 Verifica della leggibilità dei documenti informatici 35
6.4 Metadati da associare alle diverse tipologie di documenti 36
6.5 Modalità di assolvimento dell'imposta di bollo sui documenti posti in conservazione 36
6.6 Pacchetto di versamento 37
6.6.1 Specifiche Pacchetto di Versamento 37
6.7 Pacchetto di archiviazione 37
6.7.1 Specifiche Pacchetto di archiviazione 37
6.8 Pacchetto di distribuzione 38
6.9 Documenti rilevanti ai fini delle disposizioni tributarie 38
6.9.1 Modalità di assolvimento dell'imposta di bollo sui DIRT 40
6.10 Trattamento dei pacchetti di archiviazione contenenti documenti rilevanti ai fini delle disposizioni tributarie
................................................................................................................................................................. 40
7 IL PROCESSO DI CONSERVAZIONE 40
7.1 Modalità di acquisizione dei pacchetti di versamento per la loro presa in carico 40
7.1.1 Ricezione dell'indice del pacchetto di versamento 41
7.1.2 Ricezione documenti associati ad un pacchetto di versamento 42
7.2 Verifiche effettuate sui pacchetti di versamento e sugli oggetti in essi contenuti 43
7.3 Accettazione dei pacchetti di versamento e generazione del rapporto di versamento di presa in carico 46
7.3.1 Specifiche rapporto di versamento 46
7.4 Rifiuto dei pacchetti di versamento e modalità di comunicazione delle anomalie 47
7.5 Preparazione e gestione del pacchetto di archiviazione 47
7.5.1 Chiusura anticipata (in corso d’anno) del pacchetto di archiviazione 47
7.6 Preparazione e gestione del pacchetto di distribuzione ai fini dell’esibizione 48
7.6.1 Funzioni svolte alla conclusione del contratto 49
7.7 Produzione di duplicati e copie informatiche e descrizione dell’eventuale intervento del pubblico ufficiale nei casi previsti 49
7.7.1 Produzione di duplicati 49
7.7.3 Intervento del Pubblico Ufficiale 50
7.8 Scarto dei pacchetti di archiviazione 50
7.8.1 Trasferimento dei documenti informatici in conservazione 50
7.8.2 Scarto dei documenti informatici conservati 50
7.9 Predisposizione di misure a garanzia dell'interoperabilità e trasferibilità ad altri conservatori 51
7.10 Tabella riepilogativa delle fasi del processo di conservazione 51
8 IL SISTEMA DI CONSERVAZIONE 54
8.1 Infrastruttura informatica datacenter 54
8.2 Caratteristiche generali della soluzione di conservazione 54
8.4 Componenti tecnologiche 56
8.5.1 Sito Primario (Produzione) 56
8.6 Procedure di gestione e di evoluzione 58
8.6.2 Verifica periodica di conformità a normativa e standard di riferimento 59
9.1 Procedure di monitoraggio 60
9.2 Verifiche sull’integrità degli archivi 60
9.2.1 Pianificazione delle verifiche periodiche da effettuare 61
9.2.2 Mantenimento della firma per il periodo di conservazione 61
9.3 Soluzioni adottate in caso di anomalie 61
10 RIFERIMENTI CONTRATTUALI 61
10.1.2 Elenco dei documenti in conservazione 62
10.2 Modello di funzionamento del servizio 62
10.2.1 Obblighi del Cliente 63
10.2.3 Compiti organizzativi 64
10.2.4 Compiti di manutenzione e controllo 65
10.2.6 Fasi del processo di conservazione e responsabilità 65
12 SICUREZZA DEL SISTEMA DI CONSERVAZIONE 68
12.1 Privacy e requisiti di sicurezza dei dati 68
12.4 Monitoraggio Eventi e Vulnerabilità di Sicurezza 69
12.7 Isolamento delle componenti critiche 70
12.8 Sicurezza fisica datacenter del Gruppo Aruba 70
12.8.1 Sicurezza Fisica Data Center Primario 71
12.8.2 Sicurezza fisica Data Center Secondario 73
12.8.3 Sicurezza organizzativa comune ai due data center 74
12.8.4 Sicurezza Logica dei sistemi e degli apparati 75
12.9 Piano di Disaster Recovery e Continuità operativa 76
12.9.1 Business Impact Analisys (BIA) 76
12.9.3 Classificazione dei Sistemi e delle Risorse 77
12.9.4 Modalità tecniche per la Business Continuity ed il Disaster Recovery 77
13 NORMATIVE IN VIGORE NEI LUOGHI DOVE SONO CONSERVATI I DOCUMENTI 78
14.1 Nullità o inapplicabilità di clausole 78
14.5 Intestazioni e Appendici e Allegati del presente Manuale Operativo 79
14.6 Modifiche del Manuale di conservazione 79
14.7 Violazioni e altri danni materiali 79
1 SCOPO E AMBITO DEL DOCUMENTO
Il presente documento è il Manuale del sistema di conservazione (di seguito per brevità chiamato anche “Ma- nuale”) e illustra dettagliatamente l’organizzazione, i soggetti coinvolti e i ruoli svolti dagli stessi, il modello di funzionamento, la descrizione dei processi, in particolare le modalità di versamento, archiviazione e distribu- zione, la descrizione delle architetture e delle infrastrutture utilizzate, le misure di sicurezza adottate ed ogni altra informazione utile alla gestione e alla verifica del funzionamento, nel tempo, del sistema di conservazione digitale di documenti informatici.
Il Manuale è costituito dalla versione corrente del presente documento. In particolare, nel presente Manuale sono riportati:
a) i dati dei soggetti che nel tempo hanno assunto la responsabilità del servizio di conservazione, descrivendo
in modo puntuale, in caso di affidamento, i soggetti, le funzioni e gli ambiti oggetto dell’affidamento stesso;
b) la struttura organizzativa comprensiva delle funzioni, delle responsabilità e degli obblighi dei diversi soggetti che intervengono nel processo di conservazione;
c) la descrizione delle tipologie dei documenti informatici sottoponibili a conservazione,
d) comprensiva dell’indicazione dei formati gestiti, dei metadati da associare alle diverse tipologie di docu- menti e delle eventuali eccezioni;
e) la descrizione delle modalità di presa in carico di uno o più pacchetti di versamento,
comprensiva della predisposizione del rapporto di versamento e della descrizione dei controlli effettuati su ciascuno specifico formato adottato;
f) la descrizione del processo di conservazione e del trattamento dei pacchetti di archiviazione;
g) la modalità di svolgimento del processo di esibizione e di esportazione dal sistema di conservazione con la produzione del pacchetto di distribuzione;
h) la descrizione del sistema di conservazione, comprensivo di tutte le componenti tecnologiche, fisiche e logi- che, opportunamente documentate e delle procedure di gestione e di evoluzione delle medesime;
i) la descrizione delle procedure di monitoraggio della funzionalità del sistema di conservazione e delle verifi- che sull’integrità degli archivi con l’evidenza delle soluzioni adottate in caso di anomalie;
j) la descrizione delle procedure per la produzione di duplicati o copie;
k) i tempi entro i quali le diverse tipologie di documenti informatici devono essere oggetto di scar- to/cancellazione;
l) le modalità con cui viene richiesta la presenza di un pubblico ufficiale, indicando anche quali sono i casi per i quali è previsto il suo intervento;
m) le normative in vigore nei luoghi dove sono conservati i documenti;
Il Manuale recepisce le disposizioni di cui al D.Lgs. 7 marzo 2005, n. 82, e s.m.i. (Codice dell'amministrazione digitale), di seguito per brevità chiamato anche “Codice” o “CAD”, oltre alle indicazioni riportate nei provvedi- menti di legge o di prassi richiamati nel capitolo “Riferimenti normativi e di prassi” nonché i provvedimenti di natura tecnica richiamati nel capitolo “Riferimenti tecnici”.
Il Cliente è tenuto a leggere con la massima attenzione il presente Manuale predisposto da ARUBA. Il Cliente in qualità di unico Responsabile della conservazione approva e fa propri i contenuti del presente Manuale di con- servazione. Per una più agevole e scorrevole lettura del presente Manuale si raccomanda la consultazione del capitolo dedicato alle definizioni, abbreviazioni e termini tecnici.
2 TERMINOLOGIA (GLOSSARIO E ACRONIMI)
Secondo la normativa vigente e ai fini dell’interpretazione del presente Manuale, i termini e le espressioni sotto elencate avranno il significato descritto nelle definizioni in esso riportate. Qualora le definizioni adottate dalla normativa di riferimento non fossero riportate nell’elenco che segue, si rimanda ai testi in vigore per la loro consultazione.
I termini e le espressioni non definiti avranno il significato loro attribuito all’interno del paragrafo o sezione che li contiene.
Ai fini della fruizione del Servizio di conservazione digitale dei documenti informatici descritto nel presente Manuale, valgono ad ogni effetto anche le definizioni contenute nel Contratto, da intendersi, pertanto, qui in- teramente riportate e trascritte, nonché le seguenti:
2.1 Glossario dei termini e Acronimi
Glossario dei termini e Acronimi | |
AgID | Agenzia per l’Italia Digitale |
Accesso | Operazione che consente a chi ne ha diritto di prendere visione dei documenti informatici conservati |
Accreditamento | Riconoscimento, da parte dell’Agenzia per l’Italia Digita- le, del possesso dei requisiti del livello più elevato, in termini di qualità e sicurezza, ad un soggetto pubblico o privato che svolge attività di conservazione o di certifica- zione del processo di conservazione |
Agente di alterazione | Qualsiasi codice contenuto in un documento informatico potenzialmente idoneo a modificare la rappresentazione dell’informazione senza alterarne il contenuto binario (in via meramente esplificativa e non esaustiva: macro, co- dici eseguibili nascosti, formule di foglio di lavoro occulte in tutto o in parte, sequenze di caratteri occultate all’interno dei documenti informatici) |
Aggregazione documentale informatica | Raccolta di documenti informatici o di fascicoli informa- tici, riuniti per caratteristiche omogenee, in relazione alla natura e alla forma dei documenti o in relazione all’oggetto e alla materia o in relazione alle funzioni dell’ente |
Archivio | Complesso organico di documenti, di fascicoli e di aggre- gazioni documentali di qualunque natura e formato, prodotti o comunque acquisiti da un soggetto produtto- re durante lo svolgimento dell’attività |
Archivio informatico | Archivio intestato dal Cliente al/i Titolare/i nel quale so- no conservati costituito da documenti informatici, fasci- coli informatici nonché aggregazioni documentali infor- matiche gestiti e conservati in ambiente informatico e di cui il/i medesimo/i è/sono giuridicamente responsabile/i |
Area organizzativa omogenea | Un insieme di funzioni e di strutture, individuate dalla amministrazione, che opera su tematiche omogenee e che presenta esigenze di gestione della documentazione in modo unitario e coordinato ai sensi dell’articolo 50, comma 4, del D.P.R. 28 dicembre 2000, n. 445 e s.m.i |
Attestazione di conformità delle copie per imma- gine su supporto informatico di un documento analogico | Dichiarazione rilasciata da notaio o altro pubblico ufficia- le a ciò autorizzato allegata o asseverata al documento informatico |
Autenticità | Caratteristica di un documento informatico che garanti- sce di essere ciò che dichiara di essere, senza aver subito alterazioni o modifiche. L’autenticità può essere valutata analizzando l'identità del sottoscrittore e l'integrità del documento informatico |
Base di dati | Collezione di dati registrati e correlati tra loro |
Certificatore accreditato | Soggetto, pubblico o privato, che svolge attività di certi- ficazione del processo di conservazione al quale sia stato riconosciuto, dell’Agenzia per l’Italia Digitale, il possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza |
Ciclo di gestione | Arco temporale di esistenza del documento informatico, del fascicolo informatico, dell’aggregazione documentale informatica o dell’archivio informatico dalla sua forma- zione alla sua eliminazione o conservazione nel tempo |
Chiusura del pacchetto di archiviazione | Operazione consistente nella sottoscrizione del pacchet- to di archiviazione con firma digitale apposta da un Fir- matario Delegato di ARUBA e apposizione di una valida- zione temporale con marca temporale alla relativa im- pronta |
Classificazione | Attività di organizzazione logica di tutti i documenti se- condo uno schema articolato in voci individuate attra- verso specifici metadati |
Codice o CAD | Decreto legislativo 7 marzo 2005, n. 82 e successive mo- dificazioni e integrazioni |
Codice eseguibile | Insieme di istruzioni o comandi software direttamente elaborabili dai sistemi informatici |
Conservatore accreditato | Soggetto, pubblico o privato, che svolge attività di con- servazione al quale sia stato riconosciuto, dall’Agenzia per l’Italia Digitale o da un certificatore accreditato, il possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza |
Conservazione | Insieme delle attività finalizzate a definire ed attuare le politiche complessive del sistema di conservazione e a governarne la gestione in relazione al modello organizza- tivo adottato e descritto nel Manuale di conservazione |
Contrassegno a stampa | Contrassegno generato elettronicamente, apposto a stampa sulla copia analogica di un documento ammini- strativo informatico per verificarne provenienza e con- formità all’originale |
Coordinatore della Gestione Documentale | Responsabile della definizione di criteri uniformi di clas- sificazione ed archiviazione nonché di comunicazione interna tra le AOO ai sensi di quanto disposto dall’articolo 50 comma 4 del DPR 445/2000 e s.m.i. nei casi di amministrazioni che abbiano istituito più Aree Or- ganizzative Omogenee |
Copia informatica di documento analogico | Il documento informatico avente contenuto identico a quello del documento analogico da cui è tratto |
Copia per immagine su supporto informatico di documento analogico | Il documento informatico avente contenuto e forma identici a quelli del documento analogico da cui è tratto |
Copia informatica di documento informatico | Il documento informatico avente contenuto identico a quello del documento da cui è tratto su supporto infor- matico con diversa sequenza di valori binari |
Copia di sicurezza | Copia di backup degli archivi del sistema di conservazio- ne |
Descrittore evidenze | Vedi pacchetto informativo |
Destinatario | Identifica il soggetto/sistema al quale il documento in- formatico è indirizzato |
DIRT | Documenti informatici rilevanti ai fini delle disposizioni tributarie |
Documento analogico | La rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti |
Documento analogico originale | Documento analogico che può essere unico oppure non unico se, in questo secondo caso, sia possibile risalire al suo contenuto attraverso altre scritture o documenti di cui sia obbligatoria la conservazione, anche se in posses- so di terzi |
Documento originale unico | E’ quel documento analogico il cui contenuto non può essere desunto da altre scritture o documenti di cui sia obbligatoria la tenuta, anche presso terzi e che non sod- disfa, dunque, alcuna delle condizioni elencate nella de- finizione di “Documento analogico originale” |
Documento informatico | La rappresentazione informatica di atti, fatti o dati giuri- dicamente rilevanti |
Duplicato informatico | Il documento informatico ottenuto mediante la memo- rizzazione, sullo stesso supporto o su supporti diversi, della medesima sequenza di valori binari del documento originario |
Duplicazione dei documenti informatici | Produzione di duplicati informatici |
Esibizione | Operazione che consente di visualizzare un documento conservato e di ottenerne copia; |
Estratto per riassunto | Documento nel quale si attestano in maniera sintetica ma esaustiva fatti, stati o qualità desunti da dati o do- cumenti in possesso di soggetti pubblici |
Evidenza informatica | Una sequenza di simboli binari (bit) che può essere ela- borata da una procedura informa-tica; |
Fascicolo informatico | Raccolta, individuata con identificativo univoco, di atti, documenti e dati informatici, da chiunque formati, del procedimento amministrativo, nell’ambito della pubblica amministrazione. Per i soggetti privati è da considerarsi fascicolo informatico ogni aggregazione documentale, comunque formata, funzionale all’erogazione di uno specifico servizio o prestazione |
Firma digitale | Un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crit- tografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al de- stinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'inte- grità di un documento informatico o di un insieme di do- cumenti informatici |
Fruibilità di un dato | La possibilità di utilizzare il dato anche trasferendolo nei sistemi informativi automatizzati di un'altra amministra- zione |
Firmatario delegato | Responsabile del servizio di conservazione o Persona formalmente delegata ad apporre la propria firma digita- le sui Pacchetto di archiviazione per conto di ARUBA; questa persona può essere interna o esterna ad ARUBA, laddove è giuridicamente possibile |
Formato | Modalità di rappresentazione del documento informati- co mediante codifica binaria; comunemente è identifica- to attraverso l’estensione del file e/o il tipo MIME |
Fornitore esterno | Organizzazione che fornisce ad ARUBA servizi relativi al suo sistema di conservazione dei documenti |
Funzionalità aggiuntive | Le ulteriori componenti del sistema di protocollo infor- matico necessarie alla gestione dei flussi documentali, alla conservazione dei documenti nonché alla accessibili- tà delle informazioni |
Funzionalità interoperative | Le componenti del sistema di protocollo informatico fi- nalizzate a rispondere almeno ai requisiti di interconnes- sione di cui all’articolo 60 del D.P.R. 28 dicembre 2000, n. 445 e s.m.i |
Funzionalità minime | La componente del sistema di protocollo informatico che rispetta i requisiti di operazioni ed informazioni minime di cui all’articolo 56 del D.P.R. 28 dicembre 2000, n. 445 e s.m.i. |
Funzione di hash | Una funzione matematica che genera, a partire da una evidenza informatica, una sequenza di bit (impronta) in modo tale che risulti di fatto impossibile, a partire da questa, ricostruire l’evidenza informatica originaria e generare impronte uguali a partire da evidenze informa- tiche differenti |
Generazione automatica di documento informati- co | Formazione di documenti informatici effettuata diretta- mente dal sistema informatico al verificarsi di determi- nate condizioni |
Identificativo univoco | Sequenza di caratteri alfanumerici associata in modo univoco e persistente al documento informatico, al fa- scicolo informatico, all’aggregazione documentale in- formatica, in modo da consentirne l’individuazione |
idPdV | Indice del Pacchetto di Versamento |
Immodificabilità | Caratteristica che rende la rappresentazione del docu- mento informatico non alterabile nella forma e nel con- tenuto durante l’intero ciclo di gestione e ne garantisce la staticità nella conservazione del documento stesso |
Impronta | La sequenza di simboli binari (bit) di lunghezza predefini- ta generata mediante l’applicazione alla prima di una opportuna funzione di hash; |
Insieme minimo di metadati del documento infor- matico | Complesso dei metadati da associare al documento in- formatico per identificarne provenienza e natura e per garantirne la tenuta; |
Integrità | Insieme delle caratteristiche di un documento informati- co che ne dichiarano la qualità di essere completo ed inalterato; |
Interoperabilità | Capacità di un sistema informatico di interagire con altri sistemi informatici analoghi sulla base di requisiti minimi condivisi; |
Leggibilità | Insieme delle caratteristiche in base alle quali le infor- mazioni contenute nei documenti informatici sono frui- bili durante l’intero ciclo di gestione dei documenti; |
Log di sistema | Registrazione cronologica delle operazioni eseguite su di un sistema informatico per finalità di controllo e verifica degli accessi, oppure di registro e tracciatura dei cam- biamenti che le transazioni introducono in una base di dati; |
Manuale di gestione | Strumento che descrive il sistema di gestione informati- ca dei documenti; |
Memorizzazione | Processo di trasposizione su un qualsiasi idoneo suppor- to, attraverso un processo di elaborazione, di documenti analogici o informatici; |
Marca temporale | Evidenza informatica che consente di rendere opponibile a terzi un riferimento temporale; la marca temporale prova l’esistenza in un certo momento di una determina- ta informazione, sotto forma di struttura dati firmata da una Time Stamping Authority; |
Metadati | Insieme di dati associati a un documento informatico, o a un fascicolo informatico, o ad un'aggregazione docu- mentale informatica per identificarlo e descriverne il contesto, il contenuto e la struttura, nonché per permet- terne la gestione nel tempo nel sistema di conservazio- ne; |
Normativa regolante la conservazione digitale di documenti informatici | Si intende: il D.lgs. 7 marzo 2005, n. 82 e s.m.i. (Codice dell’amministrazione Digitale “CAD”) e i relativi decreti attuativi, le regole tecniche e aggiungendo, per il docu- mento informatico a rilevanza tributaria, le disposizioni di cui al DMEF 17 giugno 2014 e s.m.i., il DPR 26 ottobre 1972 n. 633 e s.m.i., il DPR 29 settembre 1973 n. 600 e s.m.i., i provvedimenti interpretativi emessi dagli organi competenti; |
Originali non unici | i documenti per i quali sia possibile risalire al loro conte- nuto attraverso altre scritture o documenti di cui sia ob- bligatoria la conservazione, anche se in possesso di terzi; |
Pacchetto di archiviazione | Pacchetto informativo composto dalla trasformazione di uno o più pacchetti di versamento secondo le specifiche e le modalità riportate nel Manuale di conservazione; |
Pacchetto di distribuzione | Pacchetto informativo inviato dal sistema di conserva- zione all’utente in risposta ad una sua richiesta; |
Pacchetto di invio documenti | Pacchetto informativo utilizzato per inviare i documenti fisici al sistema di conservazione a seguito dell’avvenuta accettazione di un pacchetto di versamento; |
Pacchetto di versamento | Pacchetto informativo inviato dal produttore al sistema di conservazione secondo un formato predefinito e con- cordato descritto nel Manuale di conservazione; |
Pacchetto informativo | Contenitore che racchiude uno o più oggetti da conser- vare (documenti informatici, documenti amministrativi informatici, documenti informatici rilevanti ai fini tribu- tari, fascicoli informatici, aggregazioni documentali in- formatiche), oppure anche i soli metadati riferiti agli og- getti da conservare; |
Piano della sicurezza del sistema di conservazione | Documento che, nel contesto del piano generale di sicu- rezza, descrive e pianifica le attività volte a proteggere il sistema di conservazione dei documenti informatici da possibili rischi nell’ambito dell’organizzazione di appar- tenenza; |
Piano della sicurezza del sistema di gestione in- formatica dei documenti | Documento, che, nel contesto del piano generale di sicu- rezza, descrive e pianifica le attività volte a proteggere il sistema di gestione informatica dei documenti da possi- bili rischi nell’ambito dell’organizzazione di appartenen- za; |
Piano di conservazione | Strumento, integrato con il sistema di classificazione per la definizione dei criteri di organizzazione dell'archivio, di selezione periodica e di conservazione ai sensi dell’articolo 68 del D.P.R. 28 dicembre 2000, n. 445 e s.m.i.; |
Piano generale della sicurezza | Documento per la pianificazione delle attività volte alla realizzazione del sistema di protezione e di tutte le pos- sibili azioni indicate dalla gestione del rischio nell’ambito dell’organizzazione di appartenenza; |
Presa in carico | Accettazione da parte del sistema di conservazione di un pacchetto di versamento in quanto conforme alle moda- lità previste dal Manuale di conservazione; |
Processo di conservazione | Insieme delle attività finalizzate alla conservazione dei documenti informatici; |
Processo/servizio di marcatura temporale | E’ il processo/servizio che associa in modo affidabile un’informazione e un particolare momento, al fine di stabilire prove attendibili che indicano il momento in cui l’informazione esisteva; |
Produttore | E’ il Cliente, di norma diverso dal Titolare, che in proprio o attraverso le persone fisiche da egli stesso incaricate produce il Pacchetto di versamento ed è responsabile del trasferimento del suo contenuto nel sistema di con- servazione; nel caso di Pubblica Amministrazione è iden- tificato nella figura del responsabile della gestione do- cumentale; |
Rapporto di versamento | documento informatico che attesta l'avvenuta presa in carico da parte del sistema di conservazione dei pacchet- ti di versamento inviati dal produttore; |
Registrazione informatica | Insieme delle informazioni risultanti da transazioni in- formatiche o dalla presentazione in via telematica di dati attraverso moduli o formulari resi disponibili in vario modo all’utente; |
Registro particolare | Registro informatico specializzato per tipologia o per og- getto; nell’ambito della pubblica amministrazione è pre- visto ai sensi dell’articolo 53, comma 5 del D.P.R. 28 di- cembre 2000, n. 445 e s.m.i.; |
Registro di protocollo | Registro informatico della corrispondenza in ingresso e in uscita che permette la registrazione e l’identificazione univoca del documento informatico all’atto della sua immissione cronologica nel sistema di gestione informa- tica dei documenti; |
Referente/i del Cliente | E’/sono le persone fisiche che il Cliente indica ad ARUBA quali punti di riferimento tecnico ed organizzativo per gli aspetti che riguardano le comunicazioni relative all’erogazione del servizio di conservazione. |
Repertorio informatico | Registro informatico che raccoglie i dati registrati diret- tamente dalle procedure informatiche che trattano il procedimento, ordinati secondo un criterio che garanti- sce l’identificazione univoca del dato all’atto della sua immissione cronologica; |
Responsabile della gestione documentale o re- sponsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi | Dirigente o funzionario, comunque in possesso di idonei requisiti professionali o di professionalità tecnico archi- vistica, preposto al servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi; |
Responsabile del trattamento dei dati | La persona fisica, la persona giuridica, la pubblica ammi- |
nistrazione e qualsiasi altro ente, associazione od orga- nismo preposti dal titolare al trattamento di dati perso- nali; | |
Responsabile della sicurezza | soggetto al quale compete la definizione delle soluzioni tecniche ed organizzative in attuazione delle disposizioni in materia di sicurezza; |
Riferimento temporale | Informazione contenente la data e l’ora con riferimento al Tempo Universale Coordinato (UTC), della cui apposi- zione è responsabile il soggetto che forma il documento; |
Scarto | Operazione con cui si eliminano, secondo quanto previ- sto dalla normativa vigente, i documenti ritenuti privi di valore amministrativo e di interesse culturale; |
Sistema di classificazione | Strumento che permette di organizzare tutti i documenti secondo un ordinamento logico con riferimento alle fun- zioni e alle attività dell'amministrazione interessata; |
Sistema di conservazione | Insieme di hardware, software, politiche, procedure, li- nee guida, regolamenti interni, infrastrutture fisiche e organizzative, volto ad assicurare la conservazione elet- tronica dei documenti del Cliente per il periodo di tempo specificato nel Contratto. Detto sistema tratta i docu- menti informatici in conservazione in pacchetti informa- tivi che si distinguono in pacchetti di versamento, pac- chetti di archiviazione e pacchetti di distribuzione; |
Sistema di gestione informatica dei documenti | Nell’ambito della pubblica amministrazione è il sistema di cui all'articolo 52 del D.P.R. 28 dicembre 2000, n. 445 e s.m.i.; per i privati è il sistema che consente la tenuta di un documento informatico; |
Staticità | Caratteristica che indica l’assenza di tutti gli elementi dinamici, quali macroistruzioni, riferimenti esterni o co- dici eseguibili, e l’assenza delle informazioni di ausilio alla redazione, quali annotazioni, revisioni, segnalibri, gestite dal prodotto software utilizzato per la redazione; |
Transazione informatica | Particolare evento caratterizzato dall’atomicità, consi- stenza, integrità e persistenza delle modifiche della base di dati; |
Testo unico | decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, e successive modificazioni; |
Titolare/i | La/e persona/e fisica/che o giuridica/che o altro tipo di società o ente che è/sono giuridicamente responsabili/e della formazione dei documenti da conservare formati in proprio ovvero formati da terzi in suo/loro nome, conto e interesse; |
Titolare del trattamento | La/e persona/e fisica/che o giuridica/che o altro tipo di società o ente che è/sono giuridicamente responsabili/e, anche unitamente ad altro titolare, delle decisioni in or- dine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profi- |
lo della sicurezza; | |
Ufficio utente | Riferito ad un area organizzativa omogenea, un ufficio dell’area stessa che utilizza i servizi messi a disposizione dal sistema di protocollo informatico; |
Utente | Persona, ente o sistema che interagisce con i servizi di un sistema di gestione informatica dei documenti e/o di un sistema per la conservazione dei documenti informa- tici, al fine di fruire delle informazioni di interesse; |
Validazione temporale | Il risultato della procedura informatica con cui si attri- buiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi. |
Versamento agli archivi di stato | Operazione con cui il responsabile della conservazione di un’amministrazione statale effettua l'invio agli Archivi di Stato o all’Archivio Centrale dello Stato della documen- tazione destinata ad essere ivi conservata ai sensi della normativa vigente in materia di beni culturali; |
2.2 Abbreviazioni e termini tecnici
Abbreviazioni e termini tecnici | |
Agenzia per L’Italia Digitale (già Di- gitPA) | Ente pubblico non economico, con competenza nel settore delle tec- nologie dell'informazione e della comunicazione nell'ambito della pub- blica amministrazione. L'Ente, che ha ereditato le funzioni di DigitPA che, a sua volta, ha ereditato le funzioni del CNIPA, opera secondo le direttive per l'attuazione delle politiche e sotto la vigilanza del Ministro per la pubblica amministrazione e l'innovazione, con autonomia tecni- ca e funzionale, amministrativa, contabile, finanziaria e patrimoniale; |
ASP - Application Service Provider | Fornitore di Servizi Applicativi; |
CAD | Decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni - “Codice dell'amministrazione digitale”; |
CA - Certificatore Accreditato | Soggetto autorizzato dall’Agenzia per l’Italia Digitale che garantisce l’identità dei soggetti che utilizzano la firma digitale; |
CC - Common Criteria | Criteri per la valutazione della sicurezza nei sistemi informatici, con ri- conoscimento internazionale in quanto evoluzione dei criteri europei (ITSEC), statunitensi (Federal Criteria), e canadesi (Canadian Criteria); |
C.M. - Circolare Ministeriale; | |
CNIPA – Centro Nazionale per l’Informatica nella Pubblica Ammini- strazione | Creato con l’articolo 176 del DL 196/03, il CNIPA ha incorporato le strutture e le funzioni dell’AIPA e del Centro Tecnico della RUPA ed è stato quindi sostituito da DigitPA e quindi dall’AgID - Agenzia per l’Italia Digitale; |
CSCD - contratto di servizio di con- servazione dei documenti | Contratto di servizio di conservazione dei documenti, ove sono esplici- tate chiaramente l’ambito dell’affidamento conferito, le specifiche |
funzioni, le attività e le responsabilità affidate dal Cliente ad ARUBA; | |
D.LGS. - Decreto Legislativo; | |
D.M. - Decreto Ministeriale; | |
DNS – Domain Name System | Sistema di gestione dei nomi simbolici associati ad indirizzi di siti e do- mini Internet. Quando un messaggio di posta elettronica (e-mail), o un applicativo di consultazione di siti internet (browser) punta ad un do- minio, il DNS traduce il nome inserito sotto forma di URL (es. http//www................it)/ in un indirizzo costituito da una sequenza numerica convenzionale (es. 123.123.23.3). |
D.P.C.M. | Decreto del Presidente del Consiglio dei Ministri; |
D.P.R. | Decreto Presidente della Repubblica; |
DPS | Documento Programmatico per la Sicurezza; |
ETSI | European Telecommunications Standards Institute; |
HSM - Hardware Security Module | Dispositivi hardware dedicati per la sicurezza crittografica e la gestione delle chiavi in grado di garantire un elevato livello di protezione; |
HTTP (Hypertext Transfer Protocol) | Protocollo di trasmissione, che permette lo scambio di file (testi, im- magini grafiche, suoni, video e altri documenti multimediali) su World Wide Web; |
HTTPS (Secure Hypertext Transfer Protocol) | Protocollo di trasmissione, sviluppato da Netscape Communications Corporation, per la cifratura e decifratura dei dati trasmessi durante la consultazione di siti e pagine Internet. Corrisponde ad un’estensione del protocollo Internet standard HTTP (Hypertext Transfer Protocol), attraverso il protocollo SSL; |
ICT - Information and Communica- tion Technology | Tecnologia dell'Informazione e delle Telecomunicazioni. Il dipartimen- to che gestisce i sistemi informatici e telematici; |
INTERNET | Un sistema globale di reti informatiche nel quale gli utenti di singoli computer possono ottenere informazioni da luoghi diversi. Lo sua grande diffusione è stata determinata principalmente dall’introduzione dei protocolli di trasmissione di documenti con riferimenti ipertestuali (HTTP) e dallo sviluppo del World Wide Web (WWW); |
ISO – International Organization for Standardization | Organizzazione internazionale per la standardizzazione, costituita da organismi nazionali provenienti da più di 75 paesi. Ha stabilito nume- rosi standard nell’area dei sistemi informativi. L’ANSI (American Natio- nal Standards Institute) è uno dei principali organismi appartenenti all’ISO; |
ITSEC – Information Technology Se- curity Evaluation Criteria | Criteri europei per la valutazione della sicurezza nei sistemi informatici; |
MEF | Ministero dell'Economia e delle Finanze; |
NTP – Network Time Protocol | Protocollo per la sincronizzazione del tempo; |
OID – Object IDentifier | Sequenza numerica univoca che identifica un oggetto (struttura, algo- ritmo, parametro, sistema) nell’ambito di una gerarchia generale defi- nita dall’ISO; |
PdV | Pacchetto di Versamento |
PdA | Pacchetto di Archiviazione |
PdD | Pacchetto di Distribuzione |
PU | Pubblico Ufficiale |
PIN – Personal Identification Num- ber | Codice di sicurezza riservato che permette l’identificazione del sogget- to abbinato ad un dispositivo fisico. Permette ad esempio l’attivazione delle funzioni del dispositivo di firma; |
POP – Point of Presence | Punto di accesso alla rete internet; |
PSCD - Prestatore di Servizi di Con- servazione dei Dati | Nella fattispecie, ARUBA; |
SSL – Secure Socket Layer | Protocollo standard per la gestione di transazioni sicure su Internet, basato sull’utilizzo di algoritmi crittografici a chiave pubblica; |
TSA - Time Stamping Authority; | |
TSS - Time Stamping Service; | |
TUDA - DPR 28 dicembre 2000, n. 445, e successive modificazioni - “Te- sto unico delle disposizioni legislati- ve e regolamentari in materia di do- cumentazione amministrativa”; | |
URL – Uniform Resource Locator | Sistema standard di nomenclatura specificante un sito, dominio o altro oggetto (file, gruppo di discussione, ecc.) su Internet. La prima parte dell’URL (http , ftp, file, telnet, news) specifica il protocollo di accesso all’oggetto; |
XML - Extensible Markup language; | |
WWW – World Wide Web | Insieme di risorse interconnesse da hyperlink accessibili tramite Inter- net |
3 NORMATIVA E STANDARD DI RIFERIMENTO
Il sistema di conservazione digitale di ARUBA, è stato realizzato in conformità alla normativa vigente in materia di conservazione dei documenti informatici. Alla data l’elenco dei principali riferimenti normativi italiani in ma- teria, ordinati secondo il criterio della gerarchia delle fonti, è costituito da:
- Codice Civile [Libro Quinto Del lavoro, Titolo II Del lavoro nell'impresa, Capo III Delle imprese commerciali e delle altre imprese soggette a registrazione, Sezione III Disposizioni particolari per le imprese commerciali, Paragrafo 2 Delle scritture contabili], articolo 2215 bis - Documentazione informatica;
- Legge 7 agosto 1990, n. 241 e s.m.i. – Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi;
- Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 e s.m.i. – Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa;
- Decreto Legislativo 30 giugno 2003, n. 196 e s.m.i. – Codice in materia di protezione dei dati personali;
- Decreto Legislativo 22 gennaio 2004, n. 42 e s.m.i. – Codice dei Beni Culturali e del Paesaggio;
- Decreto Legislativo 7 marzo 2005 n. 82 e s.m.i. – Codice dell'amministrazione digitale (CAD);
- Decreto del Presidente del Consiglio dei Ministri 22 febbraio 2013 – Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma3, lettera b), 35, comma 2, 36, comma 2,
e 71;
- Decreto del Presidente del Consiglio dei Ministri 3 dicembre 2013 - Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44 , 44-bis e 71, comma 1, del Codice dell'amministrazione digitale di cui al decreto legislativo n. 82 del 2005;
- Circolare AGID 10 aprile 2014, n. 65 - Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all'articolo 44-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82.
- Il DPR nr. 1409 del 30 settembre 1963 - (Legge archivistica) all’art. 30 prevede che le cartelle cliniche siano conservate illimitatamente. Secondo le norme vigenti, inoltre, gli originali cartacei delle cartelle cliniche in quanto originali unici, non possono essere distrutti;
- Circolare Ministero della Sanità 19 dicembre 1986, n. 61 - Circolare avente per oggetto il periodo di conservazione della documentazione sanitaria presso le istituzioni sanitarie pubbliche e private di ri- covero e cura
- DM 14.2.1997 - Norma di attuazione del D.lgs n.230/95, “Determinazione delle modalità affinché i do- cumenti radiologici e di medicina nucleare e i resoconti esistenti siano resi tempestivamente disponi- bili per successive esigenze mediche, ai sensi dell'art. 111, comma 10, del decreto legislativo 17 marzo 1995, n. 230”
- D.lgs 26 maggio 2000, n. 187 - Attuazione della direttiva 97/43/Euratom in materia di protezione sani- taria delle persone contro i pericoli delle radiazioni ionizzanti connesse ad esposizioni mediche
- Prontuario di selezione per gli archivi delle aziende sanitarie locali e delle aziende ospedaliere, 2005 Atto di indirizzo che reca indicazioni sui tempi di conservazione dei documenti generati e/o custodita Aziende Sanitarie pubbliche ed accreditate, redatto dal Ministero per i Beni e la Attività Culturali
- Consiglio dei Ministri – Conferenza Stato Regioni 02 Marzo 2012 - Linee Guida per la dematerializza- zione della documentazione clinica in diagnostica per immagini. Normativa e prassi.
Dove non sono indicate una versione e/o una data specifica, si intende fare riferimento alla più recente versione disponibile del documento citato:
- ISO 14721:2012 OAIS (Open Archival Information System), Sistema informativo aperto per l’archiviazione;
- ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems – Requirements, Requisiti di un ISMS (Information Security Management System);
- ETSI TS 101 533-1 V1.3.1 (2012-04) Technical Specification, Electronic Signatures and Infrastructures (ESI); Information Preservation Systems Security; Part 1: Requirements for Implementation and Management, Requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni;
- ETSI TR 101 533-2 V1.3.1 (2012-04)Technical Report, Electronic Signatures and Infrastructures (ESI); Information Preservation Systems Security; Part 2: Guidelines for Assessors, Linee guida per valutare sistemi sicuri e affidabili per la conservazione elettronica delle informazioni;
- UNI 11386:2010 Standard SInCRO - Supporto all'Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali;
- ISO 15836:2009 Information and documentation - The Dublin Core metadata element set, Sistema di metadata del Dublin Core.
- Dicom 3.0 (Digital Imaging and COmmunications in Medicine, immagini e comunicazione digitali in medicina)
- Health Level 7 (HL7) versione 2.3.1 e 2.5
- Integrating the Healthcare Enterprise (IHE)
4 RUOLI E RESPONSABILITÀ
Nel sistema di conservazione si individuano i seguenti ruoli principali:
Ruolo | Organizzazione di appartenenza |
Produttore | Cliente |
Responsabile della conservazione | Cliente |
Referenti del Cliente | Cliente |
Responsabile del servizio di conservazione | ARUBA |
Utente | Cliente/Terzi autorizzati |
ARUBA, quale Responsabile del servizio di conservazione digitale dei documenti informatici del Cliente, agisce nei limiti dell’affidamento conferito e nell’osservanza degli obblighi ivi previsti nonché nel rispetto della norma- tiva regolante la conservazione digitale di documenti informatici e delle presenti prescrizioni; in particolare, es-
sa agirà attraverso persone fisiche dalla stessa formalmente incaricate.
L’attività di ARUBA riguarda la sola conservazione digitale dei documenti informatici del Cliente, senza alcuna responsabilità e possibilità di intervento ed accesso al contenuto degli stessi.
A carico del Responsabile del servizio di conservazione, non è posto alcun obbligo/dovere di elaborare i docu- menti informatici versati in conservazione al fine di estrarre i relativi metadati che, pertanto, dovranno essere forniti e associati ai rispettivi documenti a cura e carico del Cliente.
Il Responsabile del servizio di conservazione opera altresì nell’osservanza di quanto stabilito nel presente Ma- nuale, al quale, se necessario, è sin da ora autorizzato ad apportare le modifiche, le integrazioni e gli aggiorna- menti ritenuti necessari e/o conseguenti al mutato contesto tecnico-giuridico della normativa in materia.
L’utente è il soggetto che richiede al sistema di conservazione l’accesso ai documenti per acquisire le informa- zioni di interesse nei limiti previsti dalla legge. Tali informazioni vengono fornite dal sistema di conservazione secondo le modalità previste nel presente Manuale.
Come già anticipato, il processo di conservazione impone al Cliente l’istituzione di una struttura ed una organiz- zazione interna, coerente con le proprie politiche di efficienza gestionale, che garantisca la piena osservanza alle disposizioni normative di riferimento e di quanto previsto dal presente Manuale, dal Contratto e dai rispet- tivi allegati.
A tale scopo, in base alle specifiche necessità, il Cliente deve, sia dal punto di vista dell’impostazione operativa delle attività propedeutiche alla conservazione digitale dei propri documenti informatici sia dal punto di vista della scelta delle risorse coinvolte nel processo, organizzare il lavoro all’interno della propria organizzazione af- finché esso venga svolto secondo i principi stabiliti dalla normativa in materia nonché dalle specifiche regole tecniche.
Tutto il personale di ARUBA è stato assunto nel rispetto di politiche rigorose volte ad accertarne, tra l’altro, l’alto grado di professionalità nonché i requisiti morali e di onorabilità.
4.1 Profili professionali all’interno della struttura organizzativa ARUBA
Qui di seguito si da conto della struttura organizzativa del processo di conservazione adottato evidenziando, nel contempo, le funzioni, le responsabilità e gli obblighi dei diversi soggetti che intervengono nel suddetto proces- so. Il processo di conservazione prevede una serie di attività che implicano il concorso di numerosi soggetti, a differenti livelli e con diverse responsabilità.
Qui di seguito vengono dettagliate per singola attività i diversi compiti e responsabilità delle figure preposte alla gestione e controllo del sistema di conservazione.
Il processo di conservazione, prevede, le seguenti figure responsabili :
1. Responsabile del servizio di conservazione;
2. Responsabile della funzione archivistica di conservazione;
3. Responsabile esterno del trattamento dei dati personali;
4. Responsabile della sicurezza dei sistemi per la conservazione;
5. Responsabile dei sistemi informativi per la conservazione;
6. Responsabile dello sviluppo e della manutenzione del sistema di conservazione Qui di seguito si riportano le attività associate a ciascuna delle figure sopra elencate:
1. Responsabile del servizio di conservazione
Le attività affidate dal Responsabile della conservazione con l’Atto di Affidamento.
2. Responsabile della funzione archivistica di conservazione
Definizione e gestione del processo di conservazione, incluse le modalità di trasferimento da parte del Cliente, di acquisizione, verifica di integrità e descrizione archivistica dei documenti e delle aggrega- zioni documentali trasferiti, di esibizione, di accesso e fruizione del patrimonio documentario e infor- mativo conservato; definizione del set di metadati di conservazione dei documenti e dei fascicoli in- formatici; monitoraggio del processo di conservazione e analisi archivistica per lo sviluppo di nuove funzionalità del sistema di conservazione; collaborazione col Cliente ai fini del trasferimento in conser- vazione, della selezione e della gestione dei rapporti con il Ministero dei beni e delle attività culturali per quanto di competenza.
3. Responsabile del trattamento dei dati personali
Garanzia del rispetto delle vigenti disposizioni in materia di trattamento dei dati personali; garanzia che il trattamento dei dati affidati dai Clienti avverrà nel rispetto delle istruzioni impartite dal titolare del trattamento dei dati personali, con garanzia di sicurezza e di riservatezza.
4. Responsabile della sicurezza dei sistemi per la conservazione
Rispetto e monitoraggio dei requisiti di sicurezza del sistema di conservazione stabiliti dagli standard, dalle normative e dalle politiche e procedure interne di sicurezza; segnalazione delle eventuali diffor- mità al Responsabile del servizio di conservazione e individuazione e pianificazione delle necessarie azioni correttive.
5. Responsabile dei sistemi informativi per la conservazione
Gestione dell’esercizio delle componenti hardware e software del sistema di conservazione; monito- raggio del mantenimento dei livelli di servizio (SLA) concordati con il fornitore e segnalazione delle eventuali difformità degli SLA al Responsabile del servizio di conservazione e individuazione e pianifi- cazione delle necessarie azioni correttive; pianificazione dello sviluppo delle infrastrutture tecnologi- che del sistema di conservazione; controllo e verifica dei livelli di servizio erogati da terzi con segnala- zione delle eventuali difformità al Responsabile del servizio di conservazione.
6. Responsabile dello sviluppo e della manutenzione del sistema di conservazione
Coordinamento dello sviluppo e manutenzione delle componenti hardware e software del sistema di conservazione; pianificazione e monitoraggio dei progetti di sviluppo del sistema di conservazione; monitoraggio degli SLA relativi alla manutenzione del sistema di conservazione; interfaccia col Cliente relativamente alle modalità di trasferimento dei documenti e fascicoli informatici in merito ai formati elettronici da utilizzare, all’evoluzione tecnologica hardware e software, alle eventuali migrazioni ver- so nuove piattaforme tecnologiche; gestione dello sviluppo di siti web e portali connessi al servizio di conservazione.
Ciascuno dei responsabili sopra elencati può avvalersi, per lo svolgimento delle attività al medesimo attribuite, di addetti ed operatori formalmente incaricati.
Nella pagina seguente sono riportati i dati dei soggetti che nel tempo hanno assunto particolari funzioni e re- sponsabilità con riferimento al sistema di conservazione.
Ruoli e responsabilità | |||||
Cognome | Nome | Ruolo | Responsabilità | Data nomina (gg/mm/aaaa) | Data cessazione (gg/mm/aaaa) |
Braccagni | Simone | Responsabile del servizio di conservazione | Definizione e attuazione delle politiche complessive del sistema di conservazione, nonché del governo della gestione del sistema di conservazione; definizione delle caratteristiche e dei requisiti del sistema di conservazione in conformità alla normativa vigente; corretta erogazione del servizio di conservazione al Cliente; gestione delle convenzioni, definizione degli aspetti tecnico-operativi e validazione dei disciplinari tecnici che specificano gli aspetti di dettaglio e le modalità operative di erogazione dei servizi di conservazione. | 01/09/2014 | |
Boschi | Serena | Responsabile della funzione archivistica di conservazione | Definizione e gestione del processo di conservazione, incluse le modalità di trasferimento da parte del Cliente, di acquisizione, verifica di integrità e descrizione archivistica dei documenti e delle aggregazioni documentali trasferiti, di esibizione, di accesso e fruizione del patrimonio documentario e informativo conservato; definizione del set di metadati di conservazione dei documenti e dei fascicoli informatici; monitoraggio del processo di conservazione e analisi archivistica per lo sviluppo di nuove funzionalità del sistema di conservazione; collaborazione col Cliente ai fini del trasferimento in conservazione, della selezione e della gestione dei rapporti con il Ministero dei beni e delle attività culturali per quanto di competenza. | 01/09/2014 | |
Braccagni | Simone | Responsabile del trattamento dei dati personali | Garanzia del rispetto delle vigenti disposizioni in materia di trattamento dei dati personali; garanzia che il trattamento dei dati affidati dai Clienti avverrà nel rispetto delle istruzioni impartite dal titolare del trattamento dei dati personali, con garanzia di sicurezza e di riservatezza. | 01/09/2014 | |
Santoni | Adriano | Responsabile della sicurezza dei sistemi per la conservazione | Rispetto e monitoraggio dei requisiti di sicurezza del sistema di conservazione stabiliti dagli standard, dalle normative e dalle politiche e procedure interne di sicurezza; segnalazione delle eventuali difformità al Responsabile del servizio di conservazione e individuazione e pianificazione delle necessarie azioni correttive. | 01/09/2014 | |
Ravazza | Roberto | Responsabile dei sistemi informativi per la conservazione | Gestione dell’esercizio delle componenti hardware e software del sistema di conservazione; monitoraggio del mantenimento dei livelli di servizio (SLA) concordati con il fornitore; segnalazione delle eventuali difformità degli SLA al Responsabile del servizio di conservazione e individuazione e pianificazione delle necessarie azioni correttive; pianificazione dello sviluppo delle infrastrutture tecnologiche del sistema di conservazione; controllo e verifica dei livelli di servizio erogati da terzi con segnalazione delle eventuali difformità al Responsabile del servizio di conservazione. | 01/09/2014 | |
Pulvirenti | Salvatore | Responsabile dello sviluppo e della manutenzione del sistema di conservazione | Coordinamento dello sviluppo e manutenzione delle componenti hardware e software del sistema di conservazione; pianificazione e monitoraggio dei progetti di sviluppo del sistema di conservazione; monitoraggio degli SLA relativi alla manutenzione del sistema di conservazione; interfaccia col Cliente relativamente alle modalità di trasferimento dei documenti e fascicoli informatici in merito ai formati elettronici da utilizzare, all’evoluzione tecnologica hardware e software, alle eventuali migrazioni verso nuove piattaforme tecnologiche; gestione dello sviluppo di siti web e portali connessi al servizio di conservazione. | 01/09/2014 |
5 STRUTTURA ORGANIZZATIVA PER IL SERVIZIO DI CONSERVAZIONE
In questo capitolo sono indicate le strutture organizzative coinvolte nel servizio di conservazione comprese le responsabilità, che intervengono nelle principali funzioni che riguardano il servizio di conservazione
La figura in basso riporta le strutture organizzative coinvolte nel servizio di conservazione:
Figura 1: Rappresentazione delle strutture organizzative coinvolte nel servizio di conservazione
Nello specifico le strutture funzionali dell’organizzazione operano in sinergia come segue:
- Direzione
✓ la Direzione Aziendale garantisce la continuità generale dell’organizzazione
- Comitato di Qualità
✓ garantisce la qualità operativa dei servizi ed il miglioramento di processi/procedure
- E-Security
✓ rappresenta la Business Line che si occupa dei servizi e soluzioni di sicurezza in ambito digitale
- Ufficio legale
✓ garantisce la verifica periodica di conformità a normativa e standard di riferimento
- Area Commerciale
✓ promuove il servizio di conservazione ai clienti
✓ fornisce il supporto ai clienti in fase di prevendita (pre-sales)
✓ partecipa attivamente al miglioramento dei servizi erogati in termini di definizione dell’offerta
- Comitato di Crisi
✓ garantisce la continuità operativa dei servizi e le politiche di disaster recovery
- Infrastruttura
✓ garantisce la sicurezza degli accessi logici e fisici, predisponendo appositi asset nel perimetro del data center
✓ garantisce la sicurezza dell’infrastruttura tramite sistemi dedicati (video-sorveglianza, anti- intrusione, anti-incendio, etc)
✓ designa, gestisce e provvede alla manutenzione delle aree sicure
- Sviluppo
✓ fornisce know-how e supporto per lo sviluppo dei sistemi informativi
✓ provvede alla progettazione di nuovi servizi e fornisce supporto per la manutenzione dei servizi attivi
✓ si occupa dello studio di fattibilità per l’implementazione di nuovi servizi
✓ fornisce interventi di analisi ed attività di assistenza nella fase di pre-vendita dei servizi
- Servizio di Conservazione
✓ garantisce la gestione degli asset (hardware e software), occupandosi dell’intero processo di sup- ply-chain del servizio di conservazione
✓ provvede alla gestione delle informazioni, per l’intero ciclo di vita (dalla classificazione, al monito- raggio del sistema, fino alla protezione dei log)
✓ si occupa della manutenzione ed assistenza, a garanzia della continuità operativa del servizio di conservazione
✓ garantisce l’esecuzione del processo di conservazione in conformità ai requisiti tecnici normativi
✓ provvede alla gestione operativa degli accessi logici e fisici, seguendo apposite procedure e man- tenendo aggiornata la documentazione
✓ garantisce l’attivazione e consegna dei servizi ai clienti, rispettando KPI e SLA concordati
- Customer Care
✓ provvede all’assistenza tecnica rivolta ai clienti proprietari dei servizi
✓ fornisce il supporto operativo sui servizi dei clienti
✓ partecipa al miglioramento dei processi di comunicazione verso i clienti
5.3 Responsabilità e funzioni nel processo di conservazione
Di seguito sono indicati i compiti, le responsabilità e le funzioni di firma in relazione alle diverse fasi del processo di conservazione digitale.
Fasi del processo | Descrizione delle fasi del processo di conservazione | COMPITI | RESPONSABILITA’ | FIRMA | |
FASE 1 | Acquisizione da parte del sistema di conservazione del pacchetto di versamento per la sua presa in carico | ||||
Descrizione sintetica | Il sistema di conservazione riceve l’indice del pacchetto di versamento contenente le informazioni sugli oggetti digitali che saranno inviati in conservazione. | SC | RMGO | == | |
FASE 2 | Verifica che il pacchetto di versamento e gli oggetti contenuti siano coerenti con le modalità previste nel presente Manuale di conservazione e con i formati di conservazione | ||||
Descrizione sintetica | Viene verificato che l'oggetto ricevuto sia formalmente un indice xml in linea con lo standard DocFly. Viene verificato che il PdV è versato nei termini contrattuali e di servizio stabiliti col produttore | SC | RMGO | == | |
FASE 3 | Preparazione del rapporto di conferma | ||||
Descrizione sintetica | Il sistema, una volta effettuate le verifiche dell’idPdV rimane in attesa dell’invio dei documenti | SC | RMGO | == | |
FASE 4 | Eventuale rifiuto del pacchetto di versamento, nel caso in cui le verifiche di cui alla FASE 2 abbiano evidenziato anomalie e/o non conformità | ||||
Descrizione sintetica | Il sistema scarta l'intero pacchetto e invia notifica in automatico | SC | RMGO | == | |
FASE 5 | Ricezione e verifica dei documenti | ||||
Descrizione sintetica | Per ognuno di documenti inviati viene verificato che l'hash del docu- mento informatico sia corrispondente all'hash dichiarato all'interno del medesimo indice del pacchetto al fine di avere garanzia che la trasmis- sione del pacchetto sia avvenuta correttamente e che l’integrità del do- cumento informatico ricevuto sia assicurata. Vengono inoltre effettuati controlli di leggibilità, integrità e che i documenti non siano già presenti a sistema | SC | RMGO | == | |
FASE 7 | Generazione automatica del rapporto di versamento relativo a ciascun pacchetto di versamento, univocamente identificato dal sistema di con- servazione e contenente un riferimento temporale, specificato con riferimento al Tempo Universale Coordinato (UTC), e una o più impronte, cal- colate sull’intero contenuto del pacchetto di versamento, secondo le modalità di seguito descritte | ||||
Descrizione sintetica | Il sistema genera in automatico il rapporto di versamento per ognuno dei PdV che ha superato i controlli qualitativi | SC | RMGO | == | |
FASE 8 | Sottoscrizione del rapporto di versamento con firma digitale apposta da ARUBA | ||||
Descrizione sintetica | Il sistema provvede in automatico alla sottoscrizione digitale del rappor- to di versamento con certificato del RSC e alla marcatura temporale del rapporto. | SC | RMGO | RSC | |
FASE 9 | Preparazione e gestione del pacchetto di archiviazione (c.d. Pacchetto di archiviazione) | ||||
Descrizione sintetica | Il sistema genera il pacchetto di archiviazione secondo le modalità de- scritte al cap. 7 | SC | RMGO | == | |
FASE 10 | Sottoscrizione del pacchetto di archiviazione con firma digitale apposta da ARUBA e apposizione di una validazione temporale con marca tempo- rale alla relativa impronta. Tale operazione viene in breve chiamata anche “Chiusura del pacchetto di archiviazione” | ||||
Descrizione sintetica | Come previsto da normativa l’indice del pacchetto di archiviazione, vie- ne sottoscritto digitalmente dal RSC, una volta passato nello stato “conservato”. | SC | RMGO | RSC | |
FASE 11 | Preparazione e sottoscrizione con firma digitale del Responsabile del servizio di conservazione del pacchetto di distribuzione ai fini dell’esibizione richiesta dall’utente | ||||
Descrizione sintetica | Come previsto da normativa il PdD viene sottoscritto digitalmente dal RSC | SC | RER | RSC | |
FASE 12 | Produzione di duplicati informatici o di copie informatiche effettuati su richiesta del Cliente in conformità a quanto previsto dalle regole tecniche in materia di formazione del documento informatico | ||||
Descrizione sintetica | Richieste di duplicati o copie informatiche vengono sottoscritte digital- mente dal RSC in modo da attestarne l’autenticità rispetto al documen- to sorgente | SC | RER | RSC | |
FASE 13 | Eventuale scarto del pacchetto di archiviazione dal sistema di conservazione alla scadenza dei termini di conservazione previsti dal contratto di servizio, dandone preventiva informativa al Cliente al fine di raccoglierne il consenso | ||||
Descrizione sintetica | Una volta scaduti i termini di conservazione previsti dal contratto, il sistema provvede a inviare una mail di notifica al client, il quale potrà decidere in auto- nomia se cancellarli dal sistema. | SC | RCD RP | == | |
Legenda: - RMGO - responsabile del monitoraggio della gestione ordinaria del sistema e dei processi di base di conservazione - RER - responsabile dell’esibizione/restituzione dei documenti informatici conservati - RIS - responsabile dell’infrastruttura sistemistica, del piano di Disaster Recovery / Piano di continuità operativa (Business Continuity Plan) e della sicurezza - RCD - responsabile della cancellazione dei documenti e dei dati digitali | |||||
- RP - responsabile privacy
- RAC - responsabile dell’assistenza cliente
- RSC - Responsabile del servizio di conservazione
- SC - Sistema di conservazione
6 OGGETTI SOTTOPOSTI A CONSERVAZIONE
6.1 Descrizione delle tipologie dei documenti sottoposti a conservazione
Come chiaramente esplicitato nel Contratto, il servizio di conservazione digitale dei documenti informatici non riguarda la conservazione di documenti analogici di alcun tipo e genere.
Prima dell’attivazione del servizio il Cliente esplicita la tipologia di documenti che intende sottoporre a conser- vazione mediante il servizio offerto da ARUBA, evidenziandone le caratteristiche nell’apposito allegato del Con- tratto.
Per ogni formato definito viene individuato anche il software necessario per la visualizzazione del documento informatico.
ARUBA configura sul servizio un profilo di conservazione per ogni tipologia/classe di documenti su indicazione del Cliente, classificato come omogeneo in base ai dati da utilizzare per l’indicizzazione ed i termini di conserva- zione (vedi apposito allegato al Contratto).
Ogni variazione di formato di documento e di software associato per la visualizzazione oppure dei dati utilizzati per l’indicizzazione deve essere preventivamente concordato con ARUBA e configurato sul servizio.
Il sistema di conservazione digitale è impostato per accettare le seguenti tipologie di documento:
- documenti informatici sono la “rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” come definito dal Codice dell’Amministrazione Digitale;
- documenti amministrativi costituenti atti amministrativi con rilevanza interna al procedimento amministrativo;
- documenti rilevanti ai fini tributari come stabilito nel DM del MEF del 17 giugno 2014;
- documenti clinici che possono contenere informazioni su osservazioni cliniche dirette, quali rivelazioni di anamnesi, segni vitali o sintomi, osservazioni indirette, derivanti, ad esempio da diagnostica strumentale, esami di laboratorio o rappresentazione iconografica di resoconti radiologici, oppure opinioni mediche quali valutazioni di osservazioni cliniche, consulti e consulenze, obiettivi da raggiungere o piani diagnostico terapeutici, azioni di natura clinico-sanitaria atte a generare osservazioni cliniche ed opinioni mediche;
- altri documenti in genere
Le diverse tipologie di documenti sono prodotti/formati/emessi a cura e sotto l’esclusiva responsabilità del Cliente mediante una delle seguenti principali modalità:
a) redazione tramite l’utilizzo di appositi strumenti software;
b) acquisizione di un documento informatico per via telematica o su supporto informatico, acquisizione della copia per immagine su supporto informatico di un documento analogico, acquisizione della copia informatica di un documento analogico;
c) registrazione informatica delle informazioni risultanti da transazioni o processi informatici o dalla presentazione telematica di dati attraverso moduli o formulari;
d) generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni, provenienti da una o più basi dati, anche appartenenti a più soggetti interoperanti, secondo una struttura logica predeterminata e memorizzata in forma statica.
Al fine di garantire l'identificazione certa del soggetto che ha formato il documento, i documenti informatici posti in conservazione saranno in genere sottoscritti con firma digitale del Cliente e dovranno essere identificati in modo univoco e persistente.
E’ prevista la possibilità di depositare in conservazione documenti informatici non sottoscritti. In tal caso deve necessariamente essere preventivamente dichiarata, per ogni classe/tipo di documento, nell’apposito allegato del Contratto.
6.2 Copie informatiche di documenti analogici originali unici
Come noto, l’art. 22 del CAD stabilisce che:
a) (comma 2) le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico hanno la stessa efficacia probatoria degli originali da cui sono estratte, se la loro conformità è attestata da un notaio o da altro pubblico ufficiale a ciò autorizzato, con dichiarazione allegata al documento informatico e asseverata secondo le regole tecniche stabilite ai sensi dell'articolo 71.
b) (comma 3) le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico nel rispetto delle regole tecniche di cui all’articolo 71 hanno la stessa efficacia probatoria degli originali da cui sono tratte se la loro conformità all’originale non è espressamente disconosciuta.
Pertanto, alla luce di quanto sopra, il Cliente qualora intendesse depositare in conservazione copie per imma- gine su supporto informatico di documenti originali formati in origine su supporto analogico è tenuto, a propria cura e spese, a predisporre quanto necessario per ottemperare a quanto previsto dalle richiamate disposizioni.
In particolare, sarà cura e carico del Cliente:
a) produrre la copia per immagine su supporto informatico del documento analogico mediante processi e strumenti che assicurino che il documento informatico abbia contenuto e forma identici a quelli del documento analogico da cui è tratto;
successivamente:
b) (ai fini di quanto stabilito dall’articolo 22, co. 3, del CAD), dovrà sottoscrivere con firma digitale la copia per immagine del documento analogico;
oppure
c) laddove richiesto dalla natura dell’attività, (art. 22, comma 2, del CAD), dovrà inserire nel documento informatico contenente la copia per immagine, l’attestazione di conformità all’originale analogico. Il documento informatico così formato dovrà poi essere sottoscritto con firma digitale del notaio o con firma digitale o firma elettronica qualificata di pubblico ufficiale a ciò autorizzato.
Si tenga presente che l’attestazione di conformità delle copie per immagine su supporto informatico di uno o più documenti analogici, effettuata per raffronto dei documenti o attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza della forma e del contenuto dell’originale e della copia, può essere prodotta, sempre a cura e carico del Cliente, come documento informatico separato contenente un riferimento temporale e l’impronta di ogni copia per immagine. Tale documento informatico separato dovrà essere sottoscritto con firma digitale del notaio o con firma digitale o firma elettronica qualifi- cata del pubblico ufficiale a ciò autorizzato.
In sostanza, in questi casi il Cliente dovrà alternativamente depositare in conservazione:
- la copia per immagine su supporto informatico dell’originale analogico contenente l’attestazione di conformità all’originale analogico debitamente sottoscritto come sopra riportato;
oppure
- le copie per immagine su supporto informatico unitamente all’attestazione di conformità prodotta come documento informatico separato contenente un riferimento temporale e l’impronta di ogni singola copia per immagine, debitamente sottoscritto come sopra riportato.
Come noto, la leggibilità di un documento informatico dipende dalla possibilità e dalla capacità di interpretare ed elaborare correttamente i dati binari che costituiscono il documento, secondo le regole stabilite dal formato con cui esso è stato rappresentato. Il formato di un documento informatico è la convenzione usata per rappre- sentare il contenuto informativo mediante una sequenza di byte.
Il sistema di conservazione ARUBA garantisce la conservazione dei documenti prodotti nei formati previsti dall’allegato 2 “Formati” del DPCM 03-12-2013.
I formati ammessi alla conservazione, devono essere specificati dal Cliente prima del versamento in conserva- zione e per tale ragione vengono esplicitati all’interno di uno specifico allegato, facente parte del Contratto di servizio stipulato con ARUBA (come descritto al par 10.1.2).
6.3.1 Caratteristiche generali dei formati
I formati scelti devono essere, puntualmente richiamati nell’apposito allegato al Contratto. ARUBA, comunque raccomanda un insieme di formati che sono stati dalla stessa valutati in funzione di alcune caratteristiche quali:
caratteristica | descrizione della caratteristica | |
1 | APERTURA | Un formato si dice “aperto” quando è conforme a specifiche pubbliche, cioè disponibili a chiun- que abbia interesse ad utilizzare quel formato. La disponibilità delle specifiche del formato ren- de sempre possibile la decodifica dei documenti rappresentati in conformità con dette specifi- che, anche in assenza di prodotti che effettuino tale operazione automaticamente. Questa condizione si verifica sia quando il formato è documentato e pubblicato da un produtto- re o da un consorzio al fine di promuoverne l’adozione, sia quando il documento è conforme a formati definiti da organismi di standardizzazione riconosciuti. In quest’ultimo caso tuttavia si confida che quest’ultimi garantiscono l’adeguatezza e la completezza delle specifiche stesse. In relazione a questo aspetto, ARUBA ha privilegiato formati già approvati dagli Organismi di standardizzazione internazionali quali ISO e OASIS. |
2 | SICUREZZA | La sicurezza di un formato dipende da due elementi: - il grado di modificabilità del contenuto del file; - la capacità di essere immune dall’inserimento di codice maligno. |
3 | PORTABILITÀ | Per portabilità si intende la facilità con cui i formati possano essere usati su piattaforme diver- se, sia dal punto di vista dell’hardware che del software, inteso come sistema operativo. Di fat- to si ottiene mediante l’impiego fedele di standard documentati e accessibili e dalla loro diffu- sione sul mercato. |
4 | FUNZIONALITÀ | Per funzionalità si intende la possibilità da parte di un formato di essere gestito da prodotti in- formatici, che prevedono una varietà di funzioni messe a disposizione del Cliente per la forma- zione e gestione del documento informatico. |
5 | SUPPORTO AL- LO SVILUPPO | Il supporto allo sviluppo è la modalità con cui si mettono a disposizione le risorse necessarie alla manutenzione e sviluppo del formato e i prodotti informatici che lo gestiscono (organismi pre- posti alla definizione di specifiche tecniche e standard, società, comunità di sviluppatori, ecc.). |
6 | DIFFUSIONE | La diffusione è l’estensione dell’impiego di uno specifico formato per la formazione e la gestio- ne dei documenti informatici. Questo elemento influisce sulla probabilità che esso venga sup- portato nel tempo, attraverso la disponibilità di più prodotti informatici idonei alla sua gestione e visualizzazione. |
6.3.2 Formati consigliati per la conservazione
Oltre al soddisfacimento delle caratteristiche suddette, nella scelta dei formati idonei alla conservazione, ARU- BA è stata estremamente attenta affinché i formati stessi fossero capaci a far assumere al documento le fon- damentali caratteristiche di immodificabilità e staticità.
Pertanto, alla luce delle suddette considerazioni, i formati consigliati da ARUBA per la conservazione delle di- verse tipologie di documenti informatici sono le seguenti:
Formato | Descrizione | |
PDF/A | Il PDF (Portable Document Format) è un formato creato da Adobe nel 1993 che attualmente si basa sullo standard ISO 32000. Questo formato è stato concepito per rappresentare documenti complessi in modo indipendente dalle caratteristiche dell’ambiente di elaborazione del documento. Il formato è stato ampliato in una serie di sotto-formati tra cui il PDF/A. | |
Caratteristiche e dati informativi | ||
Informazioni gestibili | testo formattato, immagini, grafica vettoriale 2D e 3D, filmati. | |
Sviluppato da | ||
Estensione | ||
Tipo MIME | Application/pdf | |
Formato aperto | SI | |
Specifiche tecniche | Pubbliche | |
Standard | ISO 19005-1:2005 (vesr. PDF 1.4) | |
Altre caratteristiche | assenza di collegamenti esterni | |
assenza di codici eseguibili | ||
assenza di contenuti crittografati | ||
il file risulta indipendente da codici e collegamenti esterni che ne pos- sono alterare l'integrità e l'uniformità nel lungo periodo | ||
Le più diffuse suite d’ufficio permettono di salvare direttamente i file nel formato PDF/A | ||
Sono disponibili prodotti per la verifica della conformità di un docu- mento PDF al formato PDF/A. | ||
Software necessario alla visua- lizzazione | Adobe Reader | |
Formato | Descrizione | |
XML | Extensible Markup Language (XML) è un formato di testo flessibile derivato da SGML (ISO 8879). Su XML si basano numerosi linguaggi standard utilizzati nei più diversi ambiti applicativi. Ad esempio: SVG usato nella descrizione di immagini vettoriali, XBRL usato nella comunicazione di dati finanziari, ebXML usato nel commercio elettronico, SOAP utilizzato nello scambio dei messaggi tra Web Service | |
Caratteristiche e dati informativi | ||
Informazioni gestibili | Contenuto di evidenze informatiche, dei pacchetti di versamento, ar- chiviazione e distribuzione, ecc. | |
Sviluppato da | ||
Estensione | .xml | |
Tipo MIME | Application/xml | |
Text/xml | ||
Formato aperto | SI | |
Specifiche tecniche | ||
Altre caratteristiche | è un formato di testo flessibile derivato da SGML (ISO 8879). | |
Software necessario alla visualizzazioneQualsiasi editor di testo. Inoltre è possibile, concordando con il Cliente le caratteristiche di un opportuno file xslt, produrne una copia human readable con Microsoft Internet Explorer / Firefox / Google Chrome o altri browser | ||
Formato | Descrizione | |
EML | Electronic Mail Message (EML) è un formato di testo che definisce la sintassi di messaggi di posta elet- tronica scambiati tra utenti | |
Caratteristiche e dati informativi | ||
Informazioni gestibili | Messaggi di posta elettronica e PEC | |
Sviluppato da | Internet Engineering Task Force (IETF) - http://www.ietf.org/ | |
Estensione | .eml | |
Tipo MIME | Message/rfc2822 | |
Formato aperto | SI | |
Specifiche tecniche | ||
Altre caratteristiche | è un formato di testo flessibile derivato da SGML (ISO 8879). | |
Software necessario alla vi- sualizzazione | La maggior parte dei client di posta elettronica supportano la visualiz- zazione di file eml | |
Per quanto concerne il formato degli allegati al messaggio di posta elettronica, valgono le indicazioni di cui so- pra. I formati XML ed EML sono accettati solamente per le classi documentali di tipo “PEC”.
L’associazione del documento informatico al suo formato può avvenire, attraverso varie modalità, tra cui le più impiegate sono:
1. l’estensione: una serie di lettere, unita al nome del file attraverso un punto, ad esempio [nome del file].doc identifica un formato sviluppato dalla Microsoft;
2. il magic number: i primi byte presenti nella sequenza binaria del file, ad esempio 0xffd8 identifica i file immagine di tipo .jpeg;
3. verifica della corrispondenza tra il tipo MIME ricavato dall’estensione del file ed il tipo MIME ricavato dal magic number;
4. l'utilizzo di tool automatici specifici come Apache TIKA
Per identificare il formato dei files posti in conservazione occorre procedere all’analisi di ogni singolo documen- to informatico contenuto all’interno dei pacchetti di versamento. ARUBA procede come segue:
1 | Fase di IDENTIFICAZIONE | Ogni documento che viene inviato al sistema di conservazione deve essere stato precedentemente ed espressamente indicato dal sistema versante. In questo modo tutti i documenti non noti vengono automaticamente non |
riconosciuti e quindi rifiutati | ||
2 | Fase di RICEZIONE | Il sistema Aruba, una volta noti i documenti che il Cliente vuole mettere in conservazione si mette in attesa, secondo i canali concordati, della loro ricezione |
3 | Fase di VALIDAZIONE | Una volta che i documenti vengono recepiti dal sistema di conservazione la prima elaborazione effettuata sugli stessi è quella del rilevamento della tipologia corretta del documento. Solo se questo esame restiutisce esito positivo vengono realizzate ulteriori validazioni atte a garantire la corret- tezza formale del documento, secondo gli standard qui esposti e gli accor- di convenuto col Cliente |
6.3.4 Verifica della leggibilità dei documenti informatici
Per assicurare la leggibilità dei documenti informatici ARUBA potrà adottare una delle seguenti misure:
a) conservare in sicurezza, per tutto il tempo in cui il documento informatico è mantenuto nel suo formato originale, il software necessario all’esibizione del dato. Dove necessario, ARUBA dovrà avere la disponibilità anche del relativo hardware così come di qualsiasi altro dispositivo richiesto per la presentazione dei docu- menti informatici. Questo obiettivo può essere raggiunto acquisendo o conservando in proprio l’hardware e i dispositivi, come anche assicurandosene l’utilizzo presso fornitori esterni;
b) conservare le specifiche del formato del documento informatico, garantendo che esisteranno applicazioni software in grado di esibire i documenti nei formati ammessi. Questo secondo modo può essere utilizzato solo se le specifiche del formato in questione sono disponibili.
ARUBA, dal canto suo, deve avere in essere procedure idonee a verificare l’effettiva leggibilità dei documenti informatici conservati; tali procedure sono eseguite a intervalli idonei a garantire l’individuazione tempestiva di un degrado nella leggibilità, almeno come previsto dalla normativa regolante la conservazione digitale di do- cumenti informatici.
Esempi di “degrado” sono:
c) il danneggiamento del supporto usato per la memorizzazione del dato;
d) l’alterazione di alcuni bit del dato.
Il controllo di leggibilità eseguito da ARUBA è di due tipologie:
- controllo di leggibilità: consiste nel verificare che i singoli bit degli oggetti siano tutti correttamente leggibili.
Questo fornisce garanzia del buono stato del supporto di memorizzazione.
- controllo di integrità: consiste nel ricalcolare l’hash di ciascun oggetto e verificare che corrisponda all’hash memorizzato nel sistema. Questo fornisce una ragionevole certezza dell’integrità degli oggetti dato che la funzione di hash restituisce un valore differente anche a seguito della modifica di un solo bit dell’oggetto.
La combinazione dei due tipi di controllo descritti non fornisce però garanzia di poter visualizzare correttamen- te il documento e che lo stesso sia effettivamente intellegibile dall’uomo.
Infatti questa garanzia non può essere fornita senza entrare nel merito del documento stesso. La garanzia della corretta visualizzazione del documento è d’altro canto garantita dalla scelta del formato PDF/A per i documenti conservati. Questo formato possiede infatti la caratteristica intrinseca di fornire leggibilità a lungo termine oltre all’ulteriore garanzia di essere basato su specifiche pubbliche (ISO 19005-2005).
Pertanto, il Cliente, preso atto che depositare in conservazione documenti informatici in formati diversi da quelli indicati nel presente capitolo potrebbe pregiudicare la corretta visualizzazione dei documenti medesimi nonché il loro contenuto semantico, se ne assume ogni responsabilità.
6.4 Metadati da associare alle diverse tipologie di documenti
Con il termine “metadati” si indicano tutte le informazioni significative associate al documento informatico, escluse quelle che costituiscono il contenuto del documento stesso. I metadati riguardano principalmente, ma non esclusivamente, i modi, i tempi ed i soggetti coinvolti nel processo della formazione del documento infor- matico, della sua gestione e della sua conservazione.
Metadati sono anche le informazioni riguardanti gli autori, gli eventuali sottoscrittori e le modalità di sottoscri- zione e la classificazione del documento. I metadati devono essere associati al documento dal Cliente prima del versamento in conservazione e per tale ragione vengono esplicitati all’interno di uno specifico allegato, facente parte del Contratto di servizio stipulato con ARUBA (come specificato al par 10.1.2).
I metadati forniti dal Cliente restano di proprietà del Cliente medesimo.
I metadati, seppur chiaramente associati al documento informatico, possono essere gestiti indipendentemente dallo stesso. In relazione ai diversi tipi di documenti informatici posti in conservazione, è previsto un “set mi- nimo” di metadati.
Oltre al set minimo di metadati, il Cliente potrà decidere di associare al documento informatico eventuali ulte- riori metadati c.d. “extrainfo” che, al pari del set minimo di metadati, saranno oggetto di indicizzazione da par- te del sistema. I metadati extrainfo dovranno essere puntualmente individuati nello spazio ad essi riservato nell’apposito allegato del Contratto e verranno opportunamente gestiti da Aruba come in esso concordato.
6.5 Modalità di assolvimento dell'imposta di bollo sui documenti posti in conservazione
Il Cliente è tenuto al pagamento dell’imposta di bollo eventualmente dovuta sui documenti depositati in con- servazione.
Pertanto, il versamento dell’imposta dovuta dovrà essere effettuata dal Cliente nei termini previsti dall’art. 6 del DMEF 17 giugno 2014 e nei modi di cui all’art. 17 del D.Lgs. 9 luglio 1997, n. 241 e loro successive modifica- zioni e/o integrazioni.
Tutti i relativi e conseguenti obblighi, adempimenti e formalità per l’assolvimento dell’imposta di bollo sui do- cumenti informatici posti in conservazione sono ad esclusivo onere e carico del Cliente, il quale dovrà attenersi alle disposizioni di legge ed ai documenti di prassi emanati ed emanandi.
Allo stesso modo, sono ad esclusivo onere e carico del Cliente tutte le comunicazioni da presentare al compe- tente Ufficio delle entrate in forza di quanto stabilito dalla normativa regolante la conservazione digitale di do- cumenti informatici.
In questo paragrafo sono fornite le tipologie di pacchetto di versamento gestite e per ciascuna di esse descritta la struttura dati.
Il nostro standard prevede l’ indice di un pacchetto di versamento che si caratterizza per le seguenti parti:
- area di identificazione del PDV
- area di identificazione dei documenti costituenti il pacchetto e composta dai seguenti elementi:
o metadato obbligatori
o metadati extra-info
Nella prima parte il dato importante e obbligatorio è il pdvid ovvero l'identificativo del PDV. Esso deve essere unico all'interno dello spazio gestito dal produttore, quindi indipendentemente dall'archivio.
La seconda parte prevede una lista di elementi, uno per ogni documento da versare. Ogni singolo file deve essere per prima cosa identificato. A questo scopo sono necessari i seguenti dati:
- nome file
- algoritmo di hashing per la generazione dell'impronta
- impronta del documento
Inoltre, poiché il sistema deve controllare la tipologia di documento per valutarne l'aderenza alle condizioni espresse in fase di contratto, deve essere indicato il MIME type del documento.
Per rimanere poi aderenti alla norma vigente devono essere passati anche un id unico dei singoli documenti del pacchetto e la data di chiusura degli stessi.
L’ultima parte dell'Indice contiene un insieme di metadati extra-info, così come definiti in fase contrattuale col Produttore
6.6.1 Specifiche Pacchetto di Versamento
Le specifiche del Pacchetto di Versamento secondo lo standard definito da Aruba EPC, sono disponibili all’interno del manuale tecnico; quest’ultimo inviato al cliente finale in fase di attivazione del servizio.
6.7 Pacchetto di archiviazione
In questo paragrafo viene resa la struttura del pacchetto di archiviazione nonché il trattamento dei pacchetti di archiviazione.
6.7.1 Specifiche Pacchetto di archiviazione
Il Pacchetto di Archiviazione è composto da varie parti:
- l'insieme degli elementi (documenti e/o altri PdA) che compongono il pacchetto
- IPdA ovvero l'Indice del Pacchetto di Archiviazione che elenca tutti gli elementi del pacchetto
Il formato dell'IPdA è aderente allo standard UNISInCRO ed è marcato temporalmente e firmato elettronicamente con certificato del Responsabile del Sistema di Conservazione.
6.8 Pacchetto di distribuzione
Il pacchetto di distribuzione contiene l'insieme degli elementi (documenti e/o PdA) precedentemente ricercati e selezionati dall'utente.
Viene offerto sotto forma di un archivio .zip che per ogni elemento contiene:
- una cartella contenente l'elemento stesso. Nel caso di un documento il documento stesso, nel caso di un PdA l'intero PdA, ovvero tutti gli elementi di cui è costituito
- un'altra cartella che contiene l'indice relativo all'elemento individuato, marcato temporalmente e firmato elettronicamente con certificato del Responsabile del Sistema di Conservazione
6.9 Documenti rilevanti ai fini delle disposizioni tributarie
In considerazione di quanto previsto dall’art. 21, co. 5, del CAD1, i documenti informatici rilevanti ai fini delle disposizioni tributarie (di seguito, per brevità chiamati anche “DIRT”) sono conservati nel rispetto di quanto previsto dalle disposizioni in materia, attualmente riconducibili al Decreto del 17 giugno 2014 del Ministero dell’Economia e delle Finanze e successive modificazioni ed integrazioni.
Il Cliente, pertanto, è tenuto a conoscere le disposizioni relative alla normativa regolante la conservazione digi- tale di documenti informatici in vigore ed a controllare l’esattezza dei risultati ottenuti con l’utilizzo del Servizio di conservazione fornito da ARUBA.
Formazione, emissione e trasmissione dei documenti fiscalmente rilevanti
Ai fini tributari, la formazione, l'emissione, la trasmissione, la copia, la duplicazione, la riproduzione, l'esibizio- ne, la validazione temporale e la sottoscrizione dei documenti informatici, deve avvenire a cura del Cliente nel rispetto delle regole tecniche adottate ai sensi dell'art. 71 del decreto legislativo 7 marzo 2005, n. 82, e dell'art. 21, comma 3, del decreto del Presidente della Repubblica 26 ottobre 1972, n. 633, in materia di fatturazione elettronica
Immodificabilità, integrità, autenticità e leggibilità dei documenti fiscalmente rilevanti
I documenti informatici rilevanti ai fini tributari devono avere le caratteristiche dell'immodificabilità, dell'inte- grità, dell'autenticità e della leggibilità, e devono essere utilizzati i formati previsti dal decreto legislativo 7 mar- zo 2005, n. 82 e dai decreti emanati ai sensi dell'art. 71 del predetto decreto legislativo nonché quelli individua- ti nel presente Manuale. Detti formati devono essere idonei a garantire l'integrità, l'accesso e la leggibilità nel tempo del documento informatico.
Pertanto, tutti i DIRT che vengono versati in conservazione devono essere statici ed immodificabili, ossia privi di qualsiasi agente di alterazione.
Il Cliente dovrà assicurarsi e garantire che i DIRT che versa in conservazione abbiano le suddette caratteristiche sin dalla loro formazione e, in ogni caso, prima che siano depositati nel sistema di conservazione.
1 Art. 21, co. 5 del CAD: “Gli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione su diversi tipi di supporto sono assolti secondo le modalità definite con uno o più decreti del Ministro dell'economia e delle finanze, senti- to il Ministro delegato per l'innovazione e le tecnologie.”;
A tale fine, i DIRT, salvo diverso e circostanziato accordo col Responsabile del servizio di conservazione, devono essere prodotti nel formato PDF/A in conformità a quanto previsto nel capitolo 12 del presente Manuale.
Ordine cronologico e non soluzione di continuità per periodo di imposta
Posto che l’art. 3 del Decreto MEF 17.06.2014 stabilisce che i documenti informatici devono essere conservati in modo tale da rispettare le norme del codice civile, le disposizioni del codice dell'amministrazione digitale e delle relative regole tecniche e le altre norme tributarie riguardanti la corretta tenuta della contabilità, il Clien- te deve farsi carico di versare in conservazione i propri documenti informatici assicurando, ove necessario e/o previsto dalle norme e/o dai principi contabili nazionali, l'ordine cronologico dei medesimi e senza che vi sia soluzione di continuità in relazione a ciascun periodo d'imposta o anno solare.
In altre parole, gli obblighi richiamati dall’art. 3 del DM 17.06.2014, essendo riferibili a norme riguardanti la corretta tenuta della contabilità, sono posti a completo ed esclusivo carico del Cliente.
Ciò comporta che il Cliente, nell'eseguire il versamento in conservazione dei DIRT, dovrà rispettare le regole di corretta tenuta della contabilità e procedere secondo regole uniformi, nell’ambito del medesimo periodo d'im- posta o anno solare.
Funzioni di ricerca
ARUBA non fornisce, in fase di formazione dei documenti, alcuna funzionalità di indicizzazione degli stessi che, quindi, è posta ad esclusivo carico e sotto la responsabilità del Cliente il quale al documento informatico im- modificabile il Cliente dovrà associare, in relazione ad ogni classe/tipologia documentale, i metadati previsti dalla legge (anche tributaria) e dalle regole tecniche di cui all’art. 71 del CAD e, più in generale, dalla vigente normativa in materia o gli eventuali ulteriori metadati riportati nell’Elenco documenti in conservazione; i sud- detti metadati dovranno essere generati dal Cliente durante la fase di produzione/formazione/emissione dei documenti informatici.
Pertanto, è il Sistema di Gestione documentale del Cliente che deve assicurare l'indicizzazione dei DIRT in meri- to al formato, allo stato, alle caratteristiche (fiscali) di ogni singolo DIRT ed ai metadati “minimi” previsti dal De- creto MEF del 17 giugno 2014 (nome, cognome, denominazione, codice fiscale, partita IVA, data e associazioni logiche di questi) e dal presente Manuale nel capitolo 12.
Per sfruttare appieno le potenzialità del processo di conservazione dei DIRT non è sufficiente attenersi alle re- gole tecniche previste dalla norma, ma è necessario che il Cliente si attenga scrupolosamente ad un progettato ciclo di gestione dei DIRT, con il fine di predisporli ed organizzarli sin dalla loro formazione in modo tale da massimizzare la facilità del loro reperimento, prestando particolare attenzione alla fase di classificazione ed or- ganizzazione. Dal puntuale svolgimento di quanto sopra dipende la facilità del loro reperimento.
A tale fine, è necessario che, in relazione ad ogni classe documentale, il Cliente associ ad ogni DIRT i metadati previsti dal presente Manuale (ed, eventualmente, degli ulteriori previsti nell’apposito allegato del Contratto) necessari per adempiere agli obblighi imposti dalle disposizioni in materia.
Il sistema di conservazione garantisce, come riportato nel capitolo 16, le necessarie funzioni di ricerca dei DIRT conservati sulla scorta dei metadati ad essi associati.
Classificazione dei DIRT secondo aggregazioni per “Tipo documento”
Il Sistema di Gestione documentale del Cliente, oltre ad assicurare il formato, l'indicizzazione, l’apposizione del riferimento temporale, la sottoscrizione con firma digitale di ogni DIRT dallo stesso prodotto, deve provvedere altresì alla classificazione per tipologia di documento in conformità a quanto previsto dall’Allegato 1 al presente Manuale.
6.9.1 Modalità di assolvimento dell'imposta di bollo sui DIRT
Come precisato nel precedente capitolo 12, l’imposta di bollo nonché tutti gli obblighi e le formalità per l’assolvimento dell’imposta sui DIRT, qualora dovuta, sono ad esclusivo onere e carico del Cliente, il quale do- vrà attenersi alle disposizioni di legge (art. 6, del DMEF del 17 giugno 2014) ed ai documenti di prassi emanati ed emanandi.
Il processo di conservazione dei DIRT è effettuato nel rispetto delle regole di cui al DMEF del 17 giugno 2014 e successive modificazioni ed integrazioni.
Nello specifico, il processo di conservazione, prende avvio con il versamento in conservazione del pacchetto di versamento prodotto dal Cliente e termina (ergo, “viene chiuso in conservazione”) termina con l'apposizione di una marca temporale sul pacchetto di archiviazione.
Con riferimento ai DIRT, il processo di conservazione, in forza di quanto stabilito dall’art. 3 del DMEF del 17 giu- gno 2014, è effettuato entro il termine previsto dall'art. 7, comma 4-ter, del decreto-legge 10 giugno 1994, n. 357, convertito con modificazioni dalla legge 4 agosto 1994, n. 489 e s.m.i..
Pertanto, il Cliente dovrà provvedere a trasmettere ad ARUBA il pacchetto di versamento, contenente i DIRT da sottoporre a conservazione, rigorosamente entro i termini stabiliti nell’apposito allegato del Contratto; tale termine è necessario ad ARUBA per “chiudere” in conservazione il pacchetto di archiviazione entro i termini perentori previsti dalla legge.
7 IL PROCESSO DI CONSERVAZIONE
In questo capitolo sono riportate tutte le fasi inerenti il processo di conservazione dei documenti informatici
7.1 Modalità di acquisizione dei pacchetti di versamento per la loro presa in carico
Come già anticipato in altre parti del presente Manuale, unico responsabile del contenuto del pacchetto di ver- samento è il Cliente (Produttore), che deve formarlo, sottoscriverlo con firma digitale (ove previsto) e trasmet- terlo al sistema di conservazione secondo le modalità operative di versamento definite nel presente Manuale, nel Contratto e nei rispettivi allegati.
L'operazione di versamento consiste nella trasmissione dei documenti da conservare e dei metadati che li spe- cializzano, così come già accennato precedentemente.
La ricezione e presa in carico di un pacchetto di versamento segue uno schema logico di funzionamento che si articola in due fasi distinte: ricezione dell'Indice del Pacchetto di Versamento (IPdV) e ricezione dei documenti che fanno parte del Pacchetto di Versamento (PdV).
L'uno e gli altri possono essere trasmessi al sistema di conservazione attraverso canali diversi. Alternativamen- te essi possono essere:
- interfaccia web
- invocazione di metodi tramite web service REST
- invio in allegato a una mail PEC
- trasferimento via protocollo FTP
Ogni canale messo a disposizione è provvisto di opportuni accorgimenti per la trasmissione dei dati in modalità sicura:
- l'interfaccia web viaggia su protocollo HTTPS
- il web service REST è contattabile tramite protocollo HTTPS
- la PEC nativamente garantisce autenticità della provenienza e notifica di consegna in modalità sicura
- il server FTP è raggiungibile via FTPS
Per il completamento delle operazioni di conservazione di un PdV non è necessario scegliere esclusivamente uno dei canali sopra citati. La ricezione, anche in maniera asincrona, dei singoli componenti di un PdV possono arrivare anche da canali diversi.
Il sistema di conservazione prende in carico un PdV solo dopo che tutte le sue parti (IPdV e relativi documenti) vengono correttamente ricevuti e superano con esito positivo i relativi controlli.
Tale operazione viene ufficialmente sancita dalla produzione del cosiddetto Rapporto di Versamento (RdV) che viene consegnato al cliente all'indirizzo PEC fornito nella fase contrattuale.
Poichè la produzione del RdV rappresenta formalmente la presa in carico del PdV da parte del sistema di con- servazione, il RdV viene marcato temporalmente e firmato digitalmente direttamente o via delega dal Respon- sabile del servizio di Conservazione.
7.1.1 Ricezione dell'indice del pacchetto di versamento
L'IPdV è un'evidenza informatica, ovvero un file, che descrive il versamento stesso e i documenti che ne fanno parte attraverso l'uso di metadati. Questi sono di carattere diverso a seconda che descrivano proprietà e quali- tà del pacchetto in genere o dei singoli documenti.
E' bene sottolineare che ogni PdV può contenere esclusivamente documenti della stessa tipologia, ovvero della stessa Classe Documentale. In questo senso l'elenco dei metadati dei singoli documenti è in qualche modo omogeneo.
Per consentire l'elaborazione automatica dei metadati il sistema di conservazione Aruba richiede l'incapsula- mento degli stessi in un determinato formato XML, che di fatto costituisce l'IPdV.
In tale file sono contenute sezioni diverse che identificano la qualità dei metadati. Essi infatti possono essere caratteristici del PdV e del soggetto versante, rappresentare direttive speciali di elaborazione per la conserva- zione, descrittivi dei singoli documenti che si vogliono conservare, a loro volta distinti in standard, come indica- to nel paragrafo 12.4, o definiti insieme al Cliente in fase di stipula del contratto e infine caratteristici del for- mato del documento.
La struttura dell'indice del pacchetto di versamento è definita nel paragrafo 6.6.1.
La funzione di ricezione degli indici dei pacchetti di versamento nel sistema di conservazione effettua, per ogni indice, i seguenti controlli:
- abilitazione alla conservazione da parte del sistema di gestione documentale versante e in particolare dell'utente che effettua il versamento. In caso di esito negativo il sistema rifiuta il tentativo di versamento
- controllo formale dell'indice versato. In particolare viene verificato che sia un formato XML valido per una delle Classi Documentali registrate a sistema. In caso di esito negativo il sistema rifiuta il tentativo di versamento
- verifica, tramite l'id univoco contenuto nell'indice, dell'eventuale presenza del PdV già nel sistema. In caso di esito positivo il nuovo indice sostituisce in toto il vecchio. Di conseguenza vengono aggiornati tutti i metadati, tutti i documenti eventualmente versati e non più presenti nel nuovo indice vengono cancellati dal sistema
- controllo sulla completezza e correttezza formale dei metadati, in relazione alla Classe Documentale rilevata. In caso di esito negativo il sistema rifiuta il tentativo di versamento
- controllo sulla tipologia di documenti che si vuole versare. Ogni documento deve appartenere ad almeno uno dei formati ammessi dalla tipologia di Classe Documentale. In caso di esito negativo il sistema rifiuta il tentativo di versamento
- eventuali controlli supplementari definiti insieme al Cliente. La gestione degli esiti negativi va formalizzato in sede contrattuale
7.1.2 Ricezione documenti associati ad un pacchetto di versamento
La ricezione dell'IPdV permette al sistema di conservazione di registrare i metadati del PdV e di mettersi in at- tesa dei documenti per la conservazione del pacchetto.
Relativamente al singolo documento tra i metadati indicati nell'IPdV sono di particolare importanza quelli utili all'identificazione dello stesso. Essi sono principalmente due: un identificativo univoco utile all'identificazione human readable del documento e un hash del file stesso, ovvero una stringa di caratteri che normalizza con un particolare algoritmo in maniera univoca il documento stesso.
In particolare l'hash, che per il sistema di conservazione Aruba deve essere in formato SHA256 base64, garanti- sce la riconoscibilità e incorruttibilità del documento in forma automatica e univoca.
Nel momento in cui un documento viene ricevuto da uno qualsiasi dei canali esposti precedentemente, ne vie- ne calcolato l'hash in SHA265 e base64. Se il risultato è tra quelli precedentemente comunicati in uno dei IPdV ricevuti e non ancora in conservazione, allora il file viene accettato.
Successivamente la funzione di ricezione dei documenti informatici nel sistema di conservazione effettua una serie di controlli atti a verificare formalmente leggibilità, integrità e la corrispondenza del documento alle rego- lamentazioni stabilite per la Classe Documentale di appartenenza. Per operare ciò il sistema determina il for- mato dello stesso sulla base di quanto esposto in precedenza (estensione e mimetype).
La mancata identificazione del formato del file causa il rifiuto dello stesso con conseguente restituzione di un errore.
Una volta individuato il formato del documento viene controllato che questo sia tra i formati ammessi per la Classe Documentale di appartenenza. Nel caso di esito negativo il file viene rifiutato e viene restituito un erro- re. Superati i primi controlli, ne vengono operati degli altri relativamente alla qualità dello stesso.
In relazione a ciascun documento informatico infine:
- viene verificato che non sia già presente nel sistema di conservazione;
- viene verificato che il salvataggio avvenga correttamente all'interno del sistema di conservazione.
Tutti i documenti informatici che non superano anche uno solo dei precedenti controlli vengono rifiutati. In questo caso non viene salvata alcuna informazione sul sistema di conservazione ed il documento non conforme viene immediatamente eliminato.
Quando tutti i documenti di un pacchetto di versamento vengono ricevuti correttamente viene reso disponi- bile il rapporto di versamento sottoscritto con firma digitale dal Responsabile del servizio di Conservazione.
Tale rapporto viene anche inviato via email da un indirizzo PEC all'indirizzo PEC fornito dal cliente in fase con- trattuale.
7.2 Verifiche effettuate sui pacchetti di versamento e sugli oggetti in essi contenuti
Le funzionalità attivate nel processo di versamento/acquisizione del pacchetto di versamento prevedono dei controlli sia nella fase di ricezione dell’indice del PdV che sui singoli documenti inviati e corrispondenti a quanto previsto nell’indice stesso. La tabella riportata in basso elenca le diverse tipologie di controlli effettuati e per ognuna di esse indica l’azione prevista da sistema. Quest’ultima può tradursi in una operazione di scarto o noti- fica di un warning.
Controlli dell’indice del Pacchetto di versamento
Il deposito di un pacchetto di versamento e’ distinto per ciascun pacchetto di documenti informatici omogenei (documenti omogenei, ossia aventi la stessa classe documentale). Pertanto, a classi documentali diverse corri- spondono diversi PdV e versamenti, uno per ogni classe.
Controlli nella fase di ricezione dell'indice del PdV
ID | Oggetto del controllo | Azione in caso di check negativo | |
Verifica Autorizzazioni | |||
1.01 | viene verificato che l’utente che effettua il versamento sia abilitato all’invio dei Pdv | Il sistema scarta l'intero pacchetto | |
Verifica formale indice del PdV | ||
2.01 | viene verificato che l'oggetto ricevuto sia formalmente un indice xml in linea con lo standard DocFly | Il sistema scarta l'intero pacchetto |
2.02 | viene verificato che il PdV è versato nei termini contrat- tuali e di servizio stabiliti col produttore | WARNING: Il sistema accetta il PdV ma non garantisce la conser- vazione nei termini concordati |
Verifica presenza dati-documenti nell'indice del PdV | ||
3.01 | viene verificato che l’indicazione del sistema di conservazione sia corretta | Il sistema scarta il PdV poiché il metadato contenuto nell'indice indica un sistema di conservazione diverso da DocFly |
3.02 | viene verificato che l'identificativo specificato nel Pdv non sia già presente nel sistema di conservazione | Il sistema verifica se il PdV (che contiene lo stesso ID) non sia già stato conservato. In questo caso il sistema considera il nuove indice in sostituzione del precedente. Viene invece scartato qualora il PdV risulta essere in stato 'conser- vato'. |
3.04 | viene effettuato un controllo semantico sui metadati presenti nell'indice del PdV | Il sistema scarta il PdV poiché uno o piu' metadati non rispettano il formato condivi- so nel contratti di servizio |
3.05 | viene controllato che per ciascun documento dichiarato e descritto all'interno dell'indice del Pdv: a. tutti i metadati minimi obbligatori siano presenti e nel formato corretto; b. il formato del documento è un formato ammesso c. l'estensione del documento sia tra quelle ammesse per il tipo documento; d. il formato dichiarato sia corrispondente all'estensio- ne del nome file | Il sistema scarta il PdV perché le verifiche formali sui documenti dichiarati nell'indice del PdV han- no avuto esito negativo |
Verifiche Paternità | ||
4.01 | viene verificato che il Pdv, nel caso abbia estensione P7M, sia firmato con certificato valido | Il sistema scarta il PdV perché le verifiche formali sui certificati di firma hanno avuto esito negativo |
4.02 | viene verificato che tutte le firme apposte al Pdv siano valide | Il sistema scarta il PdV perché le verifiche formali sui certificati di firma hanno avuto esito negativo |
Controlli nella fase di ricezione dei documenti
A seguito della corretta ricezione dell’indice del PdV, il sistema di conservazione è pronto per la ricezione dei relativi documenti informatici (files) descritti nel pacchetto stesso
Controlli nella fase di ricezione dei documenti (files)
Controllo ricezione documenti | ||
1.01 | viene verificato che l'hash del documento informatico in- viato sia corrispondente all'hash dichiarato all'interno del medesimo indice del pacchetto al fine di avere garanzia che la trasmissione del pacchetto sia avvenuta corretta- mente e che l’integrità del documento informatico ricevu- to sia assicurata | Il sistema scarta il documento poi- ché non atteso |
1.02 | in caso di file P7M viene verificata la validità della firma apposta su ogni singolo documento: o Controllo di conformità. o Controllo Crittografico. o Controllo Catena Trusted. o Controllo Certificato. o Controllo CRL | Il sistema scarta il documento qua- lora il certificato di firma non sia valido WARNING: in caso di documenti firmati e il certificato di firma uti- lizzato e' prossimo alla scadenza, il sistema evidenzia un warning. |
1.03 | viene verificato che il documento sia leggibile | Il sistema scarta il documento nel caso questo non sia leggibile |
1.04 | viene verificato che il formato del documento informatico sia effettivamente valido e corrispondente a quanto di- chiarato nel pacchetto di versamento. In tal caso i control- li eseguiti variano in funzione del formato atteso per cia- scuno specifico documento. | Il sistema scarta il documento poi- ché il formato non e' quello atteso |
1.05 | viene verificato che i documenti ricevuti non siano già presenti nel sistema di conservazione; | WARNING: il documento viene ac- cettato e il sistema invia una noti- fica |
1.06 | viene verificato che la ricezione dei documenti si sia cor- rettamente conclusa entro la data limite di ricezione sta- bilita col produttore nel contratto di servizio | WARNING: il documento viene ac- cettato ma il sistema non garanti- sce la conservazione nei termini concordati |
Le eventuali anomalie e/o scarti riscontrate durante le verifiche effettuate sull’indice del pacchetto di versa- mento e documenti contenuti al suo interno, saranno comunicate via PEC sia al responsabile della conservazio- ne indicato dal cliente (nel contratto di servizio) che all’utente che ha effettuato l’operazione di versamento.
Tali comunicazioni saranno conservate all’interno del sistema di posta per tutta la durata del contratto sotto- scritto dal cliente.
Il sistema di conservazione predispone, per ciascun pacchetto di versamento, un rapporto di versamento che viene firmato dal Responsabile del Sistema di Conservazione. Lo schema del rapporto di versamento è illustrato nel paragrafo successivo (par. 7.3.1).
In particolare il rapporto di versamento contiene, tra l'altro, le seguenti informazioni:
- identificativo unico del PdV, come indicato nel relativo IPdV
- identificativo unico del PdV fornito dal sistema di conservazione
- data di ricezione dell'IPdV
- per ogni documento accettato viene indicato:
o id univoco, come indicato nell'IPdV
o id univoco fornito dal sistema di conservazione
o hash
o data di ricezione
o esito della ricezione (accettato o warning)
o descrizione warning, ove necessario
7.3.1 Specifiche rapporto di versamento
Il Rapporto di Versamento è basilare nel processo di conservazione, in quanto è documento informatico che attesta l'avvenuta presa in carico da parte del sistema di conservazione dei pacchetti di versamento inviati dal produttore.
Esso viene prodotto nel momento in cui tutti gli elementi utili per la conservazione del pacchetto di versamen- to sono stati consegnati al sistema.
In esso sono presenti sempre i seguenti dati:
- id del Pacchetto di Versamento
- id del Rapporto di Versamento
- riferimento temporale (UTC) di generazione del Rapporto di Versamento
- lista dei documenti afferenti al pacchetto. Per ognuno di essi sono distinguibili:
- id come indicato nell'Indice del PdV
- id assegnato dal sistema
- impronta del documento
- nome del documento
- data di ricezione del file
- esito controllo firma digitale (ove previsto)
- esito controllo marca temporale (ove previsto)
Il Rapporto di Versamento viene sempre firmato digitalmente con certificato del Responsabile di Conservazio- ne. In questo modo viene reso non modificabile.
7.4 Rifiuto dei pacchetti di versamento e modalità di comunicazione delle anomalie
Per la gestione dei rifiuti dei pacchetti di versamento e modalità di comunicazione delle anomalie si rimanda al par. 7.2.
7.5 Preparazione e gestione del pacchetto di archiviazione
Il pacchetto di archiviazione (PdA) è quello conservato dal sistema di conservazione e possiede un insieme completo di metadati utili alla conservazione a lungo termine.
Il pacchetto di archiviazione viene realizzato secondo lo standard di riferimento SInCRO - Supporto all'Interope- rabilità nella Conservazione e nel Recupero degli Oggetti digitali (UNI 11386:2010), che rappresenta lo standard nazionale riguardante la struttura dell’insieme dei dati a supporto del processo di conservazione.
Uno più pacchetti di versamento vengono trasformati in un pacchetto di archiviazione (PdA) in base alle regole tecniche standard del sistema conservazione previste e agli accordi contrattuali.
Il sistema di conservazione a lungo termine ha, fra le altre, la prerogativa di conservare l’autenticità dei docu- menti in esso contenuti.
La preservazione della suddetta autenticità non può però basarsi tout court sulla firma digitale in quanto quest’ultima:
- ha una validità slegata dall’architettura e dalla struttura del sistema di conservazione;
- ha una validità limitata nel tempo e pari al certificato emesso dalla CA;
- vede la propria sicurezza legata ad algoritmi soggetti ad obsolescenza tecnologica.
E’ pertanto fondamentale che il sistema di conservazione a lungo termine verifichi la validità ed il valore delle firme digitali apposte dal Cliente sui documenti informatici oggetto di conservazione.
A tale fine, il Cliente dovrà accertarsi che le firme digitali apposte sui documenti informatici inviati in conserva- zione:
a) siano valide al momento di sottoscrizione del documento informatico;
b) e mantengano piena validità sino al termine ultimo convenuto con ARUBA per la “chiusura” del pacchetto di archiviazione.
Con la sottoscrizione dei pacchetti di archiviazione ARUBA non sottoscrive il contenuto e la semantica dei documenti conservati ma asserisce solamente che il processo di conservazione è stato eseguito correttamen- te, nel rispetto della normativa regolante la conservazione digitale di documenti informatici
7.5.1 Chiusura anticipata (in corso d’anno) del pacchetto di archiviazione.
In caso di accessi, verifiche ed ispezioni in corso d’anno, il sistema consente, dietro specifica richiesta del Clien- te, l’anticipata chiusura del pacchetto di archiviazione rispetto ai tempi programmati.
7.6 Preparazione e gestione del pacchetto di distribuzione ai fini dell’esibizione
Nel modello OAIS e in linea con la normativa vigente, il pacchetto di distribuzione è strutturato nel modello dati come il pacchetto di archiviazione . La differenza sta nella sua destinazione in quanto esso viene concepito per essere fruito ed utilizzato dall’utente finale (esibizione).
In questo caso, un PdD può anche non coincidere con il pacchetto di archiviazione originale conservato: anzi, molto spesso, ragioni di opportunità inducono a distribuire pacchetti informativi che sono un'estrazione del contenuto informativo di un PdA. Può anche verificarsi il caso di pacchetto di distribuzione che sono il frutto di più PdA che vengono "spacchettati" e reimpacchettati per un più fruibile utilizzo da parte dell'utente.
Un utente autorizzato da un soggetto produttore, quindi, è in grado di interrogare il sistema per ricevere in uscita uno specifico pacchetto di distribuzione. L’utente utilizzerà le funzionalità di richiesta di esibizione di un documento o di un insieme di documenti, per ottenerne una replica esatta secondo i fini previsti dalla norma.
In risposta alla richiesta iniziale di esibizione, da parte dell’utente, il sistema di conservazione risponderà resti- tuendo un PdD che nel caso più completo conterrà:
- I file/documenti richiesti così come sono stati archiviati dal sistema al momento della messa in conser- vazione
- Indici dei Pacchetti di Archiviazione, marcati temporalmente e firmati come all'origine, con cui sono stati conservati i documenti richiesti. Al loro interno sono contenuti tutti i metadati di tutti i documenti messi in conservazione nello stesso PdA
A fronte di una richiesta di produzione del pacchetto di distribuzione, il sistema effettua delle verifiche di coe- renza e correttezza del pacchetto e dei documenti in esso contenuti. A tal proposito, il sistema di conservazione verifica che le impronte dei documenti restituiti nel PdD corrispondano a quelle presenti nel relativo indice del pacchetto di archiviazione; in modo da garantire che i documenti stessi non abbiano subito alterazioni o modi- fiche nei contenuti.
La richiesta di produzione di un PdD implica l’invio di una comunicazione via PEC all’utente finale e altri destina- tari eventualmente comunicati dal cliente nel contratto di servizio. Le comunicazioni via PEC, relative alle rice- vute di invio e consegna, vengono conservate al fine di tracciare l’intera trasmissione.
La richiesta di esibizione può avvenire da due tra i canali messi a disposizione: interfaccia web e web service. In entrambi i casi il flusso di selezione dei materiali da esibire è il medesimo:
1. ricerca dei materiali attraverso opportuni filtri
2. selezione e spostamento dei riferimenti dei materiali individuati all'interno di un area di lavoro
3. richiesta di esibizione a partire dai materiali nell'area di lavoro
4. produzione del link di download da cui scaricare il Pacchetto di Distribuzione
La ricerca dei materiali avviene tramite la selezione di filtri sui metadati. Una volta individuata la classe documentale di interesse l'utente può effettuare le ricerche inserendo i valori su cui filtrare per uno o più metadati di riferimento.
La ricerca contemporanea su più metadati implica un filtro più forte, ovvero una restrizione del numero dei materiali risultanti.
Inoltre è possibile effettuare una ricerca tra materiali di classi documentali differenti ma che sono accomunati per un particolare metadato.
Se ad esempio si volessero cercare tutti i documenti afferenti a un determinato numero pratica, dotando classi
documentali di tipo differente dello stesso metadato “numero pratica” è possibile effettuare una ricerca di questo tipo.
Tutti i materiali di interesse risultanti dalle ricerche vengono quindi spostati in un'area di lavoro. Finita l'operazione di selezione l'utente può ulteriormente chiedere di esibire solo una parte dei documenti messi nell'area di lavoro.
Il Pacchetto di Distribuzione risultante dalla richiesta di esibizione contiene:
- i documenti da esibire
- gli indici dei PdA, marcati temporalmente e firmati elettronicamente così come al momento della conservazione, del flusso di conservazione relativo ai documenti scelti
Nel caso in cui tra i materiali figurino interi PdA, il Pacchetto di Distribuzione contiene tutti i documenti che lo compongono.
7.6.1 Funzioni svolte alla conclusione del contratto
In tutti i casi di cessazione del Contratto ARUBA consentirà al Cliente di recuperare i propri documenti, entro e non oltre 60 (sessanta) giorni dalla data in cui detta cessazione è divenuta efficace e previo pagamento ad ARUBA di tutti gli importi contrattualmente dovuti.
I documenti informatici dovranno essere prelevati dal Cliente – quindi non incombe su ARUBA alcun obbligo di provvedere alla materiale restituzione dei documenti informatici conservati – secondo le modalità stabilite di seguito:
1. Accedendo al sistema, il Cliente effettua esplicita richiesta di chiusura dell’intero Archivio
2. Il sistema in automatico genera il pacchetto di versamento contenente tutte le evidenze dei PdA (Pacchetti di Archiviazione) conservati.
3. Il Cliente riceve comunicazione via mail PEC del buon esito della procedura
4. Il Cliente, da sistema, richiede la produzione del pacchetto di distribuzione relativo all’intero archivio
5. Entro i termini stabiliti da contratto, il sistema rende disponibile il pacchetto di distribuzione che potrà essere scaricato dal cliente
Nei successivi paragrafi vengono descritte le procedure adottate per la produzione di duplicati o copie.
7.7.1 Produzione di duplicati
La produzione di duplicati informatici dei documenti conservati può avvenire a seguito di una richiesta prove- niente dal dipartimento tecnico oppure da una richiesta effettuata direttamente all’interno del sistema di con- servazione.
In entrambe le situazioni, il passo iniziale consiste nella ricerca del documento informatico di interesse sfrut-
tando le funzionalità messe a disposizione dal sistema di conservazione. Individuato il documento informatico di interesse, una apposita funzione consente di effettuare il download del documento stesso, producendo quindi un duplicato.
Il documento informatico richiesto viene infatti estratto dal sistema in formato binario controllando che l’estrazione sia eseguita senza errori e quindi inviato all’utente che ne ha fatto richiesta.
7.7.2 Produzione di copie
La produzione di copie si rende necessaria solamente a seguito di obsolescenza tecnologica di un formato ac- cettato in conservazione e determina, quale diretta conseguenza, l’avvio di una procedura di riversamento so- stitutivo.
In tale contesto ARUBA, previo perfezionamento di specifico accordo scritto (dove saranno concordati ruoli, modalità, tempi e corrispettivi), si renderà disponibile a collaborare col Cliente nell’effettuare le copie informa- tiche dei documenti informatici depositati in conservazione secondo quanto stabilito dalle regole tecniche vi- genti.
7.7.3 Intervento del Pubblico Ufficiale
ARUBA richiede la presenza di un pubblico ufficiale nei casi in cui sia previsto il suo intervento assicurando allo stesso l'assistenza tecnica necessaria per l'espletamento delle attività al medesimo attribuite.
Ogni risorsa, comprese quelle di natura economica, necessaria per l'espletamento delle attività attribuite al pubblico ufficiale dovranno essere garantite e sostenute dal Cliente; pertanto, qualora il Cliente non se ne sia fatto carico direttamente, ARUBA è sin da ora autorizzata ad addebitare al Cliente tutti i costi e le spese, com- presi gli onorari inerenti le attività prestate dal Pubblico Ufficiale, qualora la normativa ne richieda obbligato- riamente la presenza.
7.8 Scarto dei pacchetti di archiviazione
7.8.1 Trasferimento dei documenti informatici in conservazione
Nella scheda di conservazione, parte integrante del contratto di servizio e sottoscritta dal cliente, sono indicati i tempi entro i quali le diverse tipologie di documenti devono essere trasferite in conservazione, ove, nel caso delle pubbliche amministrazioni, non già presenti nel Manuale di gestione.
7.8.2 Scarto dei documenti informatici conservati
Relativamente alla possibilità di scarto, ossia di eliminare legalmente i documenti informatici conservati digi- talmente a norma di legge, occorre distinguere preliminarmente la tipologia dei soggetti (Clienti) produttori, pubblici o privati.
Va preliminarmente osservato, che in ambito privato, con l’eccezione degli archivi “dichiarati di notevole inte- resse storico”, che divengono archivi specificatamente disciplinati, l’obbligo di conservazione dei documenti è
disciplinato dall’ordinamento vigente e, in particolare, dai termini prescrittivi del codice civile nonché, per le scritture contabili, le fatture, le lettere e i telegrammi ricevuti e le copie delle fatture, delle lettere e dei tele- grammi spediti, segnatamente dall’art. 2220 del c.c., il quale stabilisce l’obbligo di conservazione di dieci anni dalla data dell'ultima registrazione.
In ambito pubblico, oltre alle prescrizioni civilistiche, si rendono applicabili una serie di altre disposizioni speci- fiche, una su tutte, il Codice dei beni culturali e ambientali, emanato con il D.Lgs. 10 gennaio 2004, n. 42.
Inoltre, con riferimento agli archivi pubblici o privati, che rivestono interesse storico-artistico particolarmente importante, lo scarto del pacchetto di archiviazione avviene previa autorizzazione del Ministero per i beni e le attività culturali rilasciata al produttore secondo quanto previsto dalla normativa vigente in materia.
Pertanto, alla luce di quanto sopra sinteticamente rappresentato, una volta scaduti i termini previsti dalla legge il Cliente riceve una notifica via PEC dal sistema di conservazione e in autonomia può decidere di eliminare i do- cumenti conservati attraverso le funzionalità previste dal sistema di conservazione.
In analogia allo standard SInCRO, la struttura prevista per il PdV prevede una specificaAl fine di raggiungere un soddisfacente grado d’interoperabilità nei processi di migrazione, la struttura dell’indice del pacchetto di archi- viazione viene realizzata da ARUBA in conformità con quanto previsto dallo standard “Supporto all’Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali”, (c.d. SInCRO), ossia dalla norma UNI 11386 dell’ottobre 2010.
I pacchetti di archiviazione generati dal sistema di conservazione vengono trattati al solo scopo di soddisfare i requisiti della conservazione digitale dei documenti ed al soddisfacimento delle richieste di produzione di pac- chetti di distribuzione e di esibizione.
Il soddisfacimento dei requisiti della conservazione digitale implica che i pacchetti di archiviazione vengano fir- mati digitalmente dal responsabile del servizio di conservazione o da un suo delegato e marcati temporalmente per assicurarne la validità nel corso del tempo.
La produzione di pacchetti di distribuzione o l’esibizione di pacchetti di archiviazione comporta invece la produ- zione di duplicati degli stessi che sono successivamente utilizzati nei processi. Il pacchetto di archiviazione me- morizzato all’interno del sistema non subisce più alcuna modifica successiva alla firma digitale e all’apposizione della marca temporale.
7.10 Tabella riepilogativa delle fasi del processo di conservazione
Il processo di conservazione si articola nelle seguenti fasi:
FASE 1 | Acquisizione da parte del sistema di conservazione del pacchetto di versamento per la sua presa in carico | |
Descrizione sintetica | Consiste nella ricezione dell'IPdV | |
FASE 2 | Verifica che il pacchetto di versamento e gli oggetti contenuti siano coerenti con le modalità previ- ste nel presente Manuale di conservazione e con i formati di conservazione | |
Descrizione sintetica | In questa fase vengono condotti i controlli sull'IPdV | |
FASE 3 | Preparazione del rapporto di conferma | |
Descrizione sintetica | A seconda dell'esito del controllo sull'IPdV viene prodotto un rapporto di conferma che viene restituito al sistema versante. NOTA BENE: il rapporto di conferma non implica la presa in carico del versamento da parte del sistema | |
FASE 4 | Eventuale rifiuto del pacchetto di versamento, nel caso in cui le verifiche di cui alla FASE 2 abbiano evidenziato anomalie e/o non conformità | |
Descrizione sintetica | Alternativamente alla fase 3 viene restituito al sistema versante l'indicazione di eventuali anomalie. In tale caso il versamento viene rifiutato | |
FASE 5 | Ricezione dei documenti | |
Descrizione sintetica | Il sistema si mette in attesa dei documenti del PdV | |
FASE 6 | Verifica dei documenti | |
Descrizione sintetica | In questa fase vengono condotti i controlli specifici del documento ricevuto | |
FASE 7 | Generazione automatica del rapporto di versamento relativo a ciascun pacchetto di versamento, univocamente identificato dal sistema di conservazione e contenente un riferimento temporale, specificato con riferimento al Tempo Universale Coordinato (UTC), e una o più impronte, calcolate sull’intero contenuto del pacchetto di versamento, secondo le modalità di seguito descritte | |
Descrizione sintetica | Una volta ricevuti correttamente, o con warning, tutti i documenti del PdV viene pro- dotto il PdV | |
FASE 8 | Sottoscrizione del rapporto di versamento con firma digitale apposta da ARUBA | |
Descrizione sintetica | Il RdV viene firmato digitalmente dal Responsabile del servizio di Conservazione o da un suo delegato. Infine il RdV viene inviato al Cliente via email PEC. In questa fase Aruba prende in carico il versamento ufficialmente | |
FASE 9 | Preparazione e gestione del pacchetto di archiviazione (c.d. Pacchetto di archiviazione) |
Descrizione sintetica | Il Pacchetto di archiviazione è un insieme di metadati in grado di fornire prova dell’integrità dell’insieme dei documenti, ad esso correlati la cui conservazione decor- re da una data determinata, la cui prova di integrità è fornita tramite una firma elet- tronica qualificata, corroborata da una marca temporale. La struttura del pacchetto di archiviazione è costruita sulla base delle specifiche della struttura dati (UNI 11386:2010) contenute nell’allegato 4 alle regole tecniche e se- condo le modalità riportate nel manuale della conservazione |
FASE 10 | Sottoscrizione del pacchetto di archiviazione con firma digitale apposta da ARUBA e apposizione di una validazione temporale con marca temporale alla relativa impronta. Tale operazione viene in breve chiamata anche “Chiusura del pacchetto di archiviazione” | |
Descrizione sintetica | Il Pacchetto di Archiviazione (PdA), che viene costruito dal versamento di uno o più PdV, viene “chiuso” nel momento in cui tutti i PdV sono stati presi in carico dal siste- ma. La chiusura viene sancita dall'apposizione di opportuna marca temporale, per stabilirne l'istante di creazione, e firma digitale del Responsabile del servizio di Con- servazione o di un suo delegato, per garantirne l'immodificabilità. Con la suddetta firma apposta in calce al pacchetto di archiviazione e la suddetta dichiarazione il con- servatore NON SOTTOSCRIVE il contenuto e la semantica dei documenti conservati ma asserisce solamente che il processo di conservazione è stato eseguito corretta- mente, nel rispetto delle norme giuridiche e delle indicazioni contrattuali di servizio. | |
FASE 11 | Preparazione e sottoscrizione con firma digitale di ARUBA del pacchetto di distribuzione ai fini dell’esibizione richiesta dall’utente | |
Descrizione sintetica | Il pacchetto di distribuzione (PdD) è definito in base alle esigenze del richiedente e può contenere anche un set parziale di metadati. È generato a partire dai pacchetti di archiviazione. Nel caso più semplice il PdD contiene dei duplicati del PdA. In alternativa esso può essere costituito da una scelta di documenti conservati selezionati attraverso una o più interrogazioni. I risultati di tali ricerche possono essere raccolti in un'area di lavoro e da qui può essere prodotto il PdD voluto. | |
FASE 12 | Produzione di duplicati informatici effettuati su richiesta del Cliente in conformità a quanto previ- sto dalle regole tecniche in materia di formazione del documento informatico | |
Descrizione sintetica | Per duplicato informatico si intende il documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima se- quenza di valori binari del documento originario. I duplicati informatici hanno il me- desimo valore giuridico, ad ogni effetto di legge, del documento informatico da cui sono tratti, se prodotti in conformità alle regole tecniche in materia di formazione del documento informatico, ovvero se contiene la stessa sequenza di bit del documento informatico di origine. | |
FASE 13 | Eventuale scarto del pacchetto di archiviazione dal sistema di conservazione alla scadenza dei ter- mini di conservazione previsti dal Contratto di servizio, dandone preventiva informativa al Cliente al fine di raccoglierne il consenso | |
Descrizione sintetica | Alla scadenza dei termini di conservazione, il cliente in autonomia puo’ decidere di cancellar ei documenti in conservazione. | |
8 IL SISTEMA DI CONSERVAZIONE
8.1 Infrastruttura informatica datacenter
I Data Center dal quale sono erogati i servizi si trovano sul territorio nazionale e sono conformi ai requisiti della normativa ISO/IEC 27001:2005.
Nelle due strutture che verranno messe a disposizione per l’erogazione dei servizi viene data grande importan- za alla sicurezza degli ambienti e dei dati in essi contenuti. Per questo sono presenti tutta una serie di sistemi che permettono di garantire integrità degli ambienti e dei servizi.
8.2 Caratteristiche generali della soluzione di conservazione
La soluzione, come meglio descritto in seguito, presenta le seguenti caratteristiche peculiari:
- architettura di produzione implementata su infrastruttura virtuale e storage dedicati predisposta totalmente ridondata (HA) presso il Data Center di proprietà del gruppo Aruba, certificato ANSI/TIA 942-A Rating IV (ex Tier), sito in via Gobetti 96, Arezzo;
- architettura secondaria predisposta per consentire la doppia scrittura del dato, effettuata applicativamente, e la replica sincrona storage based della piattaforma virtuale, inclusi i DB documentali e di gestione, situata presso il Data Center di proprietà del gruppo Aruba, sito in via Ramelli, Arezzo;
Il Sistema di Conservazione è sviluppato in modo modulare consentendo una facile scalabilità semplicemente aggiungendo unità e potenza elaborativa ai moduli sottoposti al maggior carico. Vista l’esperienza del Gruppo Aruba nell’ambito della gestione di grandi volumi di dati è sempre stato un obiettivo per il Gruppo creare archi- tetture che possiamo definire elastiche: “espandibili” in caso di aumento del carico di lavoro oppure “limitabili” nel caso di una riduzione delle necessita.
L’intera soluzione è stata progettata per essere quindi in grado di gestire l’elaborazione di grandi volumi di dati, scalando sia verticalmente che orizzontalmente in ognuna delle sue singole componenti, con un elevato livello di affidabilità, distribuendo su più server fisici nodi con il medesimo ruolo ed evitando single point of failure.
L’architettura modulare del sistema e’ implementata al 100% su infrastruttura di virtualizzazione con hypervi- sor vMWare e garantisce i sintesi i seguenti vantaggi:
Affidabilità - Totale ridondanza ai guasti HW
- Funzionalità di HA implementata dall’architettura virtuale.
- Almeno due moduli con il medesimo ruolo posizionati su server fisici separati.
- DBMS in configurazione Master-Master.
- Utilizzo di sistemi di firma e marca ad alte prestazioni in HA
Architettura scalabile
- Nodi di Front-End ed Application multipli e contemporaneamente attivi.
- Storage di livello Enterprise ad alte prestazioni per la piattaforma VMware e le componenti DB
- Funzionalità di replica
Di seguito riportiamo l’immagine rappresentativa delle componenti logiche del sistema di conservazione:
Figura 2: Rappresentazione delle componenti logiche
Come si evince dalla figura l’architettura è basata su una soluzione multi-tier a 3 livelli:
- Presentation layer: L’applicazione è pensata per essere scalabile, aumentando il numero dei Web container attraverso una logica di server clustering, gestita automaticamente dal sistema, che, a seconda del livello di carico di ciascun server, distribuirà al meglio le richieste dei client
- Business logic (o application) layer: La Business Logic implementa l’intelligenza necessaria per gestire le va- rie istanze di backend sia in scrittura, sia in fase di ricerca, distribuendo le query sulle varie istanze disponi- bili. Tutte le istanze backend sono sempre disponibili almeno in lettura
- Store (& Database) layer: la parte di back end è composta da diverse istanze. Ogni istanza è costituita dal DB e dal relativo file system. Il DB è duplicato in modalità Master-Master su due nodi predisposti sull’ambiente virtuale e contiene i metadati conservati; il FS contiene l’archivio (dati conservati) e viene re- plicato con strumenti di basso livello.
8.4 Componenti tecnologiche
Il sistema di conservazione ArubaPEC è composto da verie parti e tecnologie, con l'obiettivo di trarre il meglio dalla loro sinergia.
Le principali componenti software che interagiscono all'interno del sistema sono:
• Sistema documentale quale CMS di riferimento
• DB per la gestione dei dati di sistema e dei metadati legati ai materiali in conservazione
• Sistema LDAP per le operazioni di registrazione, autenticazione e controllo degli accessi degli utenti al sistema, indipendentemente dall'interfaccia scelta
• Web server e servlet container per le interfacce di frontiera (Web e Web Service)
• Un sistema di message broker per la gestione delle code in ingresso dei materiali in conservazione sulle interfacce di caricamento massivo (FTP e Web Service)
• Motore di Ricerca per la gestione dei dati di audit
La soluzione è composta da due infrastrutture fra loro interconnesse:
- un sito di Produzione completamente autosufficiente e con tutte le componenti ridondate in HA e collegato tramite fibre ottiche dedicate e di proprietà, con doppia via, al sito secondario,
- un sito Secondario di DR predisposto alla replica dei dati e con le componenti necessarie ad una ripartenza del servizio.
Tutte le componenti utilizzate sono di tipologia enterprise e, come tutte le soluzioni implementate da ARUBA, utilizzano prodotti di marche ampliamente riconosciute e leader del mercato di riferimento.
8.5.1 Sito Primario (Produzione)
Il sito di produzione ospita una infrastruttura virtuale basata su soluzione VMware sul quale vengono istallati:
- i nodi di Front-End (almeno due) per le interfacce di caricamento, esibizione e gestione,
- gli Application o Business Logic server (almeno due),
- i backend server, un singolo nodo per ogni istanza,
- un nodo virtuale dedicato al DB server di ogni istanza di backend, la seconda copia in Master-Master è in- stallata sul sito secondario,
- un nodo virtuale per la gestione delle code del sistema di caricamento,
- un nodo virtuale che implementa il DB che contiene tutte le informazioni per la gestione dell’infrastruttura (configurazione, accounting, etc.), la seconda copia in Master-Master è installata sul sito secondario,
- Storage di livello enterprise per l’archiviazione dei documenti;
- Link ed interfacce verso i sistemi di Firma e Marcatura presenti nel medesimo data Center
La figura sottostante schematizza quanto implementato sul sito principale senza entrare nelle specifiche moda- lità di replica.
Al fine di garantire i ridondanza e bilanciamento del traffico vengono utilizzati dispositivi di load balancing in grado di distribuire il carico di lavoro su un numero di macchine virtualmente illimitato. Questo meccanismo permette di risolvere oltre a problemi prestazionali con la semplice aggiunta a caldo di nuove macchine, anche problemi relativi ad eventuali guasti delle componenti bilanciate, nonché la manutenzione programmata dei singoli nodi.
Figura 3: Rappresentazione architettura fisica della soluzione
Il sito secondario ospita un’infrastruttura virtuale basata su VMWare sulla quale vengono installati:
- Server di backend corrispondente ad uno dei nodi ridondati dell’ambiente di produzione
- Server DB sincronizzato in maniera sincrona (master-master) con i DB di produzione
- Storage enterprise su cui vengono sincronizzati i dati in maniera asincrona che saranno resi disponibili ai server del sito secondario per ripristinare il servizio
- Collegamenti verso i sistemi esterni di firma e Marcatura temporale (sempresituati nel sito secondario)
- Macchine virtuali replicate dal sito primaro (1 per ciascuna tipologia)
Nello specifico le macchine replicate dal sito primario sono quelle che fornirscono i seguenti servizi:
- Frontend Web
- Frontend WS
- Business Logic
- Indicizzazione
- Audit
- Autenticazione
La procedura di switch tra il sito primario ed il secondario è basata tramite il cambio dei puntamenti a livello di DNS.
La figura sottostante schematizza la modalità di replica delle componenti non replicate applicativamente, ad esclusione quindi dei dati archiviati, replicati con doppia scrittura e DB, configurati in Master-Master.
Figura 4: Schema logico della soluzione di Disaster Recovery
In caso di problemi sul sito di Produzione è possibile effettuare la riattivazione del servizio, senza perdita di dati entro 24 ore.
8.6 Procedure di gestione e di evoluzione
In linea con quanto previsto dalla circolare n° 65, nell’allegato “REQUISITI DI QUALITÀ E SICUREZZA PER L’ACCREDITAMENTO E LA VIGILANZA” , sono descritte le procedure in riferimento a:
- conduzione e manutenzione del sistema di conservazione;
- gestione e conservazione dei log (anche in accordo con l’ente Produttore);
- monitoraggio del sistema di conservazione:
- change management;
- verifica periodica di conformità a normativa e standard di riferimento
Riguardo i primi tre aspetti, si richiama il documento “Descrizione architetturale dell' Infrastruttura, Gestione delle Continuità Operativa & Backup”. Il documento in oggetto descrive strategie di continuità, considerando tutte le componenti organizzative, operative, del business, tecnologiche, infrastrutturali che contribuiscono all'intero sistema e processo di conservazione.
8.6.1 Change management
Qualsiasi operazione di upgrade per evoluzione o bugfixing di una qualsiasi componente del sistema di conser- vazione ArubaPEC segue una procedura standardizzata atta a operare per garantire il minimo impatto su even- tuali fermo servizio e la massima sicurezza possibile riguardo ai dati e documenti a sistema.
Tale procedura si basa sui seguenti assunti:
• ogni componente sviluppata è conservata in opportuno sistema di versionamento del codice
• i file di configurazione di ogni componente sono separati dai compilati in maniera da garantire un accesso più flessibile e veloce al personale addetto
• sono state predisposte apposite macchine di deploy per l'assemblamento, compilazione e pacchettizzazione delle componenti da installare
Ogni aggiornamento del sistema passa da un flusso ben definito che consente contemporaneamente di mante- nere stabile e sicura l'intera soluzione in uso dall'esterno e di sviluppare senza ostacoli nuove funzionalità.
Tale procedura risulta di particolare importanza anche per garantire l'accesso controllato e limitato a pochi ad- detti agli ambienti di produzione.
In particolare vengono messi a disposizione 3 ambienti di lavoro: development, test e produzione.
Tutti gli sviluppi vengono condotti e testati nell'ambiente development che è di uso esclusivo agli sviluppatori per le sue caratteristiche di continua trasformazione.
Qualsiasi altro attore esterno al team di sviluppo non ha nessun accesso a tale ambiente.
Il codice sviluppato viene conservato all'interno di un sistema di versionamento organizzato in maniera da permettere una veloce e sicura rollback a qualsiasi versione del software. Una volta che un nuovo modulo software è pronto, esso viene registrato nel sistema di versionamento con una particolare etichetta.
Per operare l'installazione sull'ambiente di test, deputato ai test pre-collaudo, i sorgenti vengono scaricati su un ambiente di deploy, esterno all'ambiente di test stesso, direttamente dal sistema di versionamento, insieme a eventuali script automatici di compilazione, installazione e configurazione.
Solo che il processo di testing va a buon fine si procede con l'installazione del tutto nell'ambiente di produzione con la medesima procedura utilizzata per l'ambiente di test.
8.6.2 Verifica periodica di conformità a normativa e standard di riferimento
Aruba, in qualità di conservatore, svolge una verifica periodica della conformità alle normative ed agli standard. di riferimento. A tal proposito, viene effettuata una volta l’anno, una verifica sulla rispondenza ai requisiti di qualità e sicurezza avvalendosi dello strumento di check list, sulla base dell’ allegato della circolare n° 65, at- traverso il quale viene registrata l’aderenza o meno alla conformità richiesta.
9 MONITORAGGIO E CONTROLLI
In questo capitolo si riporta la descrizione delle procedure di monitoraggio della funzionalità del sistema di con- servazione e delle verifiche sull’integrità degli archivi con l’evidenza delle soluzioni adottate in caso di anoma- lie.
ARUBA assicura la verifica periodica del funzionamento, nel tempo, del sistema di conservazione. Tali procedu- re sono riportate in maniera dettagliata all’interno del documento “ Descrizione architetturale dell'iInfrastrut- tura, Gestione delle Continuità Operativa & Backup”.
Il controllo della buona funzionalità del sistema di conservazione avviene tramite apposite funzionalità di moni- toraggio del software. Esse mostrano l’esito delle operazioni automatiche eseguite sul sistema di conservazione come la generazione dei pacchetti di archiviazione, la chiusura dei pacchetti di archiviazione e la verifica dell’integrità degli archivi.
Unitamente all’esito delle predette operazioni vengono controllati anche i log delle operazioni medesime al fi- ne di avere maggiore certezza di quanto effettivamente eseguito dal sistema di conservazione. Tutte queste informazioni sono controllate per ciascun singolo cliente.
Il monitoraggio avviene inoltre anche a livello di processi di elaborazione sul sistema di conservazione. Questo permette di individuare eventuali casi di processi bloccati che potrebbero inficiare il funzionamento del sistema stesso.
Un ultimo controllo del buon funzionamento del sistema può avvenire tramite il monitoraggio delle tracciature che vengono effettuate a livello di database. Tutte le operazioni eseguite determinano infatti la creazione di apposite revisioni che registrano tutte le modifiche intervenute sul sistema permettendo eventualmente di ri- pristinare i dati a seguito di situazioni anomale.
9.2 Verifiche sull’integrità degli archivi
ARUBA assicura la verifica periodica, con cadenza non superiore all’anno, dell’integrità degli archivi e della leg- gibilità degli stessi; assicura, inoltre, agli organismi competenti previsti dalle norme vigenti l’assistenza e le ri- sorse necessarie per l’espletamento delle attività di verifica e di vigilanza.
Il sistema di conservazione esegue periodicamente ed automaticamente le operazioni di controllo dell’integrità degli archivi. Tali operazioni vengono eseguite solo su una certa percentuale dell’archivio che viene definita nella configurazione del sistema di conservazione.
Il controllo eseguito è di due tipologie:
- controllo di leggibilità: consiste nel verificare che i singoli bit degli oggetti siano tutti correttamente leggibili. Questo fornisce garanzia del buono stato del supporto di memorizzazione.
- controllo di integrità: consiste nel ricalcolare l’hash di ciascun oggetto e verificare che corrisponda all’hash memorizzato nel sistema. Questo fornisce una ragionevole certezza dell’integrità degli oggetti dato che la funzione di hash restituisce un valore differente anche a seguito della modifica di un solo bit dell’oggetto.
La combinazione dei due tipi di controllo descritti non fornisce però garanzia di poter visualizzare correttamen- te il documento e che lo stesso sia effettivamente intellegibile dall’uomo.
Infatti questa garanzia non può essere fornita senza entrare nel merito del documento stesso. La garanzia della corretta visualizzazione del documento è d’altro canto garantita dalla scelta del formato PDF/A per i documenti
conservati. Questo formato possiede infatti la caratteristica intrinseca di fornire leggibilità a lungo termine oltre all’ulteriore garanzia di essere basato su specifiche pubbliche (ISO 19005-2005).
9.2.1 Pianificazione delle verifiche periodiche da effettuare
Il controllo periodico dell’integrità degli archivi avviene con una frequenza di una volta al mese.
9.2.2 Mantenimento della firma per il periodo di conservazione
Il sistema di conservazione si avvale di un fornitore terzo (Certificatore accreditato) per le attività di firma digi- tale e di marcatura temporale. Questo fornitore garantisce che gli elaboratori che offrono il servizio di marcatu- ra temporale e di firma digitale sono protetti da livelli di protezione logica estremamente elevati. La medesima collocazione fisica del sistema garantisce gli elaboratori dalla possibilità di compromissioni fisiche grazie agli ac- corgimenti tecnici atti ad impedire accessi non autorizzati da persone e danneggiamenti da eventi accidentali. Non è infatti consentito l’accesso e la permanenza di una sola persona. I locali ove si svolgono le procedure di firma e marca sono dotati di sofisticati impianti di allarme, telecamere, microfoni, rilevatori di movimento (che si attivano soltanto quando nessuna persona vi è presente), al fine di controllare ogni movimento all’interno degli stessi.
9.3 Soluzioni adottate in caso di anomalie
In caso di anomalie riscontrate a seguito del monitoraggio delle funzionalità del sistema di conservazione e del- le verifiche sull’integrità degli archivi, sono presenti apposite procedure di emergenza (contingency) da applica- re in attesa del ripristino del servizio. Per maggiori dettagli si rimanda al documento “Descrizione architetturale dell' Infrastruttura, Gestione delle Continuità Operativa & Backup”.
10 RIFERIMENTI CONTRATTUALI
In questo capitolo sono riportati i documenti costituenti l’impianto contrattuale del servizio di conservazione a norma tra Produttore e Conservatore.
ARUBA, in linea con la normativa vigente, garantisce contratti o accordi scritti che specificano e disciplinano: diritti e responsabilità delle Parti, versamento e acquisizione, mantenimento, accesso, ritiro, deposito, diritti e responsabilità di conservazione sui i documenti che tratta, natura economica e di servizio
Ai fini dell’attivazione ed erogazione del servizio di conservazione il Cliente sottoscrive e perfeziona il relativo Contratto SI tratta del contratto con il quale il Cliente affida ad ARUBA la conservazione digitale dei documenti informatici di cui è titolare nonché dei documenti informatici di titolarità di terzi soggetti dallo stesso prodotti, sottoscritti digitalmente e versati in conservazione in virtù di specifico affidamento a tal fine sottoscritto dai suddetti terzi in favore del Cliente.
10.1.1 Nomina di Aruba quale responsabile del servizio di conservazione e del trattamento dei dati
Ai fini dell’erogazione del servizio di conservazione digitale a norma, il Cliente nomina e affida ad ARUBA quale Responsabile del Servizio di Conservazione e Responsabile esterno del trattamento dei dati come previsto dalla vigente normativa in materia Codice in materia di protezione dei dati personali (D.Lgs. 196/2003 e s.m.i.) e in- dicato all’art 6 co. 8 delle nuove regole tecniche (DPCM del 3 Dic 2013). Pertanto, i ruoli di Responsabile della conservazione e di Titolare del trattamento sono ricoperti dall’ente comunale Cliente, mentre i ruoli di Respon- sabile del servizio di conservazione e di Responsabile esterno del trattamento dei dati saranno ricoperti da ARUBA.
10.1.2 Elenco dei documenti in conservazione
Tale documento costituisce parte integrante e sostanziale del Contratto.
Il Produttore condivide con ARUBA le caratteristiche, le modalità ed i termini di versamento dei documenti in- formatici da sottoporre a conservazione digitale, approvando espressamente quanto indicato nelle scheda con- servazione.
Fra i diversi aspetti da concordare attraverso la scheda di conservazione, i principali sono:
- le tipologie di documenti da conservare;
- i metadati minimi riferiti ad ogni classe/tipo documento
- eventuali (metadati) extrainfo riferiti ad ogni classe/tipo documento sui quali effettuare specifici controlli;
- i formati da adottare per ogni classe/tipo documento;
- i software in grado di interpretare e rendere leggibili per l’uomo i formati prescelti in caso di formati fuori standard;
- i fogli di stile da utilizzare per la corretta rappresentazione dei documenti in formato XML;
- le modalità e canali di trasferimento dei documenti nell’archivio
- modalità e termini di comunicazione tra conservatore e produttore;
- condizioni per la corretta conservazione dei pacchetti;
Tale documento contenente le informazioni relativamente alle persone designate ai rapporti con ARUBA costi- tuisce parte integrante e sostanziale del Contratto.
Ai fini dell’affidamento del servizio di conservazione digitale di documenti informatici, il Produttore comunica l’identità delle persone fisiche dallo stesso ufficialmente incaricate di mantenere i rapporti con ARUBA e titola- te ad operare in nome e per conto del Produttore medesimo, precisandone funzione e ruolo.
10.2 Modello di funzionamento del servizio
L’obiettivo ed il compito di ARUBA è quello di conservare i documenti informatici del Cliente con sistemi coe- renti alla normativa regolante la conservazione digitale dei documenti informatici.
In particolare, il servizio di conservazione digitale di ARUBA soddisfa le seguenti funzioni d’uso:
- salvaguardia dell’integrità dei documenti informatici conservati mediante apposizione della firma digitale al pacchetto di archiviazione. Nel suddetto pacchetto di archiviazione è presente, fra l’altro, l’impronta di ogni singolo documento sottoposto a conservazione;
- prolungamento della validità del documento mediante apposizione della marca temporale al pacchetto di archiviazione;
- accesso diretto tramite interfaccia Web ai documenti informatici conservati;
- semplicità di invio e versamento dei documenti informatici da sottoporre a conservazione;
- totale sicurezza nella trasmissione dei documenti informatici da sottoporre a conservazione.
Il sistema di conservazione opera secondo un modello organizzativo che garantisce la sua distinzione logica dal sistema di gestione documentale, qualora esistente presso il Cliente.
In particolare, la conservazione è svolta affidando ad ARUBA il ruolo ed i compiti fissati nell’Atto di Affidamen- to.
A tal fine, ARUBA ed il Cliente hanno adottato il presente Manuale ove sono illustrati dettagliatamente l’organizzazione, i soggetti coinvolti ed i ruoli svolti dagli stessi, il modello di funzionamento, la descrizione dei processi, la descrizione delle architetture e delle infrastrutture utilizzate, le misure di sicurezza adottate ed ogni altra informazione utile alla gestione ed alla verifica del funzionamento, nel tempo, del sistema di conservazio- ne.
Pertanto, al fine di attivare il servizio di conservazione digitale dei documenti informatici è necessario che il Cliente abbia sottoscritto il Contratto e gli allegati ad esso relativi, all’interno dei quali vengono, fra l’altro, spe- cificati:
a) i contenuti e le caratteristiche generali del Servizio di conservazione digitale;
b) i termini di decorrenza e la durata del Servizio di conservazione digitale;
c) gli eventuali Servizi Estesi erogati su richiesta del Cliente;
d) le responsabilità e gli obblighi del Cliente;
e) le responsabilità e gli obblighi di ARUBA;
f) le modalità di produzione/formazione/emissione/sottoscrizione dei documenti informatici;
g) la descrizione delle tipologie e delle classi dei documenti informatici da sottoporre a conservazione, comprensiva dell’indicazione dei formati gestiti, dei metadati da associare alle diverse tipologie di documenti e delle eventuali eccezioni;
h) la definizione dell’intervallo di conservazione ossia dell’intervallo di tempo intercorrente tra la presa in carico del pacchetto di versamento e la chiusura del pacchetto di archiviazione.
i) Le modalità di distribuzione/esibizione dei documenti informatici conservati;
Il processo di conservazione impone al Cliente l’istituzione di un’organizzazione interna idonea, che garantisca la piena osservanza delle disposizioni normative in tema di gestione documentale2 e delle procedure da osser- vare per la corretta produzione/formazione/emissione e sottoscrizione dei documenti informatici destinati alla conservazione digitale in conformità alle regole tecniche di cui all’art. 71 del CAD ed a quanto stabilito dal pre- sente Manuale e dal Contratto.
A tale scopo, in base alle specifiche necessità, il Cliente deve, sia dal punto di vista dell’impostazione operativa delle attività propedeutiche alla conservazione digitale dei documenti informatici che dal punto di vista della scelta delle risorse coinvolte nel processo, organizzare il lavoro affinché esso venga svolto secondo i principi stabiliti dalla normativa regolante la conservazione digitale dei documenti informatici.
Il Cliente, quindi, all’interno della propria struttura organizzativa, dovrà aver definito:
2 Si veda, a puro titolo di esempio, il DPR 28.12.2000, n. 445, il DPCM 3.12.2013 sul protocollo informatico, ove applicabili;
a) le procedure propedeutiche alla conservazione digitale a lungo termine dei documenti informatici;
b) le funzioni e le attività affidate, con particolare attenzione alla verifica della congruità e continuità dei processi di produzione/formazione/emissione dei documenti informatici destinati alla conservazione digitale a lungo termine;
c) la gestione delle responsabilità derivanti dalle funzioni ed attività affidate;
d) la documentazione delle deleghe ed il relativo mantenimento;
e) le misure organizzative e tecniche idonee ad evitare danno ad altri.
Il Cliente deve attenersi scrupolosamente alle regole previste dal presente Manuale, alle prescrizioni previste nel Contratto e negli allegati ad esso relativi.
Il Cliente deve altresì prendere visione del presente Manuale prima di inoltrare i pacchetti di versamento e/o qualsiasi altra richiesta a ARUBA.
10.2.2 Obblighi di ARUBA
ARUBA, come analiticamente descritto nel Contratto, limitatamente alle attività ad essa affidate, è responsabile verso il Cliente per l’adempimento degli obblighi discendenti dall’espletamento delle attività previste dalla normativa vigente in materia di conservazione digitale di documenti informatici.
In particolare, ARUBA, ai fini dell’erogazione del Servizio oggetto del Contratto, svolge le attività ad essa affida- te dal Cliente come in dettaglio riportate nel documento “Atto di Affidamento”, nei modi e nei termini specifi- cati nel presente Manuale e negli allegati ad esso relativi.
Pertanto è obbligo di ARUBA conservare digitalmente i documenti informatici del Cliente allo scopo di assicura- re, dalla presa in carico e fino all'eventuale cancellazione, la loro conservazione a norma, garantendone, trami- te l'adozione di regole, procedure e tecnologie, le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità.
Il Sistema di conservazione di ARUBA è in grado di esibire tutti i documenti informatici in esso conservati in qualsiasi momento del periodo di conservazione; a tal fine, ARUBA ha in essere procedure adeguate a soddisfa- re, senza indebiti ritardi, le richieste di accesso, esibizione o consegna dei documenti conservati, effettuate dai soggetti debitamente autorizzati.
Oltre alla restituzione dei documenti informatici trasferiti e conservati presso ARUBA, viene garantita anche la restituzione delle relative evidenze informatiche che comprovano la corretta conservazione degli stessi, for- nendo gli elementi necessari per valutare la loro autenticità e validità giuridica.
Non rientra fra i Servizi offerti da ARUBA la conservazione di documenti analogici.
ARUBA provvede alla realizzazione di una base di dati relativa ai documenti informatici che il Cliente versa in conservazione, gestita secondo i principi di sicurezza illustrati nel presente Manuale e nel Contratto attuati adottando procedure di tracciabilità tali da garantire la corretta conservazione, l’accessibilità a ogni singolo do- cumento e la sua esibizione.
ARUBA si occupa altresì di definire:
a) le caratteristiche ed i requisiti del sistema di conservazione in funzione della tipologia dei documenti da conservare e organizzare gli stessi in modo da garantire la corretta conservazione e la sicurezza dei dati, anche al fine di poterli prontamente produrre, ove necessario;
b) le procedure di sicurezza e tracciabilità che consentano di risalire in ogni momento alle attività effettuate
durante l’esecuzione operativa di conservazione.
c) le procedure informatiche ed organizzative per la corretta tenuta dei supporti su cui vengono memorizzati i documenti informatici oggetto di conservazione.
d) le procedure informatiche ed organizzative atte ad esibire la documentazione conservata, in caso di richieste formulate da chi ne abbia titolo.
ARUBA si occupa di redigere e sottoporre a revisione il presente Manuale. Il Cliente si dovrà dotare di un pro- prio Manuale della Conservazione costituito dalla descrizione di componenti, processi ed organizzazione propri, integrato e completato, se ritenuto necessario, dal presente Manuale.
10.2.4 Compiti di manutenzione e controllo
ARUBA provvede a:
- mantenere un registro cronologico del software dei programmi in uso nelle eventuali diverse versioni suc- cedute nel tempo ed un registro cronologico degli eventi di gestione del sistema di conservazione com- prensivo delle risoluzioni adottate per rimuovere eventuali anomalie;
- implementare specifici controlli di sistema per individuare e prevenire l’azione di software che possano alterare i programmi ed i dati;
- verificare la corretta funzionalità del sistema e dei programmi in gestione;
- analizzare e valutare periodicamente la registrazione degli eventi rilevanti ai fini della sicurezza (analisi del log di sistema);
- definire e documentare le procedure di sicurezza da rispettare per l’apposizione del riferimento temporale;
- mantenere e gestire i dispositivi di firma in conformità con le procedure stabilite dal certificatore qualificato che ha rilasciato i relativi certificati;
- verificare la validità delle marche temporali utilizzate dal sistema di conservazione;
- verificare il buon funzionamento del filesystem
ARUBA effettua le seguenti attività:
- supervisione dell’intero sistema di conservazione digitale, verificando accuratamente i processi di apposizione delle firme digitali, dei riferimenti temporali e delle marche temporali, in modo che la procedura rispetti la normativa, assicurandosi che tutto il processo si realizzi secondo le procedure descritte nel presente Manuale;
- sincronizzazione dell’ora di sistema di tutti i sistemi utilizzati, verifica e controllo della sincronizzazione del clock di sistema per consentire registrazioni accurate e comparabili tra loro;
- mantenimento della documentazione descrittiva del processo di conservazione aggiornata nel corso del tempo;
10.2.6 Fasi del processo di conservazione e responsabilità
Il servizio di conservazione digitale dei documenti informatici è erogato e sviluppato per rispondere alle esigen- ze di qualsiasi soggetto che abbia l’esigenza di conservare documenti informatici come imprese, professionisti, associazioni, Pubblica Amministrazione centrale e locale. Il servizio permette di conservare i documenti infor- matici del Cliente, garantendone l'integrità e la validità legale nel tempo nonché la loro “esibizione a norma”.
Come già fatto osservare, il sistema di conservazione opera secondo i modelli organizzativi esplicitamente con- cordati con il Cliente e formalizzati nel Contratto e negli allegati ad esso relativi che garantiscono la sua distin- zione logica dal sistema di gestione documentale del Cliente, qualora esistente.
Pertanto, la conservazione non viene svolta all’interno della struttura organizzativa del Cliente (soggetto titola- re dei documenti informatici da conservare), ma è affidata ad ARUBA, che espleterà le attività per le quali ha ricevuto formale affidamento, nei limiti della stessa e per le quali opera in modo autonomo e ne è responsabi- le.
La sequenza di attività che vanno dalla fase propedeutica alla formazione dei documenti informatici alla fase di conservazione degli stessi è di seguito schematicamente rappresentata:
Sistemi | Fase | Descrizione e MACRO FASI del processo di conservazione | Attività a carico di: | |
Cliente | ARUBA | |||
Sistema di gestione documentale del Cliente | 1 | Produzione/formazione/emissione a norma dei documenti informatici e contestuale generazione dei relativi metadati | X | |
2 | Produzione del pacchetto di versamento | X | ||
3 | Deposito in conservazione del pacchetto di versamento e dei relativi documenti informatici completi di metadati | X | ||
Servizio di Fatturazione PA e PEC | 1a | Produzione/formazione/emissione a norma dei documenti informatici e contestuale generazione dei relativi metadati | X | |
2a | Produzione del pacchetto di versamento | X | ||
3a | Deposito in conservazione del pacchetto di versamento e dei relativi documenti informatici completi di metadati | X | ||
Sistema di Firma Digitale | 4 | Servizio di Firma Automatica e di eventuale apposizione marca temporale, da effettuare sui documenti tributari prima dell’invio al sistema di conservazione. | X | X |
Sistema di conservazione digitale dei documenti informatici | 5 | Acquisizione da parte del sistema di conservazione del pacchetto di versamento prodotto dal Cliente per la sua presa in carico | X | |
6 | Verifica che il pacchetto di versamento ed i documenti informatici in esso descritti siano coerenti e conformi alle prescrizioni stabilite dal Contratto di servizio | X | ||
7 | Eventuale rifiuto del pacchetto di versamento o dei documenti informatici, nel caso in cui le verifiche di cui alla fase 6 abbiano evidenziato delle anomalie | X | ||
8 | Generazione, in modo automatico, del rapporto di versamento relativo a ciascun pacchetto di versamento | X | ||
9 | Invio al Cliente del rapporto di versamento | X | ||
10 | Preparazione e gestione del pacchetto di archiviazione | X | ||
11 | “Chiusura” del pacchetto di archiviazione mediante sottoscrizione con firma digitale di ARUBA e apposizione di marca temporale | X | ||
12 | Richieste di esibizione dei documenti informatici conservati | X | ||
13 | Preparazione del pacchetto di distribuzione ai fini dell’esibizione richiesta dall’utente con tutti gli elementi necessari a garantire | X | ||
l’integrità e l’autenticità degli stessi | ||||
14 | Richiesta del Cliente di duplicati informatici | X | ||
15 | Produzione di duplicati informatici su richiesta del Cliente | X |
Dal prospetto di cui sopra emerge chiaramente come ogni singola fase del processo è propedeutica alle altre.
In ogni caso, prima di dare corso al processo di conservazione, il Cliente e ARUBA dovranno definire, attraverso il perfezionamento del Contratto e degli allegati ad esso relativi, come configurare il servizio in base alle specifi- che esigenze del Cliente concordando le modalità di gestione e fruizione oltre alla quantità e tipologia di docu- menti da conservare.
11 LIVELLI DI SERVIZIO
I livelli di servizio relativi all’offerta standard, sono riportati nella tabella in basso e rappresentano le metriche di servizio che devono essere rispettate dal conservatore ARUBA nei confronti dei propri clienti/utenti. Di fatto, una volta stipulato il contratto, assumono il significato di obblighi contrattuali.
Caratteristiche Generali del Servizio | Specifiche Tecniche |
Disponibilità complessiva del servizio | 99,95% |
Assistenza | Inclusa attraverso il canale ticketing e telefonico con SLA dipendenti dai canali dalle politiche di vendita |
Periodo di fatturazione | Annuale |
Durata minima contratto | Un anno (eventuali upgrade richiesti in seguito alla stipula del con- tratto vanno ad allinearsi alla scadenza riportata sul contratto stes- so) |
Datacenter su cui è attivabile il servi- zio | DC1-IT (http://datacenter.aruba.it) |
Fasi elaborazione Pacchetti di Versa- mento | Specifiche Tecniche |
Presa in carico del PdV (Rapporto di versamento) | Entro 48h dal ricevimento dell’ultimo documento contenuto nel pacchetto di versamento |
Invio in conservazione del PdA | Entro 72h dalla validazione dell’ultimo Pacchetto di Versamento PdV inserito nel relativo Pacchetto di Archiviazione. Nel caso vi siano PdV incompleti entro 7 giorni con lo scarto dei PdV incompleti |
Comunicazioni durante il processo | Specifiche Tecniche |
Rapporto di Versamento – a seguito della validazione del PdV | Entro 4h dalla effettiva validazione del PdV |
Rapporto di Conservazione – PdA Conservato | Entro 4h dall’effettiva conservazione del PdA |
Richiesta di Esibizione | Specifiche Tecniche |
Produzione del Pacchetto di Distribu- zione | Entro 24h dalla richiesta di produzione del PdD |
La valutazione degli SLA viene effettuata considerando che le tempistiche sopra riportate vengono ri- spettate almeno nel 98% dei casi con intervallo di valutazione quadrimestrale.
12 SICUREZZA DEL SISTEMA DI CONSERVAZIONE
ArubaPEC ha implementato un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) conforme alla norma ISO 27001. Nell’ambito del Sistema di Conservazione proposto sono adottate misure di sicurezza fisica, logica e organizzativa coerenti con tale SGSI e con la normativa vigente in tema di protezione dei dati personali (D.lgs. 196/2003).
12.1 Privacy e requisiti di sicurezza dei dati
ARUBA esegue il trattamento dei dati personali in conformità a quanto previsto dal D.lgs. 196/2003 e dalla normativa vigente in materia; ciascun trattamento di dati personali è improntato ai principi di correttezza, licei- tà e trasparenza nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali.
Tutte le misure minime di sicurezza obbligatorie previste dal Disciplinare Tecnico allegato al D.lgs. 196/2003, sono adottate dalla scrivente società, nonché quelle ulteriori previste dalla normativa vigente e dai Provvedi- menti del Garante per la Protezione dei Dati Personali, e si è dotata di adeguate misure informatiche ed orga- nizzative atte a garantire la sicurezza, l’integrità e la riservatezza dei dati personali trattati.
Con specifico riferimento ai compiti affidati con la nomina a Responsabile esterno al trattamento dei dati per- sonali ai sensi dell’art. 29 D.Lgs. n. 196/2003, ARUBA comunica di ottemperare alle seguenti attività in merito a: (i) la designazione per iscritto delle persone fisiche incaricate del trattamento e l’individuazione dei diversi livelli di accesso di ciascun incaricato del trattamento in corrispondenza delle specifiche mansioni ad esso attri- buite; (ii) il rispetto delle prescrizioni del Garante per la protezione dei dati personali del 27 novembre 2008, “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle funzioni di amministratore di sistema” e successive modifiche e integrazioni; (iii) il rispetto delle prescrizioni di cui al Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazione di dati per- sonali (c.d. data breach) – 4 aprile 2013 emesso dal Garante per la Protezione dei Dati Personali e l’impegno di comunicare senza indebito ritardo al Cliente e comunque entro i termini previsti nel predetto provvedimento gli eventi e le informazioni necessarie a consentire al Cliente di adempiere agli obblighi di notifica al Garante e al contraente della violazione dei dati personali, come previsto dall’art. 32-bis co. 1 e 2 D. Lgs n. 196/03.
ARUBA adotta tutte le misure ivi richieste per il trattamento dei dati personali effettuato nell’erogazione dei servizi di Conservazione ed in genere nell’esecuzione delle prestazioni ad essa affidate, nonché di quelle ulte- riori prescritte dalla normativa vigente e dai Provvedimenti del Garante per la Protezione dei Dati Personali in merito.
ARUBA s’impegna a non divulgare, comunicare o diffondere le informazioni e i dati dei quali verrà a conoscen- za durante l’espletamento delle attività. Inoltre si impegna a rispettare, nello svolgimento delle attività oggetto dell’appalto, tutti i principi, contenuti nelle disposizioni normative vigenti, relativi al trattamento dei dati per- sonali e in particolare quelli contenuti nel D.Lgs n° 196/03 e garantisce che le informazioni personali, patrimo-
niali, statistiche, anagrafiche, e/o di qualunque altro genere, di cui verrà a conoscenza in conseguenza dei servi- zi resi, in qualsiasi modo acquisite, vengano considerati riservati e come tali trattati. Si impegnerà infine a dare istruzioni al proprio personale affinché tutti i dati e le informazioni vengano trattati nel rispetto della normativa di riferimento.
ArubaPEC ha svolto un’analisi dei rischi sul Sistema di Conservazione estesa agli aspetti di sicurezza fisica, logica ed organizzativa, incluso il coinvolgimento di enti esterni (fornitori); l’analisi è riportata nel relativo Piano della Sicurezza .
Gli utenti possono accedere – previa identificazione ed autenticazione – solamente alle risorse (es. sistemi, fun- zionalità, informazioni) per cui sono stati esplicitamente autorizzati in base al ruolo ricoperto. I permessi sono attribuiti alle utenze secondo il principio del “least privilege” e rivisti periodicamente per mitigare il rischio di abuso di privilegi. Ad ogni persona (interna od esterna) viene assegnata un'utenza personale e univoca. Le utenze di gruppo sono usate solo per esigenze particolari ed espressamente autorizzate.
12.4 Monitoraggio Eventi e Vulnerabilità di Sicurezza
Nell’ambito del Servizio di Conservazione, viene conservata e periodicamente esaminata una traccia (audit log) delle operazioni svolte dagli utenti e dai processi, in modo che tali azioni possano essere documentate ed attri- buite a chi le ha eseguite o causate (accountability), anche allo scopo di rilevare eventi di sicurezza, incidenti e vulnerabilità associati ai sistemi coinvolti nel processo di conservazione. Tali log vengono archiviati su supporto permanente e non è permesso agli utenti non autorizzati di accedervi.
Come previsto dal Piano della Sicurezza del Servizio di Conservazione di ArubaPEC, tutte le comunicazioni tra il Sistema e gli utenti (interattivi o applicativi) sono protette col protocollo sicuro SSL/TLS e pertanto sono cifrate. Per la cifratura del canale, si utilizzano algoritmi di cifratura con chiavi di lunghezza ≥ 128 bit.
Nell’ambito della gestione operativa del Servizio di Conservazione, sono definite ed applicate procedure di bac- kup finalizzate alla creazione e conservazione di copie di sicurezza dei dati, dei software applicativi, delle loro
configurazioni e di ogni altra informazione necessaria per ripristinare il servizio in caso di necessità (per es. a fronte di guasti hardware o incidenti più severi).
Nello specifico ARUBA realizzerà il servizio di Backup geografico nel sito di Disaster Recovery: un server dedica- to ad alte prestazioni gestirà in automatico i backup in uno spazio riservato, offrendo servizio di retention 8-4- 3, ovvero 8 backup giornalieri, 4 settimanali e 3 mensili su tutti i dati di produzione.
Il backup geografico su macchina dedicata è una soluzione che permette di garantire un recovery dei dati otti- male per il fatto che esso è connesso con link dedicato a 1Gbps su una diversa sede. Anche in caso di disastro quindi è possibile accedere ai dati di backup di settimane e mesi precedenti.
I dati vengono scritti e salvati sempre in duplice copia sincrona sui sistemi di storage distribuiti geograficamen- te con la garanzia dell’effettiva scrittura su entrambi i siti. Su i due storage utilizzati inoltre vengono effettuate copie di sicurezza attraverso meccanismi di snapshot e backup per garantire la massima salvaguardia del dato.
I metadati e i dati utenti sono salvati su istanze dedicate distribuite su due siti geografici distinti e configurate in mirror transazionale in modo da avere una duplicazione non solo del dato ma anche di tutti i metadati necessa- ri alla propria reperibilità e ricerca.
Per quanto riguarda i documenti, si fa presente che essi sono sempre conservati in doppia copia, ciascuna presso un data center separato (per i documenti, dunque, non vi è una reale distinzione tra copia di produzione e copia di backup).
12.7 Isolamento delle componenti critiche
I sistemi e le risorse tecnologiche alla base del Servizio di Conservazione sono isolate dagli altri ambienti di ela- borazione a livello fisico e logico (in quanto risiedono su hardware dedicato a tale Servizio), nonché parzialmen- te a livello organizzativo, in coerenza coi requisiti indicati nel Piano della Sicurezza e nel Manuale della Conser- vazione.
12.8 Sicurezza fisica datacenter del Gruppo Aruba
Nelle due strutture che verranno messe a disposizione per l’erogazione dei servizi viene data grande importan- za alla sicurezza degli ambienti e dei dati in essi contenuti. Per questo sono presenti tutta una serie di sistemi che permettono di garantire integrità degli ambienti e dei servizi.
Figura 5: Immagine esterna del Datacenter | Figura 6: Immagine del Network Operations Center |
I datacenter sono situati in un’area classificata come di “basso rischio idrogeologico”, inoltre l’edificio è com- pletamente antisismico ed è posto ad un piano rialzato dal livello stradale, in modo da risultare maggiormente protetto alle calamità naturali.
Sia il datacenter primario che quello secondario, sono continuamente monitorati e dotati delle soluzioni di si- curezza più avanzate descritte in seguito.
12.8.1 Sicurezza Fisica Data Center Primario
L’edificio primario e’ situato ad Arezzo in via Gobetti ed è certificato ANSI/TIA 942-A Rating IV (ex Tier). Il data- center è stato progettato ponendo la massima attenzione alla sicurezza fisica degli accessi:
- le porte esterne sono di tipo blindato;
- le finestre e le superfici vetrate esterne a piano terra sono dotate di vetro antiproiettile dello spessore di 21 mm;
- le griglie per il passaggio dell’aria necessaria al raffreddamento della sala dati sono protette da sbarre trasversali in acciaio del diametro di 20 mm.
L’accesso dei visitatori avviene attraverso una “bussola” a due ante rotanti e interbloccate, analoga a quelle normalmente utilizzate negli istituti bancari - anch’essa dotata di vetri anti-proiettile da 21 mm di spessore. Una volta avuto accesso all’interno, è presente una seconda barriera, costituita da varchi motorizzati. Per at- traversare tali varchi è necessario essere accreditati alla antistante Reception, con lo scopo di ottenere un bad- ge abilitato. Per la registrazione dei visitatori, è istituito un apposito registro conservato in conformità con quanto previsto dalla normativa ISO 27001.
Superata la barriera dei varchi motorizzati, si trova davanti la sala dati principale, delimitata da una parete in vetro antiproiettile da 21 mm. L’accesso, consentito solo al personale abilitato, avviene tramite porte scorrevoli di sicurezza assoggettate al controllo accessi. L’intero stabile è circondato da una resede che lo separa su tutti i lati dalle altre proprietà, e protetto da una recinzione rigida in metallo dell’altezza di 260 cm. La struttura è pre- sidiata e sorvegliata 24x7x365.
Il data center è dotato di un sistema di controllo accessi esteso a tutti i varchi, sia esterni (ingresso principale, uscite di sicurezza, magazzini, locali tecnici) che interni (sale dati, locali tecnici, uffici). Il riconoscimento è basa- to su un doppio criterio di autenticazione, mediante l’utilizzo di una tessera di prossimità e la digitazione di un
pin. Il sistema di gestione degli accessi prevede la possibilità di abilitare e disabilitare le singole tessere in base alle aree, agli orari ed ad altri parametri, in modo da garantire sia la massima sicurezza degli ambienti che la necessaria fluidità degli accessi. E’ possibile generare dettagliati report (per utente, per varco, per data) in mo- do da ricostruire con la massima precisione - se necessario - i percorsi effettuati da ogni singolo visitatore.
L’edificio è dotato di un sistema anti-intrusione che utilizza sensori volumetrici a doppia tecnologia, assieme a sensori a contatti su infissi e sensori di vibrazione sui vetri delle sale dati.
L’impianto è integrato da sistemi evoluti di analisi delle immagini rese disponibili dall’impianto di video- sorveglianza (trattato di seguito). La resede esterna è protetta tramite barriere a raggi infrarossi applicate lungo tutto il perimetro della recinzione esterna. L’impianto anti-intrusione è integrato con il sistema di controllo ac- cessi.
L’impianto di video-sorveglianza è costituito da un cospicuo numero di telecamere (oltre 120) posizionate sia all’interno dell’edificio (lungo tutti i punti di passaggio e all’interno dei locali sensibili) che all’esterno (lungo la
recinzione, sulla copertura dell’edificio e nella zona dove sono ubicati i gruppi elettrogeni). Le telecamere utiliz- zate sono di tipologie diverse in base alle diverse esigenze derivanti dai singoli posizionamenti (angolo e distan- za di visuale, tipologia di illuminazione, ecc). Le immagini vengono rese disponibili in real-time al personale di presidio mediante appositi monitor presenti all’interno del NOC.
Tutte le immagini acquisite vengono immagazzinate tramite videoregistratori digitali, situati in ambienti protet- ti e conservate per 24H, come previsto dalle vigenti normative in ambito Privacy.
Tutto l’edificio è dotato di un sistema di rilevamento dei fumi costituito da sensori ottici posizionati in ambien- te, sotto al pavimento flottante e sopra il controsoffitto. I sensori sono collegati tra loro in loop e mediante ca- vo antifiamma, in modo da garantire il loro funzionamento anche in caso di interruzione di un collegamento. Sono stati previsti opportuni sensori in grado di verificare la presenza di fumo all’interno delle condotte per il ricambio dell’aria degli ambienti.
La gestione dell’impianto è demandata ad una centrale a 6 loop, con il compito di rilevare i segnali provenienti dai sensori, attivando gli allarmi ottici e acustici, nonché provvedendo all’attivazione dell’impianto di spegni- mento mediante apposite unità di spegnimento. Le aree sensibili e/o a maggiore rischio (2 sale dati, 2 sale tlc, 6 power center, 6 sale trasformatori MT e 2 sale quadri MT) sono dotate di sistema di spegnimento a gas inerte (Azoto).
Il metodo di spegnimento è quello della diluizione d’ossigeno, ottenuto mediante una scarica di un’adeguata quantità di azoto in grado di ridurre la percentuale di ossigeno dal 23% presente normalmente in atmosfera al 12% circa, valore che non consente la combustione. Tale scarica non rappresenta un pericolo per la salute delle persone eventualmente ancora presenti nell’ambiente al momento della scarica (comunque annunciata con un anticipo di 60 secondi da allarmi acustici e ottici) e preserva gli apparati consentendo la continuità nell’erogazione dei servizi.
I gruppi elettrogeni di emergenza presenti, posizionati all’esterno, sono dotati di impianti di rilevazione e di spegnimento incendi (ad anidride carbonica) dedicati e autonomi. Tali gruppi sono dotati inoltre di sistema di intercettazione del carburante, in grado di interrompere l’afflusso in caso di incendio. E’ inoltre presente la normale dotazione di estintori portatili e carrellati.
I vari locali dell’edificio sono dotati di sensori per il rilevamento della presenza di liquidi, posizionati sotto il pavimento flottante. Per quanto riguarda la possibilità di allagamento derivante da rottura delle tubazioni per l’acqua dei servizi igienici (o dalla dimenticanza di rubinetti aperti), è stato previsto un sistema costituito da sensori (flussostati e rilevatori di presenza) e da una logica che, nel caso in cui venga rilevato il flusso di acqua in assenza di persone all’interno dei singoli servizi igienici, provvede all’interruzione dell’erogazione dell’acqua
nel medesimo ambiente tramite l’attivazione di una elettrovalvola, eliminando la possibilità di riversamento di acqua a terra.
Le eventuali problematiche derivanti da alluvioni sono scongiurate, in quanto la struttura è ubicata in zona pia- neggiante ed in posizione rilevata di circa un metro rispetto al piano di campagna. In fase progettuale si è prov- veduto inoltre a evitare il posizionamento di impianti strategici o di parte di essi a quota inferiore a tale valore: ciò esclude la necessità di sistemi anti-allagamento dotati di pompe idrauliche.
I server dislocati presso il Centro Servizi saranno dotati di meccanismi di sicurezza fisica utili ad impedire il furto locale dei dati. Gli armadi rack sono tutti dotati di sportelli metallici con serratura a chiave e i supporti di me- morizzazione contenenti dati sono conservati in luogo sicuro. Gli apparati attivi di rete saranno posizionati in armadi di cablaggio con chiusura a chiave che inibisce l’accesso fisico ai dischi locali e ne impedisce la rimozio- ne.
Tutti gli impianti sopradescritti, assieme agli impianti e sistemi strategici (gruppi elettrogeni, ups, quadri elettri- ci, condizionamento di potenza) e agli impianti standard (illuminazione, condizionamento uffici) sono supervi- sionati da un sistema BMS (Building Management System) a mappe, in grado di gestire tutti gli eventi e gli al- larmi, di interpretarli e di assegnare loro le opportune priorità, generando le conseguenti notifiche in modo da ridurre al massimo i tempi di interpretazione e individuazione degli eventi. Il BMS - controllato dal personale di presidio del NOC (Network Operation Center) - è accessibile anche da remoto ed in grado di provvedere alla notifica degli allarmi tramite i consueti canali (e-mail, SMS, ecc).
La pavimentazione flottante è realizzata mediante pannelli in conglomerato ad alta resistenza appoggiate su struttura composta da tubolari in acciaio ed offre adeguate capacità di carico e di resistenza. Al fine di verificare la corrispondenza con i dati del fornitore sono state eseguite prove di carico in laboratorio.
12.8.2 Sicurezza fisica Data Center Secondario
La sicurezza fisica del data center secondario viene garantita attraverso:
- un sistema di video-sorveglianza che utilizza telecamere motorizzate per tenere sotto controllo i punti nevralgici della struttura;
- un sistema di allarme che rileva automaticamente eventuali vibrazioni o aperture non autorizzate di ingressi e di infissi;
- un impianto anti-intrusione – monitorato dal NOC - che utilizza rilevatori di presenza a doppia tecno- logia (micro-onde e raggi infrarossi), contatti magnetici e barriere a raggi infrarossi per proteggere le zone in cui gli ambienti sono suddivisi e prevenire l’apertura non autorizzata di ingressi ed infissi;
- sistema di controllo accessi che permette l’accesso al solo personale autorizzato, dotato di badge con tecnologia RFID e codice PIN personale;
- un sistema anti-incendio a gas inerti (non tossici) - connesso a rilevatori di fumo posti sopra e sotto al pavimento flottante – che si attiva automaticamente inondando di gas solo la zona colpita;
- un sistema di rilevazione liquidi che permette di intercettare - dal NOC e tramite appositi allarmi acu- stici in loco - eventuali fuoriuscite di liquido dagli impianti tecnologici;
- un sistema centrale server per archiviare e consultare (da personale autorizzato tramite accesso pro- tetto) qualsiasi accesso ai locali, che solo avviene attraverso RFID associato a codice numerico.
Anche nel sito secondario, i server saranno dotati di meccanismi di sicurezza fisica utili ad impedire il furto loca- le dei dati: gli armadi rack sono provvisti di sportelli metallici con serratura a chiave; i supporti di memoria dati sono conservati in un luogo sicuro ed i server sono protetti da un apposito sportello con chiusura a chiave (co- me inibizione dell’accesso fisico e della rimozione).
12.8.3 Sicurezza organizzativa comune ai due data center
Aruba garantisce inoltre la sicurezza organizzativa delle strutture, che verrà adeguata in caso di evoluzioni delle normative. Il sistema di registrazione dei log per tutti i servizi erogati è infatti conforme alle normative vigenti e verrà adeguato in caso di evoluzioni.
A tale proposito viene garantito che:
- i processi attuati per il monitoraggio e la rilevazione di eventuali intrusioni o anomalie sono regolati e descritti all’interno del Piano di Sicurezza dei Data Center;
- l’accesso alle informazioni riservate dell’Amministrazione sarà permesso solo a personale autorizzato, in conformità al D.Lsg. 196/2003 e successive modifiche;
- l’erogazione di servizi e dei sistemi coinvolti sia conforme alla Legge 82/2005 (Codice Amministrazione Digitale).
Aruba garantisce che tutti gli apparati necessari all'erogazione dei servizi saranno gestiti solo da personale uni- vocamente individuato e che gli aspetti di sicurezza vengano attuati in base a procedure documentate. All’interno del piano della sicurezza delle strutture, redatto sulla base delle linee guida della certificazione ISO27001, sono documentati:
- accesso fisico delle persone agli edifici in cui sono situati apparati;
- accesso fisico delle persone ai locali contenenti apparati;
- regole per l’accesso da parte di personale esterno (fornitori, addetti alla manutenzione, visitatori, etc.);
- gestione degli strumenti per l’accesso ad eventuali casseforti ed armadi blindati (combinazioni delle casseforti, chiavi degli armadi, etc.);
- gestione degli archivi cartacei (regole per la conservazione, modalità di consultazione, eventuale regi- strazione degli accessi, etc.);
- gestione di situazioni anomale;
- ripristino dell’interruzione dell’erogazione di energia elettrica;
- procedure di backup e di restore;
- procedure di escalation.
Le postazioni di lavoro si trovano in uffici interdetti all’accesso del pubblico. Le postazioni condivise, messe a disposizione della clientela, risiedono su reti e uffici separati (sale riunioni attrezzate), e sono dotate di oppor- tune limitazioni di accesso.
Per l’accesso alle postazioni di lavoro, i dipendenti dispongono di token hardware personali protetti da apposi- to PIN associato a credenziali nella forma nome.cognome e password, di tipo strong, conosciute solo dagli stes- si. Attraverso l’Active Directory aziendale è possibile offrire cambio password con obbligo di password in base a policy standard condivise.
L’accesso ai server viene garantito attraverso le stesse credenziali personali sia per ambienti windows che per ambienti linux. Le password vengono mantenute nella massima riservatezza e non possono essere trascritte.
Tutti i log di accesso ai server sono centralizzati su un apposito server. Ogni notte viene generato un report e mandato all’addetto di controllo dei report. Esso con cadenza giornaliera controlla tale report e verifica la rego- larità degli accessi, verificando che non ci siano accessi da reti esterne, che non ci siano accessi con esito nega-
tivo e che non ci siano accessi di personale che non aveva motivo di accedere. Se la verifica ha avuto esito posi- tivo vengono eseguite verifiche sui controlli e informato immediatamente il responsabile della sicurezza.
12.8.4 Sicurezza Logica dei sistemi e degli apparati
I protocolli ed i servizi utilizzati per la gestione degli apparati (SNMP, RADIUS, NTP, Log, LDAP) vengono erogati solo verso le reti di management mediante l'utilizzo di ACL (Access Control List). All'interno delle reti dedicate, se il protocollo/servizio lo supporta, è in ogni caso necessario autenticarsi.
Tutti i protocolli previsti per l’accesso ed il controllo dei sistemi sono di tipo sicuro cifrato, prevedendo ssh, https o rdp.
All'interno dei singoli apparati i servizi non necessari vengono disattivati e quelli necessari vengono erogati solo verso le interfacce che richiedono che tali servizi vengano resi disponibili.
Le politiche e le conseguenti architetture e configurazioni di rete adottate garantiscono fra l’altro:
- L’impossibilità di effettuare IP spoofing da un qualsiasi utente connesso direttamente alla rete
- L'impossibilità di effettuare attacchi smurf, fraggle, land tramite limitazione nell'accesso agli indirizzi di broadcast e filtraggio dei pacchetti che riportano un indirizzo sorgente palesemente scorretto
- La capacità di reagire tempestivamente a qualsiasi tipo di attacco alle proprie infrastrutture anche tramite la possibilità di configurare in qualsiasi punto della rete qualsiasi regola di filtraggio atta a mi- tigare il fenomeno evidenziato
Gli enti/gruppi che operano sulla configurazione dei sistemi hanno diverse esigenze in termini di necessità d’accesso alle classi d’apparati. L’autorizzazione all’accesso alla configurazione di un apparato è nominale, non di gruppo. L’accesso ad una specifica classe d’apparati dipende dall’appartenenza dell’utente ad uno specifico gruppo. L’associazione dell’utenza al Gruppo permette di confinare l’accesso degli utenti ai soli apparati la cui gestione è in carico al Gruppo. Sulla base di tale appartenenza, l’utente potrà autenticarsi sull’apparato utiliz- zando una login ed una password personali nel caso di apparati con tecnologia IP mentre per quanto riguarda apparati di trasporto (SDH e DWDM) l’autenticazione si esegue a livello dei sistemi di gestione. Sono stati inol- tre introdotti dei meccanismi di gestione delle password (lunghezza minima, presenza di caratteri numerici, ecc.) di enable e delle password locali in modo da ottenere un bilanciamento tra l’esigenza di avere un adegua- to livello di sicurezza e le esigenze di implementazione/gestione delle linee guida.
L’inserimento di un nuovo utente in un gruppo deve essere richiesto dal responsabile del gruppo stesso. La ri- chiesta deve pervenire via e-mail all’apposita casella di posta nel caso della rete IP o all’amministratore di rete nel caso di accesso agli apparati di rete di Trasporto.
Successivamente alla configurazione dell’utente, sarà inviata e-mail di conferma all’utente stesso ed al respon- sabile del gruppo. La rimozione di un utente da un gruppo deve essere richiesta dal responsabile del gruppo stesso. La richiesta deve pervenire via e-mail all’apposita casella di posta nel caso della rete IP o all’amministratore di rete nel caso di accesso agli apparati di rete di trasporto.
Successivamente alla rimozione dell’utente, sarà inviata e-mail di conferma all’utente stesso ed al responsabile del gruppo. Le password utilizzate dagli utenti dovranno seguire le seguenti regole:
- Non inferiori agli 8 caratteri (in accordo con la legge delega 127/2001 Allegato B comma 7)
- Non devono essere facilmente indovinabili. Nomi propri, nomi di prodotti, nomi di Clienti ecc.. sono da evitare
- Devono contenere caratteri misti: minuscole, maiuscole, numeri, spazi, caratteri speciali (@, %, $ ecc.)
- Non devono coincidere con le password utilizzate per altri servizi di rete.
L’utente viene invitato a cambiare con regolarità la sua password utente. Nel caso l’utente decidesse di non cambiare la propria password vengono adottate le seguenti misure:
Trascorsi due mesi, dall’ultimo cambio di password effettuato, l’utente riceverà dei solleciti settimanali per cambiare
12.9 Piano di Disaster Recovery e Continuità operativa
Aruba ha sviluppato e adotta appositi piani di Disaster Recovery e Business Continuity allo scopo di gestire e mediare i rischi cui può essere soggetta.
Tali documenti definiscono ed elencano le azioni da intraprendere prima, durante e dopo una condizione di emergenza per assicurare il ripristino (Disaster Recovery) e la continuità (Business Continuity) dei servizi eroga- ti. Essi forniscono indicazioni e dove possibile istruzioni passo-passo atte ad assicurare la continuità dei servizi critici di Aruba anche in presenza di eventi indesiderati che possano causare il fermo prolungato dei sistemi in- formatici.
I Piani di Disaster Recovery sono stati redatti tenendo presente le “Linee Guida per il disaster recovery delle PA” dell’Agenzia per l’Italia Digitale, ex DigitPA ed è dunque ispirato al ciclo di Deming (Plan, Do, Check, Act) prevedendo, dopo la fase iniziale di studio/analisi del contesto, il disegno della soluzione tecnologico- organizzativa che meglio risponde alle esigenze di continuità richieste, la realizzazione e il mantenimento della soluzione. Tale piano viene dettagliato maggiormente in fase di setup dell’infrastruttura.
La continuità operativa sarà garantita anche in caso di blocchi prolungati, quali, a titolo esemplificativo:
- distruzione o inaccessibilità di una struttura nella quale sono allocate unità operative o apparec- chiature critiche;
- indisponibilità di personale essenziale per il funzionamento dell’azienda;
- interruzione del funzionamento delle infrastrutture (tra cui energia elettrica, reti di telecomuni- cazione, ecc.);
- alterazione dei dati o indisponibilità dei sistemi a seguito di attacchi perpetrati dall’esterno attra- verso reti telematiche;
- danneggiamenti gravi provocati da dipendenti
12.9.1 Business Impact Analisys (BIA)
Come prima cosa si valutano gli elementi che più risentirebbero dell’interruzione del servizio, ovvero si valuterà con il cliente quali sono gli aspetti maggiormente critici del servizio offerto.
La BIA valuta normalmente l’impatto di un evento sull’operatività economica, nel caso della conservazione do- cumentale però l’interruzione dei servizi erogati comporta danni non immediatamente “monetizzabili”. Le per- dite (e dunque l’impatto) saranno valutate assieme al cliente tenendo conto dell’insieme dei seguenti aspetti:
- Aspetti economici
- Aspetti sociali
- Aspetti reputazionali;
- Aspetti normativi.
12.9.2 Analisi dei Rischi
In questa fase si identificheranno quali siano gli scenari di rischio che insistono sul patrimonio informativo at- traverso i quali si qualificano gli eventi / minacce che presentano maggior probabilità di concretizzarsi (e.g. in funzione dei livelli di vulnerabilità, delle contromisure in essere, dell’appetibilità dei servizi offerti), generando un danno per il cliente. Si individueranno pertanto le possibili cause di indisponibilità quali ad esempio diffusio- ne di virus, interruzione dell’alimentazione elettrica, incendio alla sala CED, etc...
12.9.3 Classificazione dei Sistemi e delle Risorse
Allo scopo di indirizzare le priorità di ripristino in caso di disastro, nonché realizzare un efficiente utilizzo delle risorse, si ritiene indispensabile classificare i sistemi presenti all’interno delle infrastrutture di ARUBA a secon- da della loro criticità in caso di disastro.
Sono stati individuati quattro livelli di criticità, così definiti:
- Sistemi critici:
Sono quei sistemi indispensabili per fornire un minimo ed accettabile livello di servizio in caso di even- to disastroso e/o necessari per il funzionamento degli altri sistemi a minore criticità.
- Sistemi importanti:
Sono quei sistemi necessari per garantire un livello standard di servizi, che quindi hanno una significa- tiva importanza operativa.
- Sistemi semi-importanti:
Si tratta di sistemi necessari per le normali operazioni, tuttavia risultano avere una minore importanza operativa rispetto a quelli del punto precedente.
- Sistemi non-critici:
Sono i sistemi che rivestono la minore importanza (quali servizi accessori ecc.) operativa per cui il ripri- stino non riveste carattere di priorità.
Verrà inoltre fornito l’elenco del personale, il responsabile della Continuità Operativa e le procedure di escala- tion da utilizzare per dichiarare lo stato di disastro.
12.9.4 Modalità tecniche per la Business Continuity ed il Disaster Recovery
Come descritto nell’architettura fisica della soluzione il sistema implementa i seguenti livelli di sicurezza:
1) Il sistema di produzione è completamente ridondato senza alcun Single Point of Failure. Alcune com- ponenti sono per convenienza distribuite sui due Data Center connessi in ambito metropolitano in modo tale da essere totalmente resilienti a qualsiasi guasto HW o SW che possa colpire un singolo no- do fisico o virtuale. Per come è costruito il sistema inoltre l’impatto sulle performance dovuto alla rot-
tura di un singolo componente può essere considerato irrilevante e comunque la configurazione nor- male ripristinata nel giro di pochi minuti.
2) La presenza di un sito collegato in ambito metropolitano e già parzialmente attivo garantisce la piena operatività della soluzione anche nel caso di fermo del data center principale. Le uniche operazioni ne- cessarie sono la riconfigurazione della rete, per il corretto raggiungimento del sistema, e la riattivazio- ne dei nodi di Front-end ed Application sull’apposita infrastruttura virtuale. Per tutti gli eventi che ab- biano impatto sul data center di produzione, che ricordiamo essere certificato ANSI/TIA 942-A Rating IV (ex Tier), la riattivazione del servizio senza perdita di dati è prevista entro 24 ore. Nel caso di attiva- zione del sito secondario, questa viene eseguita manualmente seguendo apposite procedure, a segui- to della dichiarazione di crisi prevista dalle procedure.
13 NORMATIVE IN VIGORE NEI LUOGHI DOVE SONO CON- SERVATI I DOCUMENTI
I documenti informatici sono conservati in Italia; pertanto al sistema di conservazione si rendono applicabili le norme Italiane.
14 DISPOSIZIONI FINALI
14.1 Nullità o inapplicabilità di clausole
Se una qualsivoglia disposizioni del presente Manuale, o relativa applicazione, risulti per qualsiasi motivo o in qualunque misura nulla o inapplicabile, il resto del presente Manuale (così come l’applicazione della disposizio- ne invalida o inapplicabile ad altre persone o in altre circostanze) rimarrà valido e la disposizione nulla o inap- plicabile sarà interpretata nel modo più vicino possibile agli intenti delle parti.
Salvo disposizioni diverse, questo Manuale dovrà essere interpretato in conformità alla correttezza, buona fede ed a quanto ragionevole anche in virtù degli usi commerciali nazionali.
In nessun caso eventuali inadempimenti e/o comportamenti del Cliente difformi rispetto al Manuale potran- no essere considerati quali deroghe al medesimo o tacita accettazione degli stessi, anche se non contestati da ARUBA. L'eventuale inerzia di ARUBA nell'esercitare o far valere un qualsiasi diritto, clausola o disposizione del Manuale, non costituisce rinuncia a tali diritti o clausole.
Qualora ARUBA o il Cliente desiderino o siano tenuti ad effettuare delle comunicazioni, domande o richieste in relazione al presente Manuale, tali comunicazioni dovranno avvenire nelle modalità ed ai riferimenti indicati nel Contratto.
14.5 Intestazioni e Appendici e Allegati del presente Manuale Operativo
Le intestazioni, sottotitoli e altri titoli del presente Manuale sono utilizzati solo per comodità e riferimento, e non saranno utilizzati nell’interpretazione o applicazione di qualsiasi disposizione ivi contenuta.
Le appendici, gli allegati, comprese le definizioni del presente Manuale, sono parte integrante e vincolante del presente Manuale a tutti gli effetti.
14.6 Modifiche del Manuale di conservazione
ARUBA si riserva il diritto di aggiornare periodicamente il presente Manuale in modo estensibile al futuro e non retroattivo. Le modifiche sostituiranno qualsiasi disposizione in conflitto con la versione di riferimento del Ma- nuale di conservazione.
14.7 Violazioni e altri danni materiali
Il Cliente rappresenta e garantisce che i documenti oggetto di conservazione e le informazioni in essi contenute non interferiscano, danneggino e/o violino diritti di una qualsiasi terza parte di qualunque giurisdizione.
Le attività di conservazione contenute nel presente Manuale sono assoggettate alle leggi dell’ordinamento ita- liano.
Il presente documento informatico è formato nel rispetto delle regole tecniche di cui all’art. 71 del D.Lgs. 7 marzo 2005 n . 82 e s.m.i. (Codice dell’amministrazione digitale) e sottoscritto con firma digitale del Sig. Simone Braccagni