Manuale operativo del servizio Posta Elettronica Certificata
Manuale operativo del servizio Posta Elettronica Certificata
(CF144 del 29/04/2022 – Rev.6)
Approvazione | Direttore Tecnologie e Sistemi | Xxxxxx Xxxxxxx |
XXXXXXX S.p.A.
Xxxxx X. Xxxxx, 00 – Edificio 3 - 00000 - Xxxxxx (XX) xxxx@xxxxxxx.xx – PEC: xxxxxxx@xxx.xxxxxxx.xx – xxxxxxx.xx Codice Fiscale/P.IVA/R.I. 09995550960
R.E.A. di MI n. 2126652
Revisioni | Oggetto della revisione | Data |
V 1 | Prima emissione | 19/05/2010 |
V 1.1 | Descrizione nuovo canale di vendita | 04/12/2012 |
V 1.1 | Descrizione nuovo canale di vendita Modifica opzioni notifica esterna SMS/Mail Modifica descrizione storage | 13/03/2013 |
V 1.3 | Inserimento paragrafo 9.6 Riassegnazione caselle cessate | 14/03/2014 |
V 1.4 | Modifica dimensione massima allegati da 30MB a 100MB | 20/05/2016 |
V 2.0 | Modifica paragrafo 1.5 Aggiornamento Responsabile Manuale Operativo Modifica 3.1 Aggiornamento con tipologie di servizio Modifica 3.5, Posta elettronica tradizionale Sostituzione cap. 4 Accesso al servizio, riportato al capitolo 7 Procedure operative, con “Commercializzazione e condizionicontrattuali” Revisione 7.2.2 Procedure operative Introduzione 7.3 Cancellazione caselle Modifiche 7.4 Riassegnazione caselle Introduzione 7.5 Forzatura delle password Introduzione 7.8 Raccomandazioni generali Revisione cap. 8 Infrastruttura | 15/04/2015 |
V 2.0 A | Include “modifica dimensione allegati" che era stata inserita in 1.4 e non riportata in 2.0. | 20/11/2016 |
V 2.1 | Modifica 3.1 Dominio funzionante e riservato alla PEC Modifica 4.2 Recepimento novità contrattuali Modifica 4.5.3 Nuova clausola di esclusione della responsabilità Modifica 4.6.1 Aggiornamento in materia di responsabilità del titolareper domini forniti da terzi Modifica 4.6.2 Aggiornamento obblighi del titolare rispetto ai domini acquisiti da terzi Modifica 6 Le informazioni sui malfunzionamenti vengono comunicate all’indirizzo di posta elettronica tradizionale Modifica 7.5 Forzatura password Modifica 7.6 Registrazione ticket per assistenza e chiusura guasti | 15/12/2016 |
V 2.2 | Modifica 2.6 Modalità di reperimento dei log dei messaggi | 25/10/2017 |
V 2.3 | Modifica Ragione sociale, Dati identificativi del Gestore | 08/11/2017 |
V 3 | Modifica Ragione Sociale, Dati identificativi del Gestore | 26/06/2018 |
V 3.1 | Modifica 5 Integrazione: Trattamento dei dati personali - Privacy | 29/07/2019 |
V 4 | Aggiornamento codifica del Documento Modifica Dati identificativi del Gestore e attribuzione Responsabilitàservizio Modifica indirizzi email e link Modifica art.1.5 Convenzioni e Definizioni del Manuale OperativoModifica art.1.6 Responsabile del Manuale Operativo Modifica art. 2.7 Indirizzo email richiesta log Modifica art. 3.3 Indirizzo sistema Webmail Modifica art.3.8 Dimensione massima della mailbox PEC SUPERModifica art. 3.9 Indirizzo email servizio di Assistenza tecnica Modifica art.4.1 Commercializzazione del servizio, aggiornamentoindirizzo email | 17/02/2020 |
Modifica art. 4.3 Durata contrattuale, modalità di invio disdetta Modifica art. 4.4 Effetti del mancato o ritardato pagamento Modifica art. 4.5.2 Obblighi e responsabilità del Gestore: limiti di responsabilità del Gestore Modifica art. 4.5.3 Obblighi e responsabilità del Gestore: esclusioni di responsabilità del Gestore Modifica art. 4.6.2 Obblighi del Titolare Modifica art. 7.2.2 Parametri di configurazione del Client di posta Modifica art. 7.2.4 Indirizzo pannello maildmin Modifica art. 7.3 Cancellazione delle caselle Modifica art. 7.4 Rinnovo posticipato, sospensione e scadenza Modifica art. 7.6 Cambio password e aggiornamento indirizzo emaildell’assistenza tecnica Modifica art. 7.7 Modalità di accesso ai servizi di assistenza tecnica Modifica art. 9 Misure di sicurezza Aggiornamento art. 10 Riferimenti tecnici, normativi e definizioni | ||
V 5 | Modifica art. 3 Caratteristiche del servizio: denominazione dei Servizi Modifica art. 3 Webmail: funzionalità Modifica art. 3.4 Mailadmin: funzionalità Modifica art. 3.9 Assistenza tecnica: punti di contatto e orari Modifica art. 4.2 Condizioni Contrattuali: nuove Condizioni di utilizzo del Servizio Eliminazione art. 4.3 Durata contrattuale Eliminazione art. 4.4 Effetti del mancato o ritardato pagamento Modifica art. 7.6: Modifica della password (nuovo processo di cambio ereset password) Introduzione art. 7.6.1 Primo Accesso Introduzione art. 7.6.2 Complessità della password Introduzione art. 7.6.3 Reset password Introduzione art. 7.6.3.1 Cambio password Introduzione art. 7.6.3.2 Modifica email di contatto Introduzione art. 7.7 Password policy Modifica art. 7.8 Modalità di accesso ai servizi di assistenza tecnica:punti di contatto e orari Integrazione art. 7.9 Procedura in caso di cessazione attività di Gestore Integrazione art. 9 Misure di sicurezza: inserimento capoverso relativo alle certificazioni di IRIDEOS | 29/10/2021 |
V.6 | Modifica art. 2.2 Problemi di consegna Modifica art. 2.3 Funzionamento in caso di virus Modifica art. 2.4 e sotto paragrafi Tipologie di ricevute Introduzione art. 2.5 Messaggi formalmente non corretti Introduzione art. 2.6 log dei messaggi Eliminazione art. 2.7 Messaggi inviati a indirizzi email non certificati e sostituzione con “Modalità di reperimento dei log dei messaggi” Modifica art. 3.3 Sistema Webmail Modifica art. 3.4 e introduzione del Gestionale di amministrazione PEC Modifica art. 3.5.2 Ricezione di un messaggio di posta elettronica tradizionale Modifica art. 3.6 Selezione della tipologia di ricevute Eliminazione art. 3.6.1 Impostazione ricevute da Thunderbird Eliminazione art. 3.6.2 Impostazione ricevute da Eudora Eliminazione art. 3.6.3 Impostazione ricevute da Webmail Modifica art. 3.7 Notifiche di ricezione PEC via email Introduzione art. 3.8 Report giornaliero via email e SMS Modifica art. 3.9 Dimensione massima delle mailbox PEC Modifica art. 3.10 Assistenza tecnica | 29/04/2022 |
Modifica art. 6 Livelli di servizio Modifica art. 7.1 Attivazione del servizio Modifica art. 7.2.3 Accesso tramite Webmail Modifica art. 7.2.4 Accesso al Gestionale di amministrazione PEC Modifica art. 7.3 Chiusura della casella PEC Introduzione art. 7.3.1 Mancato rinnovo della casella PEC Introduzione art. 7.3.2 Chiusura tramite Gestionale PEC Eliminazione art. 7.4 Rinnovo posticipato, sospensione e scadenza e sostituzione con “Effetti della chiusura della casella PEC” Modifica art. 7.5 Riassegnazione degli indirizzi PEC cessati Modifica art. 7.6 e sostituzione con “Gestione della Password” Modifica art. 7.6.1 Primo accesso Modifica art. 7.6.2 Complessità della password Modifica art. 7.6.3 Reset password Eliminazione art. 7.6.3.1 Cambio password Eliminazione art. 7.6.3.2 Modifica email di contatto Introduzione art. 7.6.4 Cambio password Modifica art. 7. 7 Password policy Modifica art. 7.11 Note sull’organizzazione del personale Introduzione art. 7.12 Formazione del personale Eliminazione art. 8 e sostituzione con “Descrizione della soluzione” Introduzione art. 8.1 Sicurezza dei Dati Introduzione art. 8.2 Caratteristiche del sistema Eliminazione art. 8.3 Modulo PEC e sostituzione con “Misure di Sicurezza” Eliminazione art. 8.4 Modulo HSM e sostituzione con “Sicurezza dell’infrastruttura” Eliminazione art. 8.5 Modulo web e sostituzione con “Analisi e gestione dei rischi” Eliminazione art. 8.6 Modulo Database e sostituzione con “Azioni di contrasto alla diffusione del contenuto malevolo” Eliminazione art. 8.7 Modulo storage e sostituzione con “Tecnologie anti malware” Eliminazione art. 8.8 Monitoraggio infrastruttura e sostituzione con “Analisi degli allegati” Introduzione art. 8.9 Infrastruttura Datacenter e sostituzione con “Controllo anti spam” Introduzione art. 8.10 Monitoraggio dell’infrastruttura Introduzione art. 9 Infrastruttura Datacenter Eliminazione art. 9.1 Personale Eliminazione art. 9.2 Sicurezza fisica Eliminazione art. 9.3 Sicurezza logica Eliminazione art. 9.4 Caratteristiche dell’infrastruttura PEC Eliminazione art. 9.5 Gestione infrastruttura e introduzione art. 9.11 Eliminazione art. 9.6 Manutenzione delle componenti dell’infrastruttura e introduzione art. 9.12 Introduzione art. 10 Certificazioni Modifica art. 11 Riferimenti, Definizioni e Acronimi | ||
Nota | Le modifiche intervenute dal punto v.1 a v.2.3 si riferiscono al“Precedente Gestore” | 03/10/2019 |
Dati identificativi del Gestore PEC | |
Denominazione sociale | IRIDEOS S.p.A. |
Indirizzo sede legale | Xxxxx Xxxxx, 00 - Xxxxxxxx 0 – 00000 Xxxxxx XX |
Legale rappresentante | Xxxxx Xxxxxx |
Amministratore Delegato | Xxxxxx Xxxxxxxxx |
N° Iscrizione Registro Imprese Xxxxxx | XX 0000000 |
N° Partita IVA | 09995550960 |
Numero centralino | x00 00 000000 |
Sito Web | |
PEC | |
Sommario
1.2 Scopo del Manuale Operativo 9
1.3 Denominazione del documento, revisione e gestione modifiche 9
1.4 Reperibilità del Manuale Operativo 9
1.5 Convenzioni e Definizioni del Manuale Operativo 10
1.6 Responsabile del Manuale Operativo 10
2 Descrizione del servizio PEC 10
2.1 Funzionamento del servizio 11
2.1.1 Invio di messaggi di posta certificata 11
2.3 Funzionamento in caso di virus 12
2.4.1 Ricevuta completa di avvenuta consegna 13
2.4.2 Ricevuta breve di avvenuta consegna 13
2.4.3 Ricevuta sintetica di avvenuta consegna 13
2.5 Messaggi formalmente non corretti 13
2.7 Modalità di reperimento dei log dei messaggi 14
3 Caratteristiche del servizio PEC fornito da IRIDEOS 15
3.1 Caselle di posta elettronica certificata 15
3.4 Gestionale di amministrazione PEC 16
3.5 Posta elettronica tradizionale 16
3.5.1 Invio di messaggi a destinatari di posta elettronica tradizionale 16
3.5.2 Ricezione di un messaggio di posta elettronica tradizionale 16
3.6 Selezione della tipologia di ricevute da Webmail 17
3.7 Notifiche di ricezione PEC via email 17
3.8 Report giornaliero via email e/o SMS 17
3.9 Dimensione massima delle mailbox PEC 17
4 Commercializzazione del servizio PEC e condizioni contrattuali 18
4.1 Commercializzazione del servizio 18
4.2 Condizioni contrattuali 18
4.3 Obblighi e responsabilità del Gestore 18
4.3.2 Limiti di responsabilità del Gestore 19
4.3.3 Esclusioni di responsabilità del Gestore 19
4.4 Obblighi e responsabilità del Titolare 20
4.4.1 Responsabilità del Titolare 21
4.4.2 Obblighi del Titolare 21
4.5 Norme d’uso del servizio 22
5 Trattamento dei dati personali 22
5.1 Tipologia di dati personali trattati 22
5.2 Finalità del trattamento 22
5.3 Modalità di trattamento dei dati 23
5.4 Durata del trattamento e periodo di conservazione 23
5.5 Soggetti terzi a cui i dati personali raccolti possono esserecomunicati 23
5.6 Trasferimento dei dati fuori dall’Unione Europea 24
5.7 Protezione delle comunicazioni 24
5.8 Diritti dell’interessato 24
5.9 Titolare e Responsabile della protezione dei dati personali 25
7.1 Attivazione del servizio 27
7.2.1 Accesso tramite client di posta 28
7.2.2 Configurazione di un client di posta elettronica 29
7.2.3 Accesso tramite Webmail 29
7.3 Chiusura della casella PEC 29
7.3.1 Mancato rinnovo della casella PEC 29
7.3.2 Chiusura tramite Gestionale PEC 30
7.4 Effetti della chiusura della casella PEC 30
7.5 Riassegnazione degli indirizzi PEC cessati 30
7.6 Gestione della password 30
7.8 Modalità di accesso ai servizi di assistenza tecnica 33
7.9 Procedura in caso di cessazione attività di Gestore 34
7.10Raccomandazioni generali 34
7.11Note sull’organizzazione del personale 35
7.12Formazione del personale 35
8 Descrizione della soluzione 35
8.2 Caratteristiche del sistema 37
8.4 Sicurezza dell’infrastruttura 38
8.5 Analisi e gestione dei rischi 38
8.6 Azioni di contrasto alla diffusione del contenuto malevolo 39
8.7 Tecnologie anti malware 39
8.10Monitoraggio dell’infrastruttura 40
9 Infrastruttura Datacenter 40
9.11Gestione dell’infrastruttura 40
9.12Manutenzione delle componenti dell’infrastruttura 40
11 Riferimenti, Definizioni e Acronimi 41
1 Generalità Documento
1.1 Convenzioni di lettura
IRIDEOS S.p.A. di seguito XXXXXXX è il Gestore del servizio di posta elettronica certificata denominato PEC.
Con il termine “Manuale Operativo” s’intende sempre la versione corrente, cioè la versione più aggiornata del suddetto manuale, disponibile via WEB.
1.2 Scopo del Manuale Operativo
Il presente documento descrive le regole e le procedure seguite da IRIDEOS per erogare il servizio PEC.
Nel Manuale Operativo sono riportate le informazioni a carattere generale e tutte le informazioni di dettaglio utili a spiegare l’offerta dei servizi PEC di IRIDEOS.
Il documento è redatto in conformità alle disposizioni stabilite dal Decreto Ministeriale del 2 novembre 2005 recante “Regole tecniche per la formazione, la trasmissione, la validazione, anche temporale, della posta certificata” e della Circolare n. 56 del 2009”
1.3 Denominazione del documento, revisione e gestione modifiche
Questo documento è denominato Manuale Operativo di posta elettronica certificata ed è identificato dalla data di emissione e dall’indice di revisione (indicati nell’intestazione di ogni pagina).
XXXXXXX è responsabile della definizione, pubblicazione e aggiornamento del documento. XXXXXXX si riserva di apportare variazioni al presente documento per esigenze tecniche o per modifiche alle procedure, intervenute sia a causa di norme di legge o regolamenti, sia per ottimizzazioni del ciclo lavorativo
Con frequenza annuale, il Gestore esegue un controllo di conformità di questo Manuale Operativoal proprio processo di erogazione del servizio di Posta Elettronica Certificata.
Ogni nuova versione del Manuale Operativo aggiorna e sostituisce la precedente, ogni revisione del presente documento è pubblicata previa comunicazione ad AgID.
1.4 Reperibilità del Manuale Operativo
Il Manuale Operativo del servizio PEC è pubblicato sul sito xxxxx://xxx.xxxxx.xxx/xxxx/xxx ed è liberamente consultabile in formato elettronico.
1.5 Convenzioni e Definizioni del Manuale Operativo
All’interno del presente Manuale Operativo saranno utilizzate le definizioni di cui all’art. 11, con lo scopo di rendere maggiormente comprensibile le dinamiche tecniche del Servizio e facilitarnela sua fruibilità per il Cliente.
1.6 Responsabile del Manuale Operativo
Il Responsabile del Manuale Operativo è:
• Xxxxxx Xxxxxxx
• Responsabile Servizio PEC
• Email: xxxxxx.xxxxxxx@xxxxxxx.xx
a cui potranno essere rivolte domande, osservazioni e richieste di chiarimento in ordine al presente Manuale operativo.
2 Descrizione del servizio PEC
La posta elettronica certificata è un sistema di trasmissione elettronica di messaggi, basato sul sistema di comunicazione noto come email definito dall’RFC 2821.
Il servizio PEC consente di avere conferma di avvenuta consegna del messaggio inviato, tramite una specifica ricevuta opponibile a terzi.
Questo significa che i messaggi inviati e le loro ricevute possono avere valore equivalente a quelli spediti tramite posta raccomandata in tutti i casi previsti dalla legge.
La ricevuta di consegna viene emessa quando il messaggio è depositato in casella, a prescindere dal fatto che il destinatario lo abbia aperto o meno.
Il servizio PEC può fornire al titolare diverse tipologie di ricevuta di accettazione e consegna. Il titolare delle caselle potrà specificare autonomamente e per dominio la tipologia di ricevute di accettazione e di consegna che intende ricevere dal servizio.
Le procedure di scelta delle tipologie di ricevuta ottenibili sono descritte in seguito nel paragrafo 2.4 “Selezione della tipologia di ricevute”.
Ai messaggi di posta elettronica certificata possono essere allegati documenti come immagini, audio, video o qualsiasi altro file.
Gli Utilizzatori di posta elettronica certificata possono fruire del servizio sia tramite client di posta elettronica tradizionale (come ad esempio Outlook, Eudora, Thunderbird, etc.) sia utilizzando un web browser (Internet Explorer, Firefox) per accedere alla Webmail IRIDEOS, il cui funzionamento è descritto in seguito.
Il funzionamento del servizio PEC, descritto in seguito, può essere soggetto a variazioni coerenti con eventuali modifiche alle normative o a eventuali disposizioni da parte di AgID.
2.1 Funzionamento del servizio
Il funzionamento completo della posta elettronica certificata nel suo insieme è piuttosto complesso. Nello schema riportato di seguito, sono descritte le procedure semplificate che determinano la trasmissione e la ricezione di messaggio.
2.1.1 Invio di messaggi di posta certificata
1. Il mittente (Utilizzatore A) spedisce un messaggio di posta elettronica certificata al destinatario (Utilizzatore B), tramite il Punto di Accesso del proprio Gestore (Gestore A.)
Il punto di accesso di Gestore A deve:
• eseguire dei controlli formali sul messaggio;
• generare una ricevuta di accettazione se il messaggio è formalmente corretto (1a);
• generare un Avviso di non accettazione se il messaggio contiene errori formali (1b);
• inserire il messaggio in una busta di trasporto;
• consegnare la busta di trasporto al Punto di Ricezione del Gestore destinatario (Gestore B) (1c).
2. Ricevuta la busta di trasporto, il punto di accesso di Gestore B deve:
• Verificare la correttezza e l’integrità della busta di trasporto.
• Se la busta di trasporto è corretta e integra:
◦ Confermare al Gestore A la ricezione tramite Ricevuta di presa in carico (2a).
◦ Inoltrare la busta di trasporto al punto di consegna (2b).
• Se la busta di trasporto non è corretta e integra:
◦ Imbusta il messaggio in arrivo in una busta di anomalia e la inoltra al proprio punto di consegna (2c).
3. Ricevuto il messaggio, il punto di consegna del Gestore B deve:
• Verificare se il messaggio in ingresso è una busta di trasporto o una busta di anomalia.
• Se il messaggio è una busta di trasporto:
◦ Consegnare la busta di trasporto nella mailbox PEC del destinatario (Utilizzatore B) (3a).
◦ Se la consegna è stata eseguita:
− Generare una ricevuta di avvenuta consegna per il mittente (Utilizzatore A) (3b).
◦ Se la consegna non è stata possibile per qualsiasi motivo:
− Generare una Avviso di mancata consegna per il mittente (Utilizzatore A) (3c).
◦ Se il messaggio è una busta di anomalia:
− Consegnare la busta di anomalia (3d).
2.2 Problemi di consegna
Nel caso in cui il Gestore mittente (Gestore A) non riceva, entro 12 (dodici) ore dalla trasmissione, le dovute notifiche dal punto di ricezione e dal punto di consegna del Gestore destinatario (Gestore B), notificherà al mittente (Utilizzatore A) che il Gestore destinatario potrebbe non essere in grado di consegnare il messaggio “Avviso di mancata consegna per superamento tempo massimo “.
Nel caso in cui Gestore mittente (Gestore A) non riceva, entro 24 (ventiquattro) ore dalla trasmissione la notifica di avvenuta consegna da parte del punto di consegna del Gestore destinatario (Gestore B), notificherà al mittente (Utilizzatore A) che il Gestore destinatario non è in grado di consegnare il messaggio con un secondo “Avviso di mancata consegna per superamento tempo massimo “.
2.3 Funzionamento in caso di virus
Un virus, contenuto nel testo o negli allegati di una mail certificata, può essere rilevato dal Gestore PEC del Mittente o da quello del Destinatario. Nel caso in cui sia il Gestore PEC del Mittente a rilevare il virus, allo stesso Xxxxxxxx viene inviato un Avviso di Non Accettazione per Virus.
Nel caso in cui sia il Gestore del Destinatario a rilevare il virus al proprio Punto di Ricezione, lo stesso invia un avviso di rilevazione virus al Gestore del Mittente che, non appena riceve un avviso di rilevazione virus, provvede ad emettere e consegnare al proprio utente (cioè il mittente del messaggio originale) un Avviso di Mancata Consegna per Virus.
Il messaggio infetto sarà archiviato per un periodo non inferiore a 30 (trenta) mesi.
2.4 Tipologie di ricevute
Le ricevute di avvenuta consegna sono costituite da un messaggio di posta elettronica inviato al mittente che riporta la data e l’ora di avvenuta consegna, i dati del mittente e del destinatario. Le ricevute possono essere utilizzate in sede legale per dimostrare l’avvenuta consegna del xxxxxxxxx.Xx conformità con quanto previsto dal DM 2 novembre 2005, il servizio PEC rende disponibili diverse tipologie di ricevute, così come descritte in seguito.
2.4.1 Ricevuta completa di avvenuta consegna
Questo tipo di ricevuta consiste in un messaggio di posta elettronica che riporta sia in formato leggibile, sia all’interno di un file xml allegato, i dati di certificazione (mittente, destinatario, oggetto, riferimenti temporali e identificativo del messaggio).
Il sistema inserisce il testo e gli allegati originali solo per i destinatari primari, ovvero quelli presenti nel campo “To:” e non per i destinatari in copia presenti nel campo “CC:” per i quali viene rilasciata la ricevuta senza il messaggio originale.
2.4.2 Ricevuta breve di avvenuta consegna
Questo tipo di ricevuta consiste in un messaggio di posta elettronica che riporta sia in formato leggibile, sia all’interno di un file xml allegato, i dati di certificazione (mittente, destinatario, oggetto, riferimenti temporali e identificativo del messaggio).
La ricevuta breve di avvenuta consegna include anche il testo del messaggio originale, eventuali file allegati sono sostituiti con file di testo contenenti hash crittografici.
Per questo motivo può essere necessario aver preventivamente conservato inalterati gli allegati del messaggio da esibire unitamente alla ricevuta breve di avvenuta consegna.
2.4.3 Ricevuta sintetica di avvenuta consegna
Questo tipo di ricevuta contiene unicamente i dati di certificazione (mittente, destinatario, oggetto, riferimenti temporali e identificativi del messaggio), in modo analogo alle precedenti ma non riporta né il testo del messaggio originale né i file allegati.
Per questo motivo il suo utilizzo è particolarmente adatto in automazioni che hanno un flusso di dati molto consistente, dove sia sufficiente la verifica dei soli contenuti trasmessi nell’oggetto.
2.5 Messaggi formalmente non corretti
Il Gestore invia all’Utilizzatore mittente, un Avviso di Non Accettazione ogni qualvolta rilevi, all'interno del messaggio originale inviato dallo stesso Xxxxxxxx, malformazioni e/o non conformità alla normativa, come ad esempio la presenza del campo Ccn.
2.6 Log dei messaggi
L’infrastruttura informatica del servizio PEC mantiene traccia di tutte le operazioni svolte presso i punti di accesso, ricezione e consegna, così come previsto dal DPR 68/05 art. 11 e dal DM 2 novembre 2005 art. 10.
Queste attività sono memorizzate su uno specifico registro riportante i dati significativi dell’operazione, che sono:
▪ il codice identificativo univoco assegnato al messaggio originale (Message-ID);
▪ la data e l’ora dell’evento;
▪ il mittente del messaggio originale;
▪ i destinatari del messaggio originale;
▪ il tipo dell’evento (trasmissione, ricezione etc.);
▪ il codice identificativo dei messaggi correlati generati (codice identificativo univoco con cui l’infrastruttura PEC marca ogni messaggio processato);
▪ il Gestore mittente;
▪ il Gestore destinatario.
I dati sono registrati in singoli log in base al tipo di operazione svolta (ricezione, consegna etc.). Ogni 24 (ventiquattro) ore il sistema archivia i log generati in un apposito file denominato registro dei log dei messaggi o log-file.
Così come previsto dalla normativa IRIDEOS conserva per 30 (trenta) mesi i log dei messaggi garantendo al Titolare e agli Utilizzatori delle Mailbox PEC l’accesso a tali informazioni.
La richiesta delle informazioni dei log dei messaggi è regolata da una specifica procedura descritta in seguito.
2.7 Modalità di reperimento dei log dei messaggi
L’Utilizzatore di una mailbox PEC può utilizzare questa procedura, per ottenere gli estratti dei file di log dei messaggi di posta elettronica certificata che hanno smarrito, così come previsto dall’art.6 par. 7 DPR 68/2005.
Per avviare la procedura di richiesta delle ricevute dei messaggi è necessario inviare all’indirizzo xxx@xxx.xxxxxxx.xx un messaggio di posta elettronica certificata avendo cura di riportare nel testo del messaggio le seguenti informazioni:
▪ l’indirizzo mittente di posta elettronica certificata;
▪ l’indirizzo destinatario di posta elettronica certificata;
▪ data e ora di riferimento del messaggio;
▪ il tipo di operazione per cui si esegue la richiesta (ricezione, consegna, mancata consegna). Ogni Utilizzatore può richiedere i log relativi alla sola casella assegnatagli.
Il Titolare può richiedere i log per tutte le caselle di posta elettronica certificata assegnate al dominio di cui è titolare. In questo caso il Titolare deve far pervenire la richiesta tramite l’indirizzo diposta elettronica certificata fornito durante il processo di attivazione e dedicato allo svolgimento dellefunzioni di amministrazione.
Richieste provenienti attraverso messaggi di posta elettronica tradizionali o attraverso altri canali non saranno prese in considerazione.
Le seguenti informazioni aggiuntive non sono indispensabili, ma possono essere utili per una più rapida gestione della richiesta:
▪ l’oggetto o parte di esso;
▪ l’identificativo del messaggio.
Il reparto competente XXXXXXX provvederà a fornire una risposta entro 7 (sette) giorni lavorativi dal ricevimento del messaggio contenente la richiesta.
Qualora la richiesta di ricevute di messaggi di posta elettronica certificata provenga da clienti di altro Gestore PEC, il richiedente deve allegare una dichiarazione di tale Gestore che attesta che egli è/era il titolare della casella.
3 Caratteristiche del servizio PEC fornito da IRIDEOS
Il Servizio PEC di IRIDEOS offre le seguenti soluzioni, le cui caratteristiche sono indicate nel sito web al link xxx.xxxxx.xxx/xxxxxxx/xxx:
▪ PEC Smart.
▪ PEC Dominio5.
▪ PEC Dominio10.
3.1 Caselle di posta elettronica certificata
Per tutta la durata del servizio PEC, al Titolare sono assegnate una o più caselle. Le caratteristiche delle caselle e i servizi ad esse connessi dipendono dal tipo di servizio acquistato (PEC Smart, PEC Dominio5 e PEC Dominio10).
A ogni casella è associato un indirizzo PEC nella forma identificativo@nome_dominio, secondo le regole valide per la definizione dell’indirizzo di posta elettronica certificata. L’identificativo può essere scelto dal Titolare in fase di acquisto del Servizio.
Il nome a dominio può essere scelto dal Titolare, a seconda del tipo di servizio PEC scelto:
• Per PEC Smart è scelto dal Titolare tra i Domini registrati da IRIDEOS e resi disponibili peril servizio PEC. Le mailbox PEC saranno attivate su un sottodominio scelto dal Titolare tra i domini di posta elettronica certificata di proprietà di XXXXXXX:
▪ xxxxxxx.xxx
▪ xxxxxxx.xx
L’indirizzo di posta elettronica sarà del tipo: xxxx.xxxxxxx@xxxxxxx.xxx o xxxx.xxxxxxx@xxxxxxx.xx.
• Per PEC Dominio5 e PEC Dominio10, è scelto dal Titolare tra i Domini registrati dal Titolare presso IRIDEOS o presso altri fornitori. Le caselle di posta elettronica saranno attivate su un dominio di proprietà del Titolare (es. xxxx.xxxxxxx@xxxxxxx.xx) oppure su un sottodominio appartenente ad un dominio di proprietà del Titolare (xxxx.xxxxxxx@xxx.xxxxxxx.xx). Nel caso XXXXXXX non sia il “Registrar” del dominio, il Titolare dovrà assicurarsi a propria cura e spese, che il provider del dominio abbia una configurazione dei DNS (Domain Name Server) compatibile con il servizio PEC. XXXXXXX si riserva di sospendere e/o interrompere il servizio nel caso in cui il dominio non sia correttamente configurato e funzionante.
3.2 Antivirus
Il servizio PEC include un sistema antivirus dedicato all’individuazione di messaggi contenenti allegati o altro codice la cui esecuzione potrebbe causare danni ai sistemi dell’utilizzatore. Il funzionamento del Servizio in caso di virus, è descritto nel precedente paragrafo 2.3.
3.3 Sistema Webmail
Il sistema Webmail rende disponibile direttamente via web le funzionalità di base di un email Client. Webmail è disponibile all’indirizzo xxxxx://xxxxxxx.xxx.xxxxxxx.xx e consente le seguenti funzioni:
• lettura di messaggi;
• composizione di messaggi e di allegati;
• gestione rubrica indirizzi;
• inserimento e/o modifica dell’indirizzo email e/o del numero di telefono;
• personalizzazione delle opzioni di visualizzazione;
• cambio e/o reset della password;
• modifica delle impostazioni del sistema di notifica "messaggi ricevuti" tramite email;
• configurazione del tipo di ricevuta che si intende utilizzare.
3.4 Gestionale di amministrazione PEC
Nell’ambito del servizio PEC Dominio5 e PEC Dominio10 XXXXXXX metterà a disposizione del Titolare, in uso esclusivo e per l’intera durata del servizio, il Gestionale di amministrazione PEC (di seguito “il Gestionale PEC”) pannello di controllo accessibile via web tramite autenticazione, al seguente link xxxxx://xxxxxxxxxx.xxx.xxxxxxx.xx.
Durante la fase di attivazione del servizio PEC al Titolare saranno fornite le credenziali provvisorie di autenticazione (User-id e Password) al sistema. Per accedere al Gestionale PEC è necessario che il browser sia abilitato all’utilizzo dei cookie.
Tramite il Gestionale PEC è possibile:
• svolgere operazioni di amministrazione per tutte le Mailbox PEC associate al Dominio PEC;
• attivare le Mailbox PEC rese disponibili da IRIDEOS;
• inserire e/o modificare l’email di contatto;
• chiudere la Mailbox PEC, tramite la funzione “Chiusura Soft”.
3.5 Posta elettronica tradizionale
Tramite la funzione “Impostazioni” da Webmail, nelle modalità indicate al successivo paragrafo 3.5.2, è possibile abilitare il servizio di ricezione di messaggi da indirizzi di posta elettronica tradizionale, mentre è sempre consentito l'invio di messaggi pec a indirizzi di posta elettronica tradizionale.
La ricezione di messaggi da indirizzi di posta elettronica tradizionale e l'invio di messaggi a indirizzi di posta elettronica tradizionale non generano tutte le notifiche previste dal servizio di posta elettronica certificata. Qui di seguito è descritto il comportamento del servizio in tali casi.
3.5.1 Invio di messaggi a destinatari di posta elettronica tradizionale
L’invio di un messaggio pec a indirizzi di posta elettronica tradizionale produce l’invio immediato del messaggio ad uno degli MX del dominio di posta tradizionale, con la sola notifica di presa in carico dal punto di accesso IRIDEOS e giungerà al destinatario, contenuto all’interno di una busta di trasporto.
3.5.2 Ricezione di un messaggio di posta elettronica tradizionale
Per impostazione di default non è consentito l’ingresso di posta non certificata nella casella PEC.
È questa una scelta consapevole del Gestore IRIDEOS, dettata dall’opportunità di preservare il contenuto della casella dall’ingresso di messaggi non aventi valore legale.
È comunque possibile, tramite la funzione “Impostazioni” della Webmail, modificare questa regola nelle seguenti modalità:
▪ Accettare l’ingresso nella casella anche di messaggi non certificati. Il sistema li tratterà conformemente alle regole tecniche, recapitandoli pertanto all’interno di una busta di anomalia.
I messaggi verranno analizzati dal sistema antispam che si limiterà a segnalare all’utente, attraverso opportuni avvisi e spostare in un folder dedicato, i messaggi ritenuti indesiderati o pericolosi.
▪ Inoltrare i messaggi provenienti da email non certificata verso un indirizzo di posta ordinaria scelto dal Titolare. I messaggi non certificati non entreranno nella casella PEC, ma saranno reindirizzati verso tale indirizzo.
3.6 Selezione della tipologia di ricevute da Webmail
Il servizio PEC consente di scegliere quali, tra le tipologie di ricevute generate dal servizio, si desidera utilizzare.
Il sistema è impostato per emettere ricevute complete di avvenuta consegna che l’Utilizzatore può modificare dalla Webmail, selezionando al momento della composizione di ogni singolo messaggio, il tipo di ricevuta che desidera ricevere.
3.7 Notifiche di ricezione PEC via email
La notifica di ricezione PEC è una funzione che consente al Titolare di ricevere uno specifico messaggio di posta ordinaria ad un indirizzo da lui scelto, ogni qualvolta riceva una PEC (busta di trasporto).
La notifica contiene gli elementi caratterizzanti della email PEC appena ricevuta e può essere configurata nella sezione “Impostazioni” della Webmail.
Il Gestore non è ritenuto responsabile per la mancata ricezione della notifica che, essendo recapitata ad una email non certificata, non gode della piena certezza tecnico-legale del recapito stesso.
Il Titolare ha pertanto l’onere di controllare la propria casella di PEC, indipendentemente dalla ricezione delle notifiche.
3.8 Report giornaliero via email e/o SMS
Il report consiste in una notifica giornaliera, via email oppure SMS (quest’ultima modalità è disponibile in base al tipo di servizio attivato), riportante la situazione riassuntiva di quanto ricevuto nella casella PEC nelle ultime 24 ore.
Il report viene inviato agli estremi e all’orario indicati dal Titolare, nel caso siano stati ricevuti nuovi avvisi, ricevute o messaggi certificati nelle ultime 24 ore.
Il Gestore è ritenuto responsabile per la mancata ricezione del report che, essendo recapitato a canali di comunicazione non certificati, non gode della piena certezza tecnico-legale del recapito stesso.
Il Titolare ha pertanto l’onere di controllare la propria casella di PEC, indipendentemente dalla ricezione del report.
3.9 Dimensione massima delle mailbox PEC
Le mailbox PEC Smart hanno dimensione massima (quota) pari a un 1Gigabyte, le mailbox PEC Dominio5 hanno dimensione massima pari a 5 Gigabyte e le mailbox PEC Dominio10 hanno dimensione massima pari a 10 Gigabyte.
Quando i messaggi contenuti nella Mailbox PEC superano complessivamente il 70% e il 90% della
capacità massima (Quota) il servizio invia una notifica all’Utilizzatore, segnalando la circostanza.
Al raggiungimento della Quota i messaggi in ingresso non saranno consegnati e il servizio PEC genererà al mittente del messaggio un avviso di mancata consegna.
3.10 Assistenza tecnica
Il Servizio include l’assistenza telefonica o tramite trouble ticket e email, regolate secondo quanto riportato nel paragrafo 7.8 “Modalità di accesso ai servizi di Assistenza tecnica”.
E’ esclusa dal servizio l’assistenza e la formazione all’utilizzo dei client di posta elettronica.
E’ esclusa inoltre l’assistenza per la configurazione e il mantenimento del tempo delle configurazioni necessarie all’attivazione e al buon funzionamento delle caselle di posta attestate su domini registrati presso altri fornitori.
Tutte le operazioni di configurazione del servizio eseguite tramite Webmail o Gestionale PEC devono essere eseguite dal Titolare e dal personale da lui delegato.
4 Commercializzazione del servizio PEC e condizioni contrattuali
4.1 Commercializzazione del servizio
Il servizio PEC è commercializzato tramite il sito di vendite online XXXXX.xxx.
Il servizio PEC IRIDEOS può essere acquistato e utilizzato da cittadini italiani o cittadini stranieri regolarmente residenti in Italia.
E’ possibile richiedere informazioni commerciali all’indirizzo xxxx@xxxxx.xx.
4.2 Condizioni contrattuali
Le condizioni di utilizzo per l’acquisto del servizio PEC sono presenti sul sito XXXXX.xxx.
Al Titolare sarà fornita tutta la documentazione contrattuale in fase completamento dell’ordine.
Qui di seguito sono riportate le clausole contrattuali relative agli obblighi e responsabilità del Gestore e del Titolare.
4.3 Obblighi e responsabilità del Gestore
Il Gestore assume gli obblighi e le responsabilità previste dalla normativa di settore e dal Contratto.
4.3.1 Obblighi del Gestore
XXXXXXX erogherà il Servizio al Titolare in conformità a quanto stabilito dalla vigente normativa e con le modalità specificate nel presente Manuale Operativo.
Nel rispetto di quanto stabilito dal D.P.R. 68\2005 e dal DM 02 novembre 2005, XXXXXXX erogherà il Servizio attenendosi ai seguenti obblighi:
• Regolamentazione tecnica prescritta e disciplinata dal DM del 2 novembre 2005.
• Garantire il funzionamento puntuale, efficiente e sicuro del Servizio.
• Fornire al mittente, appartenente ad un Dominio gestito da XXXXXXX, la ricevuta di accettazione contenente i dati di certificazione.
• Fornire al mittente, qualora il destinatario appartenga a un Dominio gestito da IRIDEOS,la ricevuta di avvenuta consegna contenente i dati di certificazione.
• Qualora il messaggio non risulti consegnabile, comunicare al mittente, entro le 24 ore successive all’invio, la mancata consegna del messaggio.
• Firmare, con firma digitale, buste di trasporto e ricevute dei messaggi.
• Apporre il riferimento temporale su ciascun messaggio di Posta Elettronica Certificata che transita all’interno dell’infrastruttura.
• Conservare, secondo quanto prescritto dalla legge, il log-file dei messaggi transitati nell’infrastruttura. Il log-file sarà generato quotidianamente includendo i log dei messaggi generati in un intervallo massimo di 24 ore.
• Trasmettere da mittente a destinatario il messaggio di Posta Elettronica Certificata integro in tutte le sue componenti, includendolo nella busta di trasporto.
• Tracciare le operazioni svolte durante le fasi di trasmissione registrandole nell’apposito log- file dei messaggi.
• Conservare il registro contenente i log-file per almeno 30 (trenta) mesi.
• Garantire la sicurezza, l’integrità e l’inalterabilità nel tempo del registro contente i log-file adottando soluzioni tecniche adeguate a tal scopo.
• Gestire messaggi contenenti virus informatici secondo quanto prescritto dal Decreto Ministeriale 2 novembre 2005.
• Assicurare i livelli minimi di servizio previsti dal Decreto Ministeriale 2 novembre 2005.
• Assicurare l’interoperabilità con gli altri Gestori di posta elettronica certificata.
4.3.2 Limiti di responsabilità del Gestore
Il Gestore è responsabile dei danni causati con dolo o colpa, a qualsiasi persona fisica o giuridica in seguito al mancato adempimento degli obblighi contrattuali e di quelli previsti dalla normativa vigente.
4.3.3 Esclusioni di responsabilità del Gestore
XXXXXXX non sarà in alcun modo responsabile per quanto a lei non imputabile. In particolare non sarà responsabile per:
• Mancata trasmissione e ricezione dei messaggi dovuta al raggiungimento della capacità massima della casella di posta elettronica certificata.
• Mancata trasmissione di messaggi che superino la dimensione massima consentita, cosìcome
definita dal DM 2 novembre 2005 e descritta nel capitolo 6 “Livelli di servizio” del Manuale Operativo.
• Mancata trasmissione e ricezione dei messaggi o in generale disservizi e malfunzionamenti derivanti dal mancato funzionamento del DNS e/o dominio su cui è attestata la casella PEC gestita da altri fornitori.
• Mancata trasmissione e ricezione di messaggi o in generale disservizi o malfunzionamenti dovuti a causa di forza maggiore.
• Mancata trasmissione e ricezione dei messaggi o in generale disservizi e malfunzionamenti derivanti dall’errata configurazione del client di posta elettronica, che è affidata al Titolare.
• Utilizzo del Servizio al di fuori delle previsioni normative vigenti.
• Violazione degli obblighi previsti dal Manuale Operativo in capo all’Utilizzatore e al Titolare.
• Violazione degli obblighi di legge da parte del Titolare o dell’Utilizzatore ovvero di chi utilizza il servizio in qualità di mittente o destinatario del Servizio.
• Errato utilizzo dei dati di autenticazione da parte dell’Utilizzatore.
• Mancata trasmissione dei messaggi affetti da virus informatici o rilevati tali dal sistema.
• Mancata trasmissione e ricezione di messaggi o in generale disservizi e malfunzionamenti dovuti ai Gestori PEC che interagiscono nella comunicazione.
XXXXXXX non assume alcun obbligo di conservazione dei contenuti dei messaggi trasmessi e ricevuti dal Titolare e/o dagli Utilizzatori con la casella di posta elettronica certificata oggetto del Servizio. Tale conservazione è di esclusiva responsabilità del Titolare e/o degli Utilizzatori medesimi.
IRIDEOS si riserva il diritto di modificare l’erogazione tecnica del Servizio in qualsiasi momento in base alla variazione della normativa applicabile. Quando l’entità delle eventuali modifiche del Servizio lo richieda, esse saranno descritte e comunicate mediante l’aggiornamento del Manuale Operativo.
XXXXXXX declina ogni responsabilità in merito al contenuto dei messaggi inviati e ricevuti attraverso il Servizio.
XXXXXXX non risponde di danni diretti o indiretti che avrebbero potuto essere evitati o limitatidal Titolare e/o dagli Utilizzatori conoscendo il funzionamento del servizio come risulta dal Manuale Operativo o gestendone con diligenza il malfunzionamento.
4.4 Obblighi e responsabilità del Titolare
Il Titolare assume gli obblighi e le responsabilità previste dalla normativa vigente e dal Contratto.
4.4.1 Responsabilità del Titolare
Il Titolare è responsabile per l’utilizzo del Servizio fatto direttamente o da propri Utilizzatori. A titolo esemplificativo il Titolare è responsabile:
• del contenuto dei messaggi trasmessi e\o ricevuti tramite il Servizio.
• della corretta gestione e sicurezza delle credenziali di accesso alle caselle PEC da parte degli Utilizzatori e del mantenimento e dell’archiviazione da parte degli stessi delle ricevute di consegna e trasmissione dei messaggi.
• della configurazione del client di posta elettronica con cui è possibile accedere alla casella PEC.
Nel caso di caselle PEC attestate su domini registrati presso altri fornitori, è responsabilità del Titolare portare a compimento tutte le operazioni necessarie affinché il fornitore terzo configuri e mantenga nel tempo le configurazioni necessarie al buon funzionamento del servizio.
Il servizio non include le procedure di assistenza necessarie all’attivazione e al buon funzionamento di questa opzione.
XXXXXXX si riserva di sospendere il Servizio nel caso in cui il DNS su cui è attestata la casella PEC non sia funzionante. Trascorsi 15 giorni senza che il problema venga rimosso XXXXXXX si riserva di risolvere il Contratto previa Comunicazione.
4.4.2 Obblighi del Titolare
In virtù dell’accettazione delle Condizioni di utilizzo del Servizio PEC il Titolare è tenuto a:
• Identificare gli Utilizzatori accertando che questi siano cittadini italiani o cittadini stranieri regolarmente residenti in Italia e archiviando la relativa documentazione.
• Assegnare agli Utilizzatori le caselle PEC messe a disposizione da XXXXXXX tramite il Gestionale di amministrazione PEC.
• Trasmettere agli Utilizzatori il Manuale Operativo e vincolare questi ultimi al suo rispetto.
Il Titolare assume, inoltre, per sé e per gli Utilizzatori, i seguenti obblighi:
• Conoscere il contenuto del Manuale Operativo.
• Fornire, sotto propria responsabilità e garantendone l’attendibilità, a XXXXXXX tutta la documentazione richiesta e necessaria ad una corretta identificazione personale.
• Utilizzare il Servizio nel rispetto delle norme di uso del servizio riportate nel Manuale Operativo.
• Impedire a terzi di utilizzare il servizio con modalità e\o fini illeciti.
Il Titolare inoltre si obbliga a manlevare IRIDEOS da qualsiasi azione legale o pretesa di soggetti terzi per eventuali violazioni commesse dagli Utilizzatori attraverso il Servizio.
4.5 Norme d’uso del servizio
E’ vietato l’utilizzo del Servizio per depositare, inviare, pubblicare, trasmettere e\o condividere applicazioni o documenti informatici in contrasto o in violazione di diritti di proprietà intellettuale, di segreti commerciali, marchi o brevetti o altri diritti di proprietà riconducibili a terzi o che in qualsiasi modo danneggino, violino o tentino di violare la segretezza della corrispondenza ed il diritto alla riservatezza.
Inoltre, è fatto divieto di trasmettere e ricevere messaggi con contenuti che siano in contrasto con disposizioni normative e regolamentari applicabili.
I suddetti divieti si applicano agli Utilizzatori e al Titolare del servizio che s’impegna a non utilizzare e non far utilizzare il Servizio in spregio di tali divieti.
XXXXXXX si riserva la facoltà di sospendere il Servizio e impedire l’accesso alle caselle PEC in caso siano violati uno o più dei divieti sopra elencati, indipendentemente dal fatto che questo sia richiesto da un organo giurisdizionale o amministrativo competente.
5 Trattamento dei dati personali
I Dati personali forniti dai Clienti per l’attivazione dei servizi acquisiti nell’ambito del rapporto contrattuale, saranno utilizzati da IRIDEOS in qualità di Titolare del trattamento.
L’Informativa estesa del trattamento dei dati personali dei Clienti IRIDEOS è consultabile sul sito internet xxx.xxxxxxx.xx, link “privacy”.
5.1 Tipologia di dati personali trattati
• dati identificativi e di contatto;
• dati di pagamento;
• certificati digitali (sottoscrizione, autenticazione, eccetera);
• log di posta.
5.2 Finalità del trattamento
Ai sensi dell’art. 13 del Regolamento UE 679/2016, c.d. GDPR, del D.Lgs. 196/2003 e s.m.i. dei Provvedimenti del garante per la Protezione dei Dati Personali, (di seguito, congiuntamente identificata come “Normativa Privacy applicabile”) si informa il Titolare della casella PEC, che i dati personali raccolti in occasione della stipula del Contratto e durante l’esecuzione dello stesso, sono trattati per le seguenti finalità:
• Identificazione del Titolare mediante acquisizione del documento di identità e dei dati anagrafici.
• Esecuzione del Contratto, erogazione e fruizione del Servizio PEC.
• Adempimento di obblighi di legge, contabili, fiscali, esecuzione di provvedimenti dell’Autorità giudiziaria, diretti alla prevenzione e repressione dei reati.
• Assistenza tecnica.
• Perseguimento di un legittimo interesse di XXXXXXX, come la prevenzione e repressione delle frodi, finalità statistiche, analisi aggregata.
Previo consenso dell’interessato IRIDEOS potrà svolgere attività di marketing, consistenti in ricerche di mercato, iniziative di comunicazione commerciale e promozionale relative a servizi e prodotti da essa commercializzati e/o dai propri partner commerciali, mediante strumenti tradizionali e/o automatizzati e svolgere altresì attività di analisi e profilazione volte a rilevare le preferenze scelte e le abitudini di consumo, per migliorare i servizi e prodotti forniti e proporre offerte commerciali mirate.
Il consenso potrà essere revocato in qualsiasi momento, inviando comunicazione semplice all’indirizzo di posta elettronica xxxx@xxxxxxx.xx.
5.3 Modalità di trattamento dei dati
I dati sono raccolti, trattati e conservati in modo lecito e per le finalità sopra indicate, su supporto informatico e cartaceo, in modo tale da garantirne la sicurezza e riservatezza. Ad essi hanno accesso i soggetti autorizzati da XXXXXXX, sia dipendenti, che collaboratori esterni, eventualmente nominati responsabili del trattamento secondo l’art. 28 del GDPR.
5.4 Durata del trattamento e periodo di conservazione
I dati personali sono trattati per il tempo necessario a conseguire le finalità connesse all’esecuzione del contratto o per periodi maggiori, in adempimento alle normative fiscali o per tutela giurisdizionale. I log dei messaggi sono conservati, secondo quanto disposto dall’art. 6 co.7 DPR 68/05 per un periodo di 30 mesi.
5.5 Soggetti terzi a cui i dati personali raccolti possono essere comunicati
Per le finalità di cui al par. 5.2. XXXXXXX avrà facoltà di comunicare i dati personali alle seguenti categorie di soggetti:
▪ Soggetti terzi quando ciò risulti necessario per l’erogazione dei servizi oggetto del Contratto.
▪ Enti pubblici e privati quando ciò risulti necessario per obbligo di legge, di regolamento o dalla normativa comunitaria.
▪ Soggetti terzi cui XXXXXXX affida lo svolgimento di determinate attività quali adempimenti fiscali, consulenze in ambito informatico o commerciale, prevenzione frodi, recupero crediti.
▪ Soggetti terzi cui XXXXXXX potrebbe cedere il credito.
▪ Nostre Società controllanti, controllate e collegate.
▪ Soggetti terzi titolari autonomi o responsabili esterni del trattamento secondo l’art 28 del GDPR.
5.6 Trasferimento dei dati fuori dall’Unione Europea
I dati personali dei Clienti sono conservati su server ubicati in territorio Europeo.
Fermo quanto sopra previsto IRIDEOS, per talune specifiche operazioni, previo consenso o altra idonea base giuridica, può trasferire i dati personali verso Paesi non appartenenti allo Spazio Economico Europeo. In tal caso XXXXXXX assicura il corretto trattamento e l’adeguata protezione dei dati personali raccolti, nel rispetto del capo V del GDPR.
5.7 Protezione delle comunicazioni
Nell’ambito del servizio di telecomunicazione fornito, ai sensi di quanto previsto dalla Normativa privacy applicabile, in particolare dal Regolamento UE 2016/679, sono adottate specifiche misure di sicurezza volte a proteggere le comunicazioni, al fine garantire l’integrità dei dati, la difesa da manomissioni o modifiche da parte di terzi non autorizzati, la disponibilità, mediante l’utilizzo di sistemi di back-up e disaster recovery, la riservatezza, intesa come garanzia di segregazione del dato, mediante accesso da parte di soggetti espressamente autorizzati.
Possono sussistere situazioni che permettono a terzi non autorizzati di apprendere in modo anche non intenzionale il contenuto delle stesse. In particolare, a meno di non adottare sistemi di cifratura, i messaggi circolano sulle reti in chiaro e le reti si dimostrano facilmente aggredibili nonostante l’adozione di aggiornati sistemi di protezione.
Gli addetti alle operazioni di trasmissione per via telematica di atti, dati e documenti formati con strumenti informatici, si attengono a quanto prescritto dall’art. 49 del D.Lgs. 82/05 che vieta di prendere cognizione della corrispondenza telematica, duplicare con qualsiasi mezzo o cedere a terzi a qualsiasi titolo informazioni anche in forma sintetica o per estratto sull'esistenza o sul contenuto di corrispondenza, comunicazioni o messaggi trasmessi per via telematica, salvo che si tratti di informazioni per loro natura o per espressa indicazione del mittente, destinate ad essere rese pubbliche. L’accesso al contenuto dei messaggi sarà quindi possibile con l’autorizzazione del Titolare, salvo ciò avvenga per adempiere ad obblighi normativi o per adeguarsi a un provvedimento dell’Autorità Giudiziaria o di altra Autorità competente.
5.8 Diritti dell’interessato
I Clienti, in qualità di interessati del trattamento, possono esercitare i diritti previsti nel Capo III, art.12
e seguenti del GDPR, tramite l’invio di una email all’indirizzo di posta elettronica xxxx@xxxxxxx.xx a cui sarà dato seguito nei termini previsti dall’art. 12 co.3.
5.9 Titolare e Responsabile della protezione dei dati personali
6 Livelli di servizio
Il servizio PEC è erogato con le seguenti limitazioni:
• le liste di distribuzione possono essere composte al massimo da 50 (cinquanta) destinatari;
• il prodotto del numero dei destinatari per la dimensione del messaggio stesso non deve superare 100 Megabyte.
La Trasmissione di un Messaggio di dimensioni superiori genera un errore, di norma segnalato all’Utilizzatore dal proprio email client, oppure segnalato dalla Webmail. La Ricezione di un Messaggio di dimensioni superiori genera un messaggio di rifiuto (in Inglese) indirizzato al Mail Server del mittente a cui spetta l’onere di comunicare a quest'ultimo il mancato recapito del messaggio così come stabilito dall’RFC2822.
Il servizio PEC è erogato, in accordo con le norme e le specifiche previste dal DM 2 novembre 2005che in dettaglio prevedono:
▪ disponibilità del servizio maggiore o uguale al 99,8% del periodo temporale di riferimento, pari ad un quadrimestre;
▪ durata massima di ogni evento di indisponibilità minore o uguale al 50% del totale previsto per l’intervallo di tempo previsto (99,8% su base quadrimestrale).
▪ Tempo massimo per il rilascio della ricevuta di accettazione nel periodo di disponibilità del servizio (calcolato escludendo i tempi di trasmissione) pari a 30 minuti.
XXXXXXX ha predisposto una struttura tecnica in grado di comunicare periodicamente a AgID informazioni riguardanti il funzionamento del servizio PEC, a eventuali malfunzionamenti e disservizi rilevati.
XXXXXXX inoltre s’impegna a comunicare a Titolari e Utilizzatori eventuali malfunzionamenti nei casi previsti dalla normativa e con strumenti modulati in base allo specifico evento.
Le informazioni inerenti i malfunzionamenti come sopra descritte saranno fornite ai Titolari e ai Responsabili Tecnici indicati dal Titolare, tramite posta elettronica.
In base alla normativa di settore, IRIDEOS è tenuta comunicare tempestivamente AgID i malfunzionamenti riscontrati nel proprio sistema.
Nella segnalazione, il Gestore deve comunicare anche una prima valutazione dell'incidente e descrivere le eventuali misure adottate a riguardo. I disservizi vengono catalogati in base alla seguente tabella:
Tipologia | Codice | Descrizione |
Comportamento anomalo non circoscritto | 1A: rilevato dal gestore | Comportamento difforme dalle regole tecniche di cui all'art. 17 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, relativo alle funzioni base (trattamento del messaggio originario, ricevute e avvisi) per il quale non è circoscritto il potenziale impatto. |
1B: rilevato da terzi | ||
Comportamento anomalo circoscritto | 2A: rilevato dal gestore | Comportamento difforme dalle regole tecniche di cui all'art. 17 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, relativo alle funzioni base (trattamento del messaggio originario, ricevute e avvisi) per il quale è circoscritto il potenziale impatto. |
2B: rilevato da terzi | ||
Malfunzionamento bloccante | 3A: rilevato dal gestore | Tipologia di malfunzionamento a causa del quale le funzionalità del sistema di PEC, come definite nelle regole tecniche di cui all'art. 17 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, non possono essere utilizzate in tutto o in parte dagli utenti. |
3B: rilevato da terzi |
Nei casi 1A e 1B IRIDEOS auto-sospende il servizio, dandone informazione ai propri utenti e agli altri gestori. Nei casi 2A e 2B XxxX può decidere di sospendere il servizio fino a risoluzione del problema. La sospensione comporta un “avviso di non accettazione” per eccezioni formali (per i messaggi in uscita) e la mancata emissione della Ricevuta di Presa in Carico per i messaggi provenienti dagli altri Gestori.
Nel caso di sospensione e una volta eliminato il disservizio, XXXXXXX può riprendere l'attività, previo invio ad AgID di una relazione dettagliata. I livelli di servizio indicati si riferiscono alle componenti di infrastruttura direttamente controllate da IRIDEOS ed escludono, quindi, le prestazioni degli altri “Gestori di Posta Elettronica Certificata”, i collegamenti alla rete internet che sono di competenza del provider del Titolare.
6.1 Indicatori di qualità
Di seguito sono riportati gli indicatori di qualità del servizio PEC:
Descrizione | Valori di soglia o Intervalli relativi |
Tempo di attivazione del servizio | 48 ore (Dalla presa in carico dell’ordine) |
Disponibilità di accesso al servizio | 7 giorni su 7 24 ore su 24 |
Livelli di servizio su base quadrimestrale, disponibilità: | 99,8% |
Tempo massimo di un singolo evento d’indisponibilità durante un quadrimestre | 1 ora e 20 minuti |
Tempo massimo d’indisponibilità del servizio su base quadrimestrale: | 2 ore e 40 minuti |
7 Procedure operative
7.1 Attivazione del servizio
La procedura di attivazione del servizio è avviata automaticamente tramite una procedura di acquisto elettronico attivabile dal Cliente.
Durante il processo di acquisto e attivazione, al Titolare del servizio viene richiesto di:
▪ Inserire, tramite upload, copia del documento di identità o di altro documento che certifichi l’identità del Titolare stesso, in formato elettronico. Il documento può essere inviato anche successivamente al completamento dell’ordine ma, in sua assenza, l’ordine rimarrà bloccato alla fase di attivazione.
▪ Indicare un indirizzo email di contatto diverso dall’indirizzo pec che potrà essere modificato in qualsiasi momento nella sezione “Impostazioni” della Webmail.
▪ Indicare l’indirizzo di posta elettronica certificata da creare e da destinare al Titolare stesso e/o all’Utilizzatore.
▪ Indicare una delle seguenti informazioni riguardanti il Dominio di attivazione del servizio:
• il dominio o il sottodominio da sottoporre a registrazione o trasferimento qualora si sia scelto di attivare PEC con questo servizio opzionale;
• il dominio o il sottodominio di proprietà del Titolare, ma gestito da un altro provider, su cui s’intende attivare il servizio.
Dopo l’inserimento da parte del Cliente di queste informazioni si avvia la fase di attivazione che comprende una fase di controllo della validità del documento di identità fornito.
In seguito al Titolare sarà notificata, via email, la comunicazione ufficiale di rilascio del servizio.
Il rilascio del servizio, su un sottodominio di proprietà del Titolare gestito da XXXXXXX, avviene entro i termini fissati nel Contratto. Qualora sia richiesta l’opzione di registrazione o trasferimento del dominio, l’attivazione del servizio dovrà attendere i tempi necessari a portare a termine presso le autorità competenti le procedure di registrazione o trasferimento.
Nel caso invece di un dominio o sottodominio gestito da una terza parte, dopo la compilazione dell’allegato di servizio la procedura sarà automaticamente sospesa nell’attesa che il Titolare si assicuri e confermi che la configurazione DNS della terza parte sia compatibile con il servizio PEC IRIDEOS.
7.2 Accesso al servizio
L’accesso al servizio è consentito solo ai Titolari e/o agli Utilizzatori del servizio PEC. E’ possibile accedere e utilizzare il servizio tramite un client di posta elettronica o direttamente tramite Webmail.
Entrambe le modalità di accesso richiedono l’utilizzo di una connessione internet, non inclusa nel servizio, e l’autenticazione tramite User-id e password.
7.2.1 Accesso tramite client di posta
Per utilizzare il servizio tramite client è necessario disporre di un client di posta elettronica (es. Microsoft Outlook, Mozilla Thunderbird, etc.), installato sulla postazione utilizzatore, correttamente configurato e di una connessione internet.
Per configurare correttamente il client di posta elettronica è indispensabile che i dispositivi di sicurezza del Titolare e il network utilizzato per accedere al servizio consentano i seguenti protocolli:
Smtps | Pops |
Imaps | Https |
7.2.2 Configurazione di un client di posta elettronica
I parametri di configurazione del servizio per i più comuni client sono consultabili tramite il sito xxxxx://xxx.xxxxx.xxx/.
Gli Utilizzatori che hanno altri client possono richiedere al servizio di assistenza tecnica IRIDEOS supporto alla configurazione del servizio. Il supporto tecnico si adopererà al meglio, ma senza garanzie di servizio o tempi di risoluzione garantiti.
Di seguito riportiamo le specifiche necessarie alla configurazione di un client di posta per utilizzare il servizio PEC:
Server di posta in uscita (SMTP) | xxxx.xxx.xxxxxxx.xx - Inserire con protocollo TLS |
Server posta in ingresso (IMAP) | xxxx.xxx.xxxxxxx.xx - Inserire con protocollo SSL |
Server posta in ingresso (POP) | xxx.xxx.xxxxxxx.xx - Inserire con protocollo SSL |
7.2.3 Accesso tramite Webmail
L’accesso al servizio di posta elettronica certificata IRIDEOS tramite Webmail è disponibile all’indirizzo xxxxx://xxxxxxx.xxx.xxxxxxx.xx.
Per accedere a Webmail è necessario che il browser web sia configurato per accettare l’uso dei cookie.
L’accesso a Webmail avviene tramite autenticazione, per accedere è necessario quindi disporre delle credenziali (User-id e Password).
7.3 Chiusura della casella PEC
La cancellazione di una o più caselle PEC può avvenire:
▪ alla scadenza naturale del contratto, nel caso in cui il Titolare non ne effettui il rinnovo o in caso di disdetta anticipata;
▪ ricorrendo alla funzione “Chiusura Soft” del Gestionale PEC per i soli servizi PEC Dominio5 e Dominio10.
7.3.1 Mancato rinnovo della casella PEC
In caso di mancato rinnovo alla scadenza, della casella PEC Dominio 5 e Dominio10, il sistema provvederà a sospendere la casella e il dominio di posta certificata sulla piattaforma informatica.
La procedura di sospensione prevede, dopo 30 giorni dal mancato rinnovo, la chiusura della casella PEC e dopo 60 giorni dal mancato rinnovo, la decertificazione del dominio presso il sistema centralizzato nazionale, qualora non esistano ulteriori caselle PEC attive sullo stesso dominio.
Nel caso in cui il Titolare proceda al rinnovo del Servizio entro i 30 giorni successivi alla data di prevista scadenza, la casella e il dominio di posta certificata verranno ripristinati e sarà possibile recuperare anche il contenuto della casella stessa.
In caso di mancato rinnovo della casella PEC Smart alla scadenza, il sistema provvederà a inibire la casella di posta certificata sulla piattaforma informatica.
Nel caso in cui il Titolare proceda al rinnovo del Servizio entro i 30 giorni successivi alla data di prevista scadenza, la casella di posta certificata verrà ripristinata e sarà possibile recuperarne il contenuto.
7.3.2 Chiusura tramite Gestionale PEC
Il Titolare di una casella PEC Dominio5 e Dominio10 può innescare il processo di chiusura della casella PEC, tramite la funzione “Chiusura Soft” del Gestionale PEC.
Il sistema procederà a sospendere la casella PEC, che rimarrà accessibile in consultazione, ma inibita all’invio e alla ricezione di nuovi messaggi. Decorsi 30 giorni dalla data di inserimento della richiesta, la casella verrà chiusa.
Nel caso in cui il Titolare revochi la richiesta entro i 30 giorni dalla data di chiusura, la casella di posta certificata verrà ripristinata e sarà possibile recuperarne il contenuto.
7.4 Effetti della chiusura della casella PEC
Quando una casella PEC è chiusa Il Titolare non può più accedervi e/o utilizzarla per spedire e/o ricevere nuovi messaggi.
Il Titolare della casella cessata, fornendo prova documentale del titolo di legittimazione, potrà richiederne la riassegnazione, tramite il servizio di assistenza tecnica di XXXXXXX o inserendo un nuovo ordine dal portale KOLST, ma non sarà possibile recuperarne il contenuto.
7.5 Riassegnazione degli indirizzi PEC cessati
La riassegnazione a terzi di una casella PEC cessata non è consentita.
L’ assegnatario originario di una casella cessata, fornendo prova documentale del titolo di legittimazione, potrà richiedere la riassegnazione tramite il servizio di assistenza tecnica di XXXXXXX o inserendo un nuovo ordine dal portale KOLST, ma non sarà possibile recuperarne il contenuto.
7.6 Gestione della password
7.6.1 Primo accesso
L’Utilizzatore, al primo accesso a Webmail, effettua il login nella pagina di autenticazione, inserendo il nome utente e la password temporanea.
Successivamente visualizza un banner in cui viene richiesto obbligatoriamente il cambio password, tramite il reset della stessa.
7.6.2 Complessità della password
Al momento della creazione della password il sistema indica i requisiti di complessità e mostra il livello di sicurezza raggiunto:
7.6.3 Reset password
L’impostazione del reset password può essere eseguita esclusivamente su richiesta dell’Utilizzatore, che riceve un messaggio contenente il link temporaneo all’indirizzo email di contatto, tramite cui avviare il processo di impostazione della nuova password.
Per effettuare il reset della password l’Utilizzatore deve inserire il nome della casella PEC e premere sul tasto “Avanti”:
Successivamente il sistema mostra l’indirizzo email di contatto a cui verrà inviato il link per il reset password:
Al termine della procedura di reset password, l’Utilizzatore riceverà il messaggio di conferma:
In caso di anomalie relative all’indirizzo dell’email di contatto, l’Utilizzatore potrà aprire un ticket dall’Area clienti KOLST, verso il servizio di assistenza tecnica.
L’Utilizzatore viene reindirizzato nuovamente alla pagina di login della Webmail (vedi figura sopra).
7.6.4 Cambio password
Nella sezione “Sicurezza e dati di contatto” all’interno dell’area di configurazione della PEC della Webmail, è disponibile la funzione “Modifica password”:
Effettuato il salvataggio, il sistema provvederà al cambio della password impostata dall’Utilizzatore.
7.7 Password policy
La password della casella PEC deve rispettare i seguenti criteri di complessità:
• La password deve essere composta da 8 o più caratteri;
• La password deve essere costituita da caratteri alfanumerici tra cui almeno una lettera maiuscola, una lettera minuscola, un numero e un carattere speciale accettato dal sistema (_.-
?#+;:!@);
• La password non deve essere composta da parole di uso frequente o da sequenze di caratteri ripetuti;
• La password non deve contenere in tutto o in parte il nome dell’account utente;
• La password va cambiata al primo accesso seguendo i requisiti di complessità predefiniti;
• La password deve essere cambiata regolarmente ogni 90 giorni. Decorsi 60 giorni dal cambio della password, il sistema ricorda periodicamente all’Utilizzatore l’obbligo di modifica;
• La password che viene impostata non deve essere uguale alle ultime 12 utilizzate;
• In seguito a tentativi falliti di inserimento password è stato configurato un rallentamento esponenziale delle operazioni di autenticazione, oltre a eventuali misure di sicurezza aggiuntive, al fine di limitare gli accessi non autorizzati;
• L‘unico modo di ripristino della password consiste nel reset della stessa.
7.8 Modalità di accesso ai servizi di assistenza tecnica
Il Servizio include l’assistenza telefonica attiva dal lunedì al venerdì (festivi esclusi),dalle 08:30 alle 18:00, raggiungibile al numero verde 800.585.383 da rete fissa e mobile o al numero +39 02.87200983 dall’estero.
Il Servizio di assistenza tecnica viene altresì erogato tramite i seguenti canali:
- sistema di Trouble Ticketing online, disponibile all’interno dell’Area Clienti del Sito;
- via e-mail, all’indirizzo: xxxxxxx.xxx@xxxxxxx.xx.
L’accesso all’Area clienti KOLST e al sistema online di trouble ticketing è consentito solo al Titolare del servizio.
La gestione di un guasto segnalato dal Titolare o individuato da XXXXXXX implica l’introduzione di una registrazione nel sistema elettronico di gestione dei guasti. L’autorizzazione alla chiusura di un guasto,
ovvero la dichiarazione che il problema è stato risolto, avviene solo in seguito ad autorizzazione da parte del Titolare o dell’Utilizzatore.
Gli Utilizzatori di una casella PEC possono accedere al servizio solo tramite email o area clienti.
7.9 Procedura in caso di cessazione attività di Gestore
La presente sezione regolamenta la eventualità della cessazione dell’attività di gestore del servizio PEC da parte di XXXXXXX a norma della nota AgID del 08 novembre 2018 che disciplina tale fattispecie, la quale fa fede, tra l’altro, per le definizioni utili ad interpretare la presente procedura.
Comunicazione a AgID deIla eventuale cessazione: IRIDEOS, qualora intenda cessare l’attività di Gestore, invierà una comunicazione ad AgID (via Xxxxx 21 - 00144 Roma, xxxxxxxxxx@xxxx.xxx.xx) almeno 60 giorni prima della data di prevista cessazione a firma del legale rappresentante.
Tale documentazione conterrà: a) i dati identificativi del Gestore IRIDEOS (indirizzo, dettagli dell’iscrizione all’albo gestori); b) la data e l’ora di cessazione del servizio; c) una pianificazione di tutte le attività propedeutiche alla cessazione; d) l’indicazione dell’eventuale Gestore sostitutivo.
Laddove si prevedesse un Gestore sostitutivo, si produrrà altresì una dichiarazione del legale rappresentate di quest’ultimo che impegnerà ad erogare ai titolari di XXXXXXX che ne facciano richiesta, il servizio PEC tramite migrazione e a conservare il registro dei log dei messaggi. In assenza di Gestore sostitutivo, i dettagli saranno quelli concordati con XxXX.
Comunicazione agli altri Gestori PEC della eventuale cessazione: In caso di cessazione, IRIDEOS comunicherà la data e l’ora di cessazione del servizio PEC a tutti i Gestori (come da lista riportata nelle comunicazioni di AGID) attivi, almeno 30 giorni prima della data di cessazione.
Comunicazione ai Titolari delle caselle PEC della eventuale cessazione: In caso di cessazione, IRIDEOS comunicherà la data e l’ora di cessazione del servizio PEC, almeno 30 giorni prima di tale data, attraverso una mail di posta elettronica certificata indirizzata a tutti i titolari di caselle PEC. Nella mail: i) si forniranno tutte le informazioni necessarie al fine di assicurare al Titolare la conoscenza sulla gestione dei log anche dopo la cessazione; ii) si indicherà il soggetto incaricato della conservazione dei log dopo la cessazione e le modalità di reperimento; iii) nel caso di individuazione di un Gestore sostitutivo, si comunicherà a tutti i Titolari che potranno avvalersi del servizio da questi erogato, evidenziando procedure contrattuali e organizzative per la continuità del servizio.
Conservazione dei log post eventuale cessazione: L’obbligo di conservazione del registro dei log delle operazioni svolte, di cui all’articolo 11 comma 2 del DPR 11 febbraio 2005, n. 68, sarà assolto anche per i 30 mesi successivi alla eventuale cessazione dell’attività da parte di XXXXXXX che conserverà direttamente tali informazioni qualora non venisse individuato un Gestore sostitutivo. In tal caso, XXXXXXX concorderà con AgID la modalità di conservazione dei log nei 30 mesi successivi alla cessazione, anche per garantire l’esperibilità di eventuali azioni di vigilanza.
In caso di gestore sostitutivo, quest’ultimo potrà essere oggetto delle visite ispettive di XxXX, in relazione alla conservazione dei log di IRIDEOS.
Chiavi e certificati post cessazione: In caso di cessazione, XXXXXXX provvederà, entro il giorno successivo alla cessazione stessa, alla distruzione delle chiavi presenti negli HSM, e in tutti i supporti di backup, relative ai certificati (ritirati da AgID a seguito della cessazione). Entro una settimana dalla data di cessazione, XXXXXXX fornirà evidenza della avvenuta distruzione delle chiavi di cui al punto precedente ad AgID.
7.10 Raccomandazioni generali
Si fa presente che, al di là di quanto indicato al capitolo 2, le modalità di utilizzo dipendono dal tipo di servizio PEC acquistato. Si consiglia quindi di verificare, sia nel presente Manuale, che sul sito web KOLST, le caratteristiche del servizio.
Si suggerisce di verificare sempre gli avvisi forniti dal sistema a seguito dell’invio del messaggio PEC. Per un corretto utilizzo delle caselle di posta si suggerisce di consultare frequentemente la casella; infatti ogni messaggio ricevuto nella casella di posta elettronica certificata si intende pervenuto al Titolare della casella stessa (DPR 68/2005).
E' bene cancellare dal server di posta i messaggi con una frequenza sufficiente per evitare che venga occupato tutto lo spazio assegnato alla casella stessa e quindi i messaggi successivi vengano rifiutati.
Il servizio tiene traccia dei soli log degli eventi principali, ma non comprende il sistema di conservazione a norma dei documenti scambiati via posta elettronica, né delle relative ricevute.
E' opportuno dotare le stazioni di lavoro di un antivirus costantemente aggiornato per garantire maggiore sicurezza per quanto viene spedito e ricevuto. Infatti, se pure la casella è dotata di antivirus in grado di proteggere l’Utilizzatore dai principali pericoli di infezione, non è possibile controllare automaticamente tutti i contenuti potenzialmente dannosi; in particolare si fa presente che i messaggi o file crittografati non possono essere soggetti a controlli.
7.11 Note sull’organizzazione del personale
Il personale XXXXXXX addetto all’erogazione del servizio PEC è organizzato secondo quanto previsto dall’art. 21 del Decreto Ministeriale 2 Novembre 2005. Come prescritto dalla norma sono state assegnate le seguenti funzioni:
▪ Responsabile del Servizio PEC.
▪ Responsabile della Registrazione dei Titolari.
▪ Responsabile dei Servizi tecnici.
▪ Responsabile della Sicurezza.
▪ Responsabile della Sicurezza dei log dei messaggi e del sistema di riferimento temporale.
▪ Responsabile delle Verifiche e delle ispezioni (Auditing).
▪ Responsabile Rapporti regolamentari con Agid.
Nel rispetto di quanto prescritto dalla norma, alcune figure professionali possono ricoprire più di una funzione tra quelle sopra riportate e avvalersi, nello svolgimento dei compiti assegnati, di addetti e operatori o di terze parti appositamente contrattualizzate.
Il personale chiamato a ricoprire le funzioni di responsabilità è in possesso dei requisiti di capacità, conoscenza ed esperienza previsti dall’art. 22 del Decreto Ministeriale 2 Novembre 2005.
7.12 Formazione del personale
Il personale impegnato nell’erogazione del servizio PEC è addestrato a governare l’infrastruttura in modo da garantire una corretta gestione dei processi gestionali.
Tutto il personale impiegato nell’ambito del servizio PEC è sottoposto periodicamente a formazione e aggiornamento.
8 Descrizione della soluzione
La soluzione di IRIDEOS presenta le seguenti caratteristiche:
▪ piena conformità alla normativa vigente in materia di posta elettronica certificata, sia in termini di funzionalità che di interoperabilità e sicurezza;
▪ sicurezza dell'infrastruttura hardware, software e di rete;
▪ sicurezza nell'adozione di procedure e processi di erogazione del servizio;
▪ sicurezza nell'utilizzo di personale qualificato, formato e responsabile;
▪ sicurezza e cura nella gestione di eventuali dati particolari;
▪ scalabilità, modularità ed estensibilità di ogni componente del sistema;
▪ compatibilità con tutti i client di posta (Outlook, Outlook Express, Thunderbird, etc.) che soddisfino i requisiti minimi stabiliti dalle regole tecniche di cui alla normativa di settore;
▪ conformità allo standard internazionale RFC3161 per la marcatura temporale dei file di LOG e per l'interfacciamento con una Time Stamping Authority accreditata;
▪ integrazione con le tipologie di rete più diffuse sul mercato;
▪ utilizzo di dispositivi hardware di firma ad alta sicurezza (tamper-proofness/tamper-evident) per la gestione e il mantenimento sia delle chiavi sia dei certificati di firma;
▪ utilizzo di dispositivi hardware per la firma e la verifica dei messaggi.
L’architettura del Gestore IRIDEOS è altamente scalabile; pertanto, può essere estesa in qualsiasi momento per rispondere alle esigenze di crescita della domanda, in modo tale da mantenere i tempi di risposta ed i livelli di qualità erogati dal Gestore.
In tema di affidabilità dell’architettura, è importante notare che tutti i server, i dispositivi di rete, i dispositivi di firma sono installati in configurazione ridondata e bilanciata. In questo modo non esiste un “single point of failure” e l’eventuale malfunzionamento di un apparato non causa un fermo del servizio. Inoltre, viene utilizzato uno storage condiviso per la memorizzazione delle informazioni comuni, in modo da garantire disponibilità, affidabilità e continuità del servizio.
Il servizio di posta elettronica certificata è composto da unità funzionali, interconnesse tra loro, come in figura di sotto, ognuna dei quali svolge una funzione specifica.
8.1 Sicurezza dei dati
Le chiavi private ed i certificati che vengono utilizzati nelle operazioni di firma dei messaggi sono interamente gestiti e mantenuti all'interno di dispositivi ad alta sicurezza (hardware security module o HSM). Gli stessi apparati vengono inoltre utilizzati per la firma delle mail e per la loro verifica. Gli HSM utilizzati nella soluzione del Gestore IRIDEOS hanno una certificazione FIPS 140-2 level 3 e presentano caratteristiche di:
- tamper evidence: rilevazione di tentativi di manomissione o accesso non autorizzato;
- tamper proofness: cancellazione della memoria e delle chiavi in caso di accesso o manomissione.
8.2 Caratteristiche del sistema
La soluzione di posta elettronica certificata adottata da XXXXXXX si fonda sul prodotto OpenPEC, un progetto Open Source nato con lo scopo di realizzare un sistema di Posta Elettronica Certificata, conforme alle linee guida indicate dal Centro Nazionale per l'Informatica nella Pubblica Amministrazione (DigitPA).
OpenPEC si propone come estensione dei mail server Open Source più diffusi sul mercato (come ad esempio Postfix) ed ha le seguenti caratteristiche:
- piena compatibilità con la normativa vigente;
- prestazioni elevate;
- affidabilità, scalabilità e modularità;
- compatibilità con i principali fornitori di Hardware Security Module (HSM);
- capacità di gestire sistemi con un elevato numero di domini e/o mailbox;
- aggiornamento automatico e trasparente dei domini certificati locali del Gestore;
- marcatura temporale e storicizzazione dei log.
8.3 Misure di Sicurezza
Il sistema di posta elettronica certificata del Gestore IRIDEOS offre tutte le garanzie di sicurezza, compatibili con la tipologia del servizio erogato. Le misure di sicurezza sono descritte in maniera più approfondita e dettagliata nel Piano di Sicurezza, un documento riservato e consegnato ad XxXX.
8.4 Sicurezza dell’infrastruttura
Dal punto di vista prettamente informatico, la sicurezza del sistema viene realizzata dal Gestore IRIDEOS attraverso l'adozione di una serie di misure, quali:
▪ presenza di firewall con policy di accesso molto restrittive (vengono abilitate le porte strettamente necessarie);
▪ sistema di antivirus regolarmente aggiornato;
▪ prodotti software costantemente aggiornati, sia in seguito al rilascio di nuove versioni, che di patch (prima di mettere in produzione l'aggiornamento vengono effettuati i test su apposito ambiente di testing);
▪ utilizzo di protocolli sicuri per il colloquio tra l'utente ed il proprio gestore (SMTP/S, POP3/S, IMAP/S) e tra un gestore e l'altro (STARTTSL);
▪ firma dei messaggi con i dispositivi HSM certificati FIPS-2 Level 3;
▪ separazione fisica dei livelli di front end, back end e storage (in modo da aumentare il grado di protezione dei dati);
▪ utilizzo di storage di rete esterni al sistema per aumentare il livello di protezione delle informazioni;
▪ sistema ridondato in ogni sua parte, al fine di evitare “single point of failure”;
▪ sistema di backup, per ridurre il rischio di perdita dei dati.
8.5 Analisi e gestione dei rischi
Il sistema di posta elettronica certificata di IRIDEOS viene sottoposto a verifiche periodiche, finalizzate ad analizzarne le criticità, individuarne la vulnerabilità ed identificare i possibili rischi ai quali è sottoposto.
In questo modo il Gestore Posta Elettronica Certificata XXXXXXX è in grado di prevenire i malfunzionamenti e di prepararsi a gestire e risolvere i problemi non prevedibili a priori. Durante l'analisi, i possibili guasti vengono suddivisi in:
- guasti di piccola entità
- guasti di grave entità
I primi sono difetti causati da problemi dei sistemi hardware e software e generalmente possono essere risolti attraverso attività di manutenzione ordinaria o straordinaria come, ad esempio, la sostituzione degli apparati o l'upgrade dei componenti software.
I secondi sono avarie causate da eventi catastrofici, atti dolosi o errori umani, dovuti a incompetenza o negligenza e possono provocare danni gravi ed interruzione del servizio. Questi vengono gestiti secondo processi dedicati di business continuity.
8.6 Azioni di contrasto alla diffusione del contenuto malevolo
XXXXXXX lavora costantemente per migliorare la qualità e la sicurezza del servizio introducendo tecnologie aggiornate e personale qualificato. Per garantire la massima velocità ed efficacia di intervento quanto descritto nel seguito deve essere inteso come indicativo e non esaustivo.
Ricordiamo inoltre che tutte le azioni e gli sforzi messi in campo da IRIDEOS per contrastare il fenomeno in oggetto restano un supporto all’utente che deve sempre porre la massima attenzione per utilizzare in maniera sicura il servizio di PEC.
8.7 Tecnologie antimalware
IRIDEOS adotta più tecnologie antimalware in parallelo costantemente aggiornate.
Le soluzioni in uso non si limitano alla ricerca delle firme dei virus su repository differenti ma utilizzano sistemi innovativi come sandbox e algoritmi brevettati per l'individuazione degli 0-day.
L'analisi dei servizi antimalware non comprende solo gli allegati ma è estesa al corpo di messaggi con particolare attenzione alle URL.
Vengono inoltre monitorati i falsi positivi per adattare il comportamento dei sistemi alle specificità del traffico ed ai suoi cambiamenti nel tempo.
I messaggi rilevati come malevoli vengono gestiti secondo normativa e segnalati al mittente o al suo gestore.
8.8 Analisi degli allegati
Gli allegati sono la componente dei messaggi maggiormente controllato dai sistemi di sicurezza. Sono previsti controlli specifici sugli allegati in aggiunta all'azione degli antimalware, per inibirne l'invio o semplicemente per avvisare l'utente di casi sospetti a cui porre la massima attenzione.
In particolare:
- la Webmail applica alcune limitazioni sulle tipologie di file che è possibile allegare ad un nuovo messaggio PEC: l'Utilizzatore che tenterà di allegare uno o più file considerati potenzialmente pericolosi riceverà un avviso con l'indicazione del nome file che è stato bloccato.
Sono inoltre presenti controlli sugli allegati che vengono visualizzati o scaricati dalla Webmail e qualora il sistema rilevi condizioni potenzialmente pericolose verrà mostrato un apposito messaggio all'Utilizzatore;
▪ punto di accesso: sono presenti le stesse limitazioni che causano l'inibizione dell'invio di nuovi messaggi
▪ certificati da client di posta e l'emissione di ricevute di mancata accettazione contenenti un messaggio di avviso idoneo;
▪ punto di ricezione: nel caso di situazioni sospette come la presenza di macro o allegati criptati viene aggiunto un apposito header speciale alla busta di trasporto in ingresso sfruttabile dagli integratori per eventuali segnalazioni.
8.9 Controllo anti spam
Nel rispetto della normativa vigente, IRIDEOS fornisce il servizio antispam sul traffico di posta elettronica ordinaria in ingresso alla casella PEC. La ricezione di tale traffico è opzionale e deve essere abilitata attraverso la sezione “Impostazioni” della Webmail.
Tale servizio si limita a segnalare all’utenza attraverso opportuni avvisi e spostare in una folder dedicata i messaggi ritenuti indesiderati e/o pericolosi.
È importante ricordare che il servizio antispam non garantisce un intervento esatto ma rappresenta uno strumento di ausilio per l’utilizzatore che deve sempre valutare accuratamente la bontà dei messaggi ricevuti.
8.10 Monitoraggio dell’infrastruttura
Le componenti hardware e software che costituiscono l’infrastruttura PEC sono costantemente sottoposte a monitoraggio attraverso sistemi automatizzati.
I sistemi di monitoraggio automatizzati provvedono a segnalare ai responsabili del servizio PEC e al personale deputato alla sua erogazione, qualsiasi tipo di anomalia o malfunzionamento, tramite SMS e
/o e-mail, in tempi rapidissimi.
Oltre ai controlli interni, per i controlli di sicurezza e per il monitoraggio dei sistemi, IRIDEOS garantisce un servizio 24/7/365 il quale, in seguito alla rilevazione di malfunzionamenti e/o anomalie, effettua segnalazioni nelle modalità e nei tempi indicati dal manuale.
9 Infrastruttura Datacenter
Il servizio PEC è erogato tramite una infrastruttura tecnologica ospitata all’interno di Data Center ubicati in territorio italiano in linea con gli standard di settore, tra cui quelli relativi alla sicurezza fisica e logica.
9.11 Gestione dell’infrastruttura
Le procedure di gestione degli asset che compongono l’infrastruttura hardware del servizio PEC sono state elaborate al fine di garantire livelli di prestazione elevati, in termini di disponibilità delle risorse e di sicurezza.
Il livello di utilizzo delle risorse è costantemente monitorato. In base ai dati di monitoraggio il personale addetto alla gestione dell’infrastruttura esegue appropriate previsioni sui carichi di lavoro, quindi pianifica le espansioni necessarie.
Parametri di funzionalità e dati di monitoraggio sono sottoposti a periodiche analisi da parte del personale tecnico IRIDEOS, in modo da prevedere il verificarsi di eventuali malfunzionamenti e pianificare l’espansione dell’infrastruttura.
9.12 Manutenzione delle componenti dell’infrastruttura
Le operazioni di manutenzione ordinaria e straordinaria relative a tutte le componenti dell’infrastruttura PEC sono eseguite direttamente da personale tecnico interno, sotto la supervisione dei responsabili di
Gli interventi di manutenzione pianificata sono notificati ai Titolari e agli Utilizzatori delle caselle PEC con un preavviso di sette (7) giorni.
Eventuali interventi di manutenzione urgente per risolvere problemi che possono degradare le prestazioni del servizio saranno notificati nel più breve tempo possibile, mantenendo Titolari e Utilizzatori informati sul processo di risoluzione.
10 Certificazioni
XXXXXXX ha realizzato il servizio PEC secondo le linee guida definite dallo standard ISO 27002 riguardo gli aspetti di sicurezza informatica, con l’obiettivo di garantire la protezione del patrimonio aziendale composto principalmente dagli asset di servizio, attraverso procedure e tecniche volte a garantire la sicurezza dell’informazione e la continuità di servizio.
IRIDEOS ha adottato un articolato Sistema di Gestione Integrato, certificato secondo le seguenti Norme:
▪ ISO 9001:2015 - Sistema di Gestione per la Qualità
▪ ISO/IEC 27001:2013 - Sistema di Gestione della Sicurezza delle Informazioni con le relative estensioni alle ISO 27017,27018, 27035 e 27701
▪ ISO 14001:2015 - Sistema di Gestione Ambientale
▪ ISO/IEC 20000-1:2018 - Sistema di Gestione dei Servizi IT
▪ ISO 45001:2018 - Gestione della Salute e Sicurezza nei Luoghi di Lavoro.
I relativi certificati sono disponibili al seguente indirizzo web xxxxx://xxxxxxx.xx/xxxxxxxxxxxxxx/.
11 Riferimenti, Definizioni e Acronimi
11.1 Riferimenti normativi
D. Lgs. n. 196/2003 - Codice in materia di protezione dei dati personali e sue successive modifiche e integrazioni. |
CAD – D.Lgs 82/2005 - Codice dell'amministrazione digitale. |
DPR 68/2005 - Decreto del Presidente della Repubblica 11 Febbraio 2005 n. 68, Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'articolo 27 della legge 16 gennaio 2003, n. 3. |
DM 2/11/2005 - Decreto Ministeriale 2 Novembre 2005 Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata. |
Circolare CNIPA del 7 dicembre 2006 n. 51 - Espletamento della vigilanza e del controllo sulle attività esercitate dagli iscritti nell'elenco dei Gestori di posta elettronica certificata (PEC), di cui all'articolo 14 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, «Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'articolo 27 della legge 16 gennaio 2003, n. 3, CNIPA/CR/51-2006 (G.U. n. 296 del 21 dicembre 2006). |
Circolare CNIPA del 21 maggio 2009 n. 56 - Modalità per la presentazione della domanda di iscrizione nell’elenco pubblico dei Gestori di posta elettronica certificata (PEC) di cui all’articolo 14 del DPR 11 febbraio 2005 n. 68. |
DPCM 22/2/2013 - Decreto del Presidente del Consiglio dei Ministri del 2 Febbraio 2013 Regole |
tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali. |
Regolamento UE 2016/679 (GDPR) - del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo allaprotezione dei dati delle persone fisiche. |
Linee Guida AgiD - Regole Tecniche e Raccomandazioni afferenti la generazione di certificati elettronici qualificati, firme e sigilli elettronici qualificati e validazioni temporali elettroniche qualificate. |
11.2 Riferimenti tecnici
RFC 1847 | (Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted) |
RFC 1891 | (SMTP Service Extension for Delivery Status Notifications) |
RFC 1912 | (Common DNS Operational and Configuration Errors) |
RFC1939 | Post Office Protocol - Version 3 |
RFC3501 | INTERNET MESSAGE ACCESS PROTOCOL - VERSION 4rev1 |
XXX0000 | Xxxxxxxxxxxx Xxxxxxxx Xxxx Xxxxxxxxxx(XXXX) |
XXX0000 | Internet Mail Extensions (MIME) Part Five: Conformance Criteria and Examples |
RFC2222 | Simple Authentication and Security Layer (SASL) |
RFC 2252 | (Lightweight Directory Access Protocol (v3): Attribute Syntax Definitions) |
RFC 2315 | (PKCS #7: Cryptographic Message Syntax Version 1.5) |
RFC 2633 | (S/MIME Version 3 Message Specification) |
RFC 2660 | (The Secure HyperText Transfer Protocol) |
RFC 2821 | (Simple Mail Transfer Protocol) |
RFC 2822 | (Internet Message Format) |
RFC 2849 | (The LDAP Data Interchange Format (LDIF) - Technical Specification) |
RFC 3174 | (US Secure Hash Algorithm 1 - SHA1) |
RFC 3207 | (SMTP Service Extension for Secure SMTP over Transport Layer Security) |
RFC 3280 | (Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List - CRLProfile) |
RFC3628 | Policy Requirements for Time-Stamping Authorities (TSAs) |
ISO/IEC 9594 | Open Systems Interconnection – the Directory: Public-key and attribute certificate framework |
8:2001 |
11.3 Definizioni
Avviso di mancata consegna |
Questo avviso è emesso dal servizio PEC per segnalare al mittente del messaggio originale quando il Gestore di posta elettronica certificata non riesce a consegnare il messaggio nella casella di posta elettronica certificata del destinatario. |
Avviso di mancata consegna per superamento dei tempi massimi previsti |
Questo avviso è emesso dal Gestore mittente per segnalare che il Gestore destinatario potrebbe non essere in grado di consegnare il messaggio nella casella del destinatario |
Avviso di non accettazione |
L’avviso è sottoscritto con la firma del Gestore di posta elettronica certificata del mittente ed è emesso quando quest’ultimo è impossibilitato ad accettare il messaggio in ingresso recante la motivazione per cui non è possibile accettare il messaggio e la conferma che il messaggio non potrà |
essere consegnato al destinatario. |
Busta |
La busta è un messaggio di posta elettronica che contiene, oltre ai dati di certificazione e la definizione del tipo di busta, il messaggio originale che deve essere trasmesso in allegato. |
Busta di anomalia |
La busta sottoscritta con la firma del Gestore di posta elettronica certificata del destinatario, nella quale è inserito un messaggio errato ovvero non di posta elettronica certificata e consegnata ad un Titolare, per evidenziare al destinatario detta anomalia. |
Busta di trasporto |
La busta è creata dal punto di accesso e sottoscritta con la firma del Gestore di posta elettronica certificata |
del mittente. La busta contiene il messaggio originale inviato dall’utilizzatore di posta elettronica certificata ed i relativi dati di certificazione. |
Cancellazione delle caselle |
La cancellazione di una casella comporta l’interruzione definitiva dell’operatività della casella mail certificata e la contemporanea perdita del contenuto. |
Certificatore Accreditato |
Ente certificatore che ha richiesto e ottenuto l’accreditamento da parte del AgID come previsto dal CAD art. 29. |
Certificato Elettronico |
Sequenza di dati digitali che identifica univocamente un Titolare, ente, persona fisica o apparato e che ne garantisce l’identità. |
Certificato Elettronico Qualificato |
Certificato elettronico rilasciato da un ente certificatore conforme ai requisiti dettati dalla direttiva 1999/93/CE, Allegato I. |
Client di posta elettronica |
E’ un software che permette di operare sul contenuto di una o più Mailbox, comporre e inviare messaggi. |
Chiavi asimmetriche |
Coppia di chiavi crittografiche correlate tra loro, utilizzate nei processi di validazione o di cifratura di documenti informatici. La coppia di chiavi è sempre composta da una pubblica ed una privata. |
Chiave privata |
Singolo elemento di una coppia di chiavi asimmetriche usato dal rispettivo soggetto titolare per apporre firme sui documenti informatici o decifrare documenti cifrati mediante la corrispondente chiave pubblica. |
Chiave pubblica |
L'elemento pubblico di una coppia di chiavi asimmetriche. La chiave pubblica è usata per la verifica della firma digitale apposta sul documento informatico dal titolare delle chiavi oppure per cifrare i documenti informatici da trasmettere al titolare delle predette chiavi. |
Contenuto della casella |
Si intendono tutti i messaggi conservati sullo spazio assegnato, indipendentemente dalla casella (folder) in cui questo è stato spostato (Posta Inviata, Posta Ricevuta, altro). |
Contratto |
Si intende l’Ordine inviato dal Titolare, attraverso il sito, per l’acquisto del Servizio e ricevuto da parte di XXXXXXX. Fanno parte integrante del Contratto anche le Condizioni di utilizzo e il Manuale Operativo. |
Credenziali di autenticazione |
Si intendono la coppia di User-id e Password con cui l’utilizzatore di un generico servizio informatico dimostra la sua identità al servizio stesso. |
Dato personale |
Qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”).Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale e relativi a condanne penali e reati. Sono “dati particolari” i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, i dati biometrici, i dati relativi alla salute e i dati relativi alla vita sessuale o all’orientamento sessuale della persona. |
Dati di certificazione |
Sono i dati certificati dal Gestore del servizio di posta elettronica certificata che descrivono l’invio del messaggio. I dati di certificazione sono inseriti nelle ricevute e trasferiti al destinatario assieme al messaggio originale per mezzo di una busta di trasporto. I dati di certificazione sono: data e ora d’invio; destinatario; oggetto; identificativo del messaggio originale. |
Destinatario |
Utilizzatore che utilizza il servizio di posta elettronica certificata per ricevere messaggi di posta elettronica tradizionale e certificata. |
Dominio internet |
Nome alfabetico che identifica uno spazio di un server internet, a ogni nome dominio è associato un indirizzo IP. I domini di primo livello sono anche definito Top level domain, abbreviato in TLD. |
Dominio di posta elettronica certificata |
Dominio di posta internet che contiene tutte le caselle di posta elettronica certificata associate ad un Titolare. Il dominio deve essere inserito nell’elenco pubblicato da un Gestore accreditato e a esso sono associate tutte le funzioni previste per il sistema di posta elettronica certificata. |
Ente Certificatore |
Ente conforme ai requisiti dettati dalla direttiva 1999/93/CE, Allegato II, che fornisce servizi emissione di certificati elettronici qualificati. |
Firma digitale |
La firma digitale è il risultato del processo di validazione basato su chiavi asimmetriche, che consente al sottoscrittore, tramite chiave privata, e al destinatario, tramite chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici (art. 1 lettera n) del [DPR 445/2000]. |
Firma elettronica |
Insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di validazione informatica. |
Firma elettronica avanzata |
Firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione. La firma elettronica avanzata è creata con mezzi sui quali il firmatario può conservare un controllo esclusivo. La Firma elettronica avanzata è collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati in seguito modificati. |
Firma del Gestore di posta elettronica certificata |
La firma elettronica avanzata, basata su un sistema di chiavi asimmetriche, che consente di rendere manifesta la provenienza e di assicurare l’integrità e l’autenticità dei messaggi del sistema di posta elettronica certificata, generata attraverso una procedura informatica che garantisce la connessione univoca al Gestore e la sua univoca identificazione, creata automaticamente con mezzi che garantiscano il controllo esclusivo da parte del Gestore. |
Gestore del servizio di posta elettronica certificata |
Soggetto pubblico o privato che eroga il servizio di posta elettronica certificata, ne garantisce uno o più domini e i relativi punti di accesso, di ricezione e consegna. Il Gestore del servizio di posta elettronica certificata è il titolare della chiave usata per la firma delle ricevute e delle buste. Il Gestore di posta elettronica certificata si interfaccia con gli altri Gestori per l’interoperabilità con altri titolari. |
Gestionale di amministrazione PEC |
Pannello di controllo accessibile via web con autenticazione, che consente al titolare e/o all’utilizzatore del servizio PEC Dominio 5 e Dominio 10 di effettuare operazioni di creazione e chiusura di una casella PEC. |
Hash crittografici |
L’hash è una funzione che mappa una stringa di lunghezza arbitraria in una stringa di lunghezza predefinita. Gli hash crittografici consentono una rapida creazione di firme digitali senza dover procedere a calcoli complessi. |
Incaricato di registrazione |
L’incaricato di registrazione coincide sempre con il Titolare del servizio. Ha l’obbligo di provvedere |
anche alla gestione delle caselle di posta elettronica certificata e alla registrazione degli Utilizzatori per le caselle di posta elettronica certificate afferenti ai domini disponibili per il Titolare. |
Indirizzo IP |
Indirizzo numerico che identifica gli elaboratori connessi alla rete. |
Indice dei Gestori di posta elettronica certificata |
E’ il sistema realizzato per mezzo di un server LDAP, che contiene l’elenco dei domini, dei Gestori di posta elettronica certificata con i relativi certificati corrispondenti alle chiavi usate per la firma delle ricevute, degli avvisi delle buste. Il sistema è posizionato in un’area raggiungibile dai vari Gestori di posta elettronica certificata e costituisce la struttura tecnica dell’elenco pubblico dei Gestori di posta elettronica certificata. |
Log dei messaggi |
Registro informatico delle operazioni relative alle trasmissioni effettuate mediante posta elettronica certificata tenuto dal Gestore. |
Mailbox PEC o casella di posta elettronica certificata |
E’ la mailbox contenuta in un dominio di posta elettronica certificata, con funzioni di rilascio delle ricevute di avvenuta consegna al ricevimento di messaggi di posta elettronica certificata. |
Mantainer |
Il mantainer è il provider internet che si occupa di gestire le procedure di registrazione di un dominio presso una RA (Registration Authority). Il mantainer cura anche tutte le procedure necessarie a che il titolare del dominio utilizzi questo diritto annualmente. |
Marca temporale |
Evidenza informatica con cui si attribuisce, a uno o più documenti informatici, un riferimento temporale opponibile ai terzi secondo quanto previsto dal decreto del Presidente della Repubblica 28 dicembre 2000, n.445 e dal decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004, pubblicato nella Gazzetta Ufficiale del 27 aprile 2004, n. 98. |
Messaggio originale |
Il messaggio inviato da un utilizzatore di posta elettronica certificata prima del suo arrivo al punto di accesso e consegnato al titolare destinatario per mezzo di una busta di trasporto che lo contiene. |
Messaggio di posta elettronica certificata |
Documento informatico composto dal testo del messaggio, dai dati di certificazione e dagli eventuali documenti informatici allegati. |
Mittente |
Soggetto che utilizza il servizio di posta elettronica certificata per l’invio di messaggi e documenti prodotti mediante strumenti informatici. |
MX |
Server internet preposto alla ricezione della posta per un dato dominio. Tale apparecchiatura è definita nel DNS tramite record MX (mail exchanger). |
Personal Identification Number (PIN) |
Codice di sicurezza riservato che permette l’attivazione delle funzioni del dispositivo di firma. |
Piano della sicurezza |
Documento, Previsto dall’art. 16, punto e del DM 2/11/2005, che definisce le adeguate misure adottate per garantire l’integrità, la sicurezza e la continuità del servizio di posta elettronica certificata. Il Piano della sicurezza è riservato e depositato presso AgID. |
Password |
Stringa alfanumerica utilizzata per accedere in maniera esclusiva ad una risorsa informatica. |
Posta elettronica certificata (PEC) |
Sistema di posta elettronica conforme a quanto descritto nel DPR 68/2005. |
Posta elettronica tradizionale |
Servizio internet che consente la trasmissione e la ricezione di messaggi informatici tramite la rete internet. |
Punto di accesso |
E’ il sistema che fornisce i servizi di accesso per l’invio e la lettura di messaggi di posta elettronica certificata, i servizi di identificazione ed accesso dell’utilizzatore, di verifica della presenza di virus informatici all’interno del messaggio, di emissione della ricevuta di accettazione e di imbustamento del messaggio originale nella busta di trasporto. |
Punto di consegna |
E’ il sistema informatico che compie la consegna del messaggio nella casella di posta elettronica certificata del destinatario, verifica la provenienza e la correttezza del messaggio e, a seconda dei casi, emette la ricevuta di avvenuta consegna o l’avviso di mancata consegna. |
Punto di ricezione |
E’ il sistema informatico che riceve il messaggio all’interno di un dominio di posta elettronica certificata, esegue i controlli sulla provenienza e sulla correttezza del messaggio, emette la ricevuta di presa in carico, imbusta i messaggi errati in una busta di anomalia, verifica la presenza di virus informatici all’interno dei messaggi di posta ordinaria e delle buste di trasporto. |
Quota |
Con il termine quota di una Mailbox s’indica la quantità di spazio massima assegnata e utilizzabile a una Mailbox. |
Responsabile del trattamento dei dati |
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. |
Ricevuta di accettazione |
E’ la ricevuta sottoscritta dal Gestore di posta elettronica certificata tramite firma, contiene i dati di certificazione ed è consegnata al mittente dal punto di accesso, quando quest’ultimo invia un messaggio di posta elettronica certificata. |
Ricevuta di avvenuta consegna |
E’ la ricevuta che è emessa dal punto di consegna al mittente quando il messaggio inviato è inserito nella casella di posta elettronica certificata del destinatario. La ricevuta è sottoscritta tramite firma dal Gestore del servizio posta elettronica certificata del destinatario. |
Ricevuta breve di avvenuta consegna |
E’ la ricevuta che contiene i dati di certificazione e un estratto del messaggio originale. |
Ricevuta completa di avvenuta consegna |
E’ la ricevuta che contiene i dati di certificazione e l’allegato con il messaggio originale. |
Ricevuta di presa in carico |
La ricevuta di presa in carico è sottoscritta con firma dal Gestore di posta elettronica certificata del destinatario, emessa dal punto di ricezione verso il Gestore mittente al fine di attestare l’avvenuta presa in carico del messaggio da parte del sistema di posta elettronica certificata di destinazione. La ricevuta riporta i dati di certificazione in modo da consentire l’associazione con il messaggio cui si riferisce. |
Ricevuta sintetica di avvenuta consegna |
E’ La ricevuta che contiene solo i dati di certificazione. |
Servizio |
Il Servizio di Posta Elettronica Certificata fornito da XXXXXXX al Titolare della casella PEC. |
Sospensione del Servizio |
La sospensione del Servizio PEC interrompe temporaneamente l’operatività della casella mail certificata, impedendo sia la ricezione, che la trasmissione di messaggi. |
Sottodominio |
Con il termine sottodominio s’intende un dominio di terzo livello appartenente ad un TLD e definita dalla componente più a sinistra di un URL, es. xxx.xxxxxxx.xx. |
Titolare |
E’ il soggetto che acquista e gestisce una più caselle di posta elettronica certificata. |
Titolare del trattamento dei dati |
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri. |
Trattamento |
Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. |
User-id |
Sequenza alfanumerica che identifica univocamente un utilizzatore di una risorsa informatica. |
Utilizzatore di posta elettronica certificata (Utilizzatore) |
Soggetto che utilizza una casella PEC. Può coincidere con il Titolare del Servizio. |
Webmail |
Sito internet che consente, previa autenticazione, l’accesso ad una casella di posta elettronica, di fatto un client di posta disponibile via web, all’interno di questo documento ci si riferisce al Webmail xxxxx://xxxxxxx.xxx.xxxxxxx.xx. |
Virus informatico |
Un programma informatico avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero |
l’interruzione, totale o parziale, o l’alterazione del suo funzionamento. |
11.4 Acronimi
AgID Agenzia per l'Italia Digitale, istituita con decreto-legge n. 83, convertito nella legge n. 134/2012. |
API Application Program Interface |
Insieme di programmi, librerie o protocolli che consentono l'uso di una o più funzionalità ad un software esterno. |
CA Certification Authority |
Ente di terza parte, abilitato a rilasciare un certificato digitale che applica standard internazionali e conformi alle normative europee e nazionali in materia. |
CAD D.lgs. n. 82 del 7 marzo 2005 Codice dell'amministrazione |
CMS Cryptographic Message Syntax |
È lo standard IETF per i messaggi protetti con cifratura, può essere usato per firmare, generare, condensare, autenticare o cifrare qualunque tipo di dato digitale. |
CNS Carta Nazionale dei Servizi |
È una smart card per accedere ai servizi online della Pubblica Amministrazione su tutto il territorio nazionale. |
CRL Certificate Revocation List |
Liste di certificati revocati e non sono più validi a causa di molteplici ragioni. Tra cui: Compromissione della chiave primaria, dimissioni, cambio dei dati personali. |
CRL DP Certificate Revocation List distribution Point |
Punto di distribuzione di una CRL. |
DN Distinguished Name |
Nome o codice che identifica un’entità all'interno di un albero LDAP. |
DNS Domain Name System |
Sistema di traduzione dei nomi internet in indirizzi IP es. xxx.xxxxxxx.xx in 212.97.32.35. |
DM Decreto Ministeriale |
Decreto emesso dal Consiglio dei Ministri, nello specifico si fa riferimento al DM 2/11/2005. |
DPCM Decreto del Presidente del Consiglio dei Ministri |
Decreto emesso dal Presidente del Consiglio dei Ministri, nello specifico si fa riferimento al DPCM 13/1/2004. |
DPR Decreto del Presidente della Repubblica |
Decreto emesso dal Presidente della Repubblica, nello specifico si fa riferimento al DPR 68/2005. |
DUNS Data Universal Numbering System |
identificativo univoco di 9 cifre rilasciato dalla Dun & Xxxxxxxxxx. |
FQDN Fully Qualified Domain Name |
GU Gazzetta Ufficiale |
Pubblicata dall'Istituto Poligrafico e Zecca dello Stato, riporta le nuove leggi e gli avvisi di pubblico interesse. |
GSM Global System for Mobile Communications |
Standard di telefonia mobile più comunemente usato dai Gestori di telefonia mobile. |
HA High Availability |
Sistema o insieme di sistemi applicati a un servizio, che conferiscono la caratteristica di alta disponibilità (affidabilità), anche in caso di rottura di una o più parti del sistema. Generalmente ottenuta tramite ridondanza delle parti. |
HTTP HyperText Transfer Protocol Protocollo di trasmissione delle pagine web. |
HTTPS HyperText Transfer Protocol SSL Protocollo HTTP con comunicazione cifrata. |
HSM Hardware Security Module |
Dispositivo hardware in grado di gestire con un’elevata sicurezza e velocità il salvataggio, l'uso e la creazione di chiavi digitali da usare per la cifratura o la firma di documenti elettronici. |
IETF Internet Engineering Task Force |
Comunità internazionale composta da progettisti di rete, ricercatori, operatori e aziende volta ad autoregolamentare e promuovere l'evoluzione della rete internet. |
INRIM Istituto Nazionale di Ricerca Metrologica |
Nato dalla fusione dell'Istituto Elettrotecnico Nazionale 'Xxxxxxx Xxxxxxxx' e l'Istituto di Meteorologia 'Xxxxxxx Xxxxxxxxxx' del CNR, è l'istituto nazionale per la ricerca nelle seguenti aree tematiche di riferimento: Metrologia, Materiali e dispositivi innovativi, Visione artificiale. Metodologie per la qualità, Formazione, molto noto tra gli ISP in Europa in quanto dispone di un orologio atomico che fornisce via NTP un riferimento temporale estremamente preciso. |
IP Internet Protocol |
Insieme di protocolli che rendono possibile le comunicazioni sulla rete Internet, i più comunemente usati sono TCP e UDP. |
ISP Internet Service Provider |
Azienda fornitrice di servizi o connettività Internet. |
ISO International Organization for Standardization |
Organizzazione internazionale per la standardizzazione, si occupa di definire standard riconosciuti nella quasi totalità dei campi. |
IMAP Internet Message Access Protocol |
Protocollo che consente l'accesso e la gestione di messaggi nella propria casella di posta elettronica. |
IMAPS Internet Message Access Protocol over SSL |
Protocollo IMAP con comunicazione cifrata. |
ITSEC Information Technology Security Evaluation Criteria |
Insieme strutturato di criteri volti a valutare il grado di sicurezza di un sistema. |
ITU International Telecommunication Union |
Organizzazione internazionale per il coordinamento e lo sviluppo delle telecomunicazioni tra gli aspetti più eclatanti, il coordinamento delle frequenze radio e la promozione di cooperazioni internazionali per le orbite dei satelliti. |
LDAP Lightweight Directory Access Protocol |
Sistema di accesso ad informazioni di tipo elenchi in linea, usato nello specifico della Posta Elettronica Certificata per l'accesso all'elenco e alle informazioni dei Gestori. |
LDIF LDAP Data Interchange Protocol |
File per lo scambio di dati tra server LDAP |
MIME Multipurpose Internet Mail Extension |
Sistema per la codifica di più elementi, testo e allegati, in un unico messaggio. |
S/MIME Secure Multipurpose Internet Mail Extension |
Sistema MIME con cifratura dei contenuti |
MTA Mail Transfert Agent |
Entità, generalmente un server, preposta allo smistamento e al trasferimento della posta elettronica. |
MX Mail eXchanger |
Record DNS che specifica quale MTA è preposto alla ricezione della posta per un dominio. |
NAS Network Attached Storage |
Sistema di contenimento di file e dati collegato tramite rete, generalmente NFS o CIFS (Disco di rete Microsoft). |
NTP Network time Protocol Protocollo per la sincronia temporale. |
PEC |
Posta Elettronica Certificata. |
PIN Personal Identification Number |
Codice numerico Personale usato come riconoscimento. |
PKI Public Key Infrastructure |
Insieme di dispositivi, applicazioni, persone, politiche e procedure necessarie alla creazione, gestione, distribuzione e revoca di certificati digitali. |
PKCS Public Key Cryptography Standard |
Insieme di specifiche originariamente prodotte dalla RSA inc. al fine di incrementare l'uso della tecnica di cifratura a chiave Asimmetrica, attualmente utilizzate come standard per la cifratura da molti software e protocolli di comunicazione. |
POP Point Of Presence |
Punto, o meglio sala dati, in cui un Internet Service Provider (ISP), è presente e può fornire o |
acquisire connettività internet. |
POP3 Post Office Protocol version 3 |
Protocollo che consente l'accesso ai messaggi contenuti nella casella di posta elettronica. |
POP3S Post Office Protocol version 3 over SSL |
Protocollo POP3 con comunicazione cifrata. |
RFC Request For Comments |
Documento, identificato da codice e acquisito dal segretariato IETF che riporta informazioni o specifiche riguardanti nuove ricerche, innovazioni e metodologie dell'ambito informatico, molti degli RFC costituiscono standard acquisito per i protocolli più comunemente usati sulla rete internet. |
SLA Service Level Agreement |
Insieme di accordi che definiscono il livello di servizio che acquirente e fornitore sottoscrivono per un servizio. |
SMS Short Message System |
Servizio di messaggi (entro i 160 caratteri) fruibile tramite rete GSM |
SMTP Simple Mail Transfer Protocol |
Protocollo per la spedizione di posta elettronica tra client/server o server/server. |
SMTPS Simple Mail Transfer Protocol over SSL/TLS |
Protocollo SMTP con comunicazione cifrata. |
SPEC Servizio PEC |
Servizio posta elettronica certificata fornito da IRIDEOS. |
SSL Secure Sockets Layer |
Protocollo crittografico che permette una comunicazione sicura su reti TCP/IP. |
TLS Transport Layer Security |
Protocollo crittografico derivante da evoluzione del protocollo SSL |
TSA Time Stamping Authority |
Autorità Super Partes che fornisce il servizio di marcatura temporale. |
TCP Transport Control Protocol |
Protocollo di trasmissione dati di tipo connesso, (conferma immediata della trasmissione di ogni pacchetto.) |
TTP Trusted Third Party |
Ente Super Partes accreditato e affidabile in quanto terza e accreditata da organismi internazionali. |
TU Testo Unico Legge quadro emanata per riordinare leggi già in vigore e facilitarne la |
conoscenza e l'applicazione, nello specifico il decreto identificato come DLGS 07/03/2005 N° 82 o [CAD] |
UCE Unsolicited Commercial Email Mail pubblicitaria non desiderata (SPAM) |
UDP Unit Datagram Protocol |
Protocollo di trasmissione dati di tipo non connesso (nessuna conferma immediata della trasmissione del pacchetto). |
URL Uniform Resource Locator |
Sequenza di caratteri nel formato sotto riportato che identifica univocamente una risorsa in Internet protocollo://<username:password@>nomehost</nomefile><?querystring> |
UPS Uninterruptible Power Supplies |
Un Gruppo di continuità è un dispositivo in grado di fornire alimentazione indipendente dalla rete elettrica. |
UTC Universal Time Coordinated |
Fuso orario fondamentale o 0 di fatto il fuso di Greenwich senza ora legale. |
WWW World Wide Web |
Insieme dei contenuti e dei servizi disponibili nella rete internet. |
XML eXtensible Markup Language |
Dati in formato definito da tag <xml> ... </xml> i quali sono definiti secondo schemi determinati o arbitrari. |