Manuale Operativo

Servizio qualificato di validazione temporale

CODICE DOCUMENTO	ICERT-INDI-TSA
VERSIONE	2.4
DATA	14/06/2019

SOMMARIO

INTRODUZIONE

INDICE DELLE FIGURE

Figura 1 - ubicazione Data Center InfoCert e sito della Disaster Recovery 21

INTRODUZIONE ‌

1.1 Quadro generale ‌

Il presente manuale ha lo scopo di descrivere le regole e le procedure operative adottate dalla struttura di certificazione digitale di InfoCert per l’erogazione del servizio fiduciario qualificato di validazione temporale secondo la norma eIDAS.

InfoCert eroga il servizio di validazione temporale di documenti informatici, siano essi firmati digitalmente ovvero non firmati.

In generale, il servizio di marcatura temporale consente di stabilire l’esistenza di un documento informatico prima di un certo istante temporale, associando all’evidenza informatica ricavata dal documento, una data e ora proveniente da una fonte temporale certificata. Un’evidenza informatica è sottoposta a validazione temporale nel momento in cui si ha la generazione di una marca temporale ad essa associata: la marca temporale è una struttura di dati firmata digitalmente che lega in modo sicuro e verificabile un qualsiasi documento informatico ad un riferimento di tempo (data e ora).

La marca temporale viene firmata ed emessa da un prestatore di servizi fiduciari che fornisce sistemi di marcatura temporale (Time Stamping Authority (TSA)) che certifica le chiavi di un sistema fidato (Time Stamp Unit (TSU)) al quale gli utenti indirizzano le loro richieste secondo necessità; chiunque abbia richiesto e conservato una marca temporale per un certo documento potrà, in seguito, dimostrare che tale documento effettivamente esisteva alla data/ora riportate nella marca firmata da quella catena di certificazione TSU/TSA.

In particolare, la validazione temporale di un documento firmato digitalmente consente di verificare e considerare valida la firma digitale apposta anche quando il certificato del sottoscrittore risulti scaduto o revocato, purché l’assegnazione della marca temporale al documento sia stata effettuata durante il periodo di validità del certificato medesimo.

Il servizio fornito da InfoCert è conforme alla policy BTSP come definita in ETSI319421 [2] identificata dall'OID.


itu-t(0) identified-organization(4) etsi(0) time-stamp- policy(2023) policy-identifiers(1) best-practices-ts-policy (1)	0.4.0.2023.1.1

1.2 Nome ed identificativo del documento ‌

Questo documento è denominato “Servizio di validazione temporale qualificato – Manuale Operativo” ed è caratterizzato dal codice documento: ICERT-INDI-TSA. La versione e il livello di rilascio sono identificabili in calce ad ogni pagina.

Al documento è associato l’object identifier (OID) 1.3.76.36.1.1.40. Tale OID identifica:


InfoCert	1.3.76.36
Certification-service-provider	1.3.76.36.1

Certificate-policy

1.3.76.36.1.1

Manuale-operativo-servizio qualificato di validazione

temporale

1.3.76.36.1.1.40

Inoltre, tutti i certificati rispettano le raccomandazioni della della Determinazione AgID n. 121/2019, in vigore dal 5 luglio 2019 e contengono un ulteriore elemento PolicyIdentifier con valore agIDcert (OID 1.3.76.16.6) nel campo CertificatePolicies (OID 2.5.29.32)

1.3 Partecipanti e responsabilità ‌

1.3.1 Time Stamping Authority ‌

La Time Stamping Authority è il soggetto terzo e fidato che eroga il servizio di validazione temporale.

InfoCert è il prestatore di servizi fiduciari (TSA) che eroga il servizio qualificato di validazione temporale (TSU) operando in conformità al Regolamento eIDAS [1] e agli standard ETSI (European Teleccomunication Standard Institute).

I dati completi dell’organizzazione che svolge la funzione di CA sono i seguenti:

Denominazione sociale	InfoCert – Società per azioni Società soggetta a direzione e coordinamento di Tinexta S.p.A.
Sede legale	Xxxxxx Xxxxxxxxx x.0, 00000, Xxxx (XX)
Sede operativa	Xxx Xxxxx x Xxxxxxxxxxx x.00, 00000, Xxxx (XX)
Rappresentante legale	Xxxxxx Xxxxxxxx In qualità di Amministratore Delegato
N. di telefono	00 000000
N. Iscrizione Registro Imprese	Codice Fiscale 07945211006
N. partita IVA	07945211006
Sito web	xxxxx://xxx.xxxxxxxx.xx

1.3.2 Richiedente ‌

Il Richiedente è la persona fisica o giuridica a cui viene erogata la marcatura temporale e che è stipula il contratto con InfoCert.‌

1.3.3 Utente

È il soggetto che riceve un documento informatico cui è apposta marca temporale e che fa affidamento sulla validità della marca medesima per valutare la correttezza e la validità del documento stesso, nei contesti dove esso è utilizzato.

1.3.4 Autorità ‌

1.3.4.1 Agenzia per l’Italia Digitale - AgID

L’Agenzia per l’Italia Digitale (AgID) è l’organismo di vigilanza sui prestatori di servizi fiduciari, ai sensi dell’articolo 17 del Regolamento eIDAS. In tale veste, XxXX effettua la vigilanza sui prestatori di servizi fiduciari qualificati stabiliti nel territorio italiano al fine di garantirne la rispondenza ai requisiti stabiliti dal Regolamento.

1.3.4.2 Organismo di valutazione della conformità - Conformity Assessment Body

L’organismo di valutazione della conformità (CAB, acronimo di Conformity Assessment Body) è un organismo accreditato secondo quanto previsto dal Regolamento eIDAS, che è competente a effettuare la valutazione della conformità del prestatore di servizi fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati alle normative e agli standard applicabili.

1.4 Uso del servizio di marca temporale ‌

1.4.1 Usi consentiti ‌

Le marche temporali emesse da InfoCert, secondo le modalità indicate dal presente manuale operativo, sono qualificate ai sensi del Regolamento eIDAS.

Il certificato emesso dalla TSA sarà usato per verificare la marca.

InfoCert mette a disposizione per la verifica delle marche il prodotto Dike scaricabile dal sito InfoCert. Possono essere disponibili sul mercato altri prodotti di verifica con funzionalità e limitazioni secondo le indicazioni del fornitore.

1.4.2 Usi non consentiti ‌

È vietato l’utilizzo fuori dai limiti e dai contesti specificati nel Manuale Operativo e nei contratti.‌

1.5 Amministrazione del Manuale Operativo

1.5.1 Contatti ‌

InfoCert è responsabile della definizione, pubblicazione ed aggiornamento di questo documento. Domande, reclami, osservazioni e richieste di chiarimento in ordine al presente Manuale Operativo dovranno essere rivolte all’indirizzo e alla persona di seguito indicate:

InfoCert S.p.A.

Responsabile del Servizio di Certificazione Digitale

Xxxxxx Xxxxx xx Xxxxx x.0 00000 Xxxxxx

Telefono: 00 000000

Fax: 000 0000000

Call Center Firma Digitale: 06 54641489 Web: xxxxx://xxx.xxxxx.xxxxxxxx.xx

e-mail: xxxxx.xxxxxxxx@xxxxxxxxx.xx

1.5.2 Soggetti responsabili dell’approvazione del Manuale Operativo ‌

Questo Manuale Operativo viene verificato dal Responsabile della Sicurezza e delle policies, dal Responsabile della Privacy, dal Responsabile del Servizio di Certificazione, dall’Ufficio Legale e dall’Area di Consulenza e approvato dal management aziendale.

1.5.3 Procedure di approvazione ‌

La redazione e approvazione del manuale segue le procedure previste dal Sistema di Gestione per la Qualità dell’Azienda ISO 9001:2015.

Con frequenza non superiore all’anno, il Prestatore di Servizi Fiduciari esegue un controllo di conformità di questo Manuale Operativo al proprio processo di erogazione del servizio di certificazione.

1.6 Definizioni e acronimi ‌

1.6.1 Definizioni ‌

Vengono di seguito elencate le definizioni utilizzate nella stesura del presente documento. Per i termini definiti dal Regolamento eIDAS [1] e dal CAD [ii.] si rimanda alle definizioni in essi stabilite. Dove appropriato viene indicato tra parentesi quadre il termine inglese corrispondente, generalmente usato nella pubblicistica, negli standard e nei documenti tecnici.

Termine	Definizione
CAB – Conformity Assessment Body (Organismo di valutazione della conformità)	Organismo accreditato a norma del Regolamento eIDAS come competente a effettuare la valutazione della conformità del prestatore di servizi fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati. Redige il CAR.
Certificato di firma elettronica	Un attestato elettronico che collega i dati di convalida di una firma elettronica ad una TSU.
Chiave privata	L’elemento della coppia di chiavi asimmetriche, utilizzato dalla TSU per firmare una marca temporale (cfr CAD [2] )
Chiave pubblica	L’elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la marca temporale.
Convalida	Il processo di verifica e conferma della validità di una marca temporale.
Dati di convalida	Dati utilizzati per convalidare marca temporale.
Digest (impronta)	Impronta del messaggio dopo l’applicazione di un algoritmo di hash.
Documento elettronico	Qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva (cfr eIDAS [1]).
Firma elettronica	Dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dalla TSU per emettere una marca temporale.
Lista dei certificati revocati o sospesi [Certificate Revocation List - CRL]	È una lista di certificati che sono stati resi “non validi” prima della loro naturale scadenza. L’operazione è chiamata revoca se definitiva, sospensione se temporanea. Quando un certificato viene revocato o sospeso il suo numero di serie viene aggiunto alla CRL, che viene quindi pubblicata nel registro pubblico.

Termine	Definizione
Manuale operativo [certificate practice statement]	Il Manuale Operativo definisce le procedure che il TSP applica nello svolgimento del servizio. Nella stesura del Manuale sono state seguite le indicazioni espresse dall'Autorità di vigilanza e quelle della letteratura internazionale.
Marca temporale (time-stamp)	Dati in forma elettronica che connettono altri dati elettronici con un’evidenza temporale dimostrando che questi dati esistevano in quel momento.
Online Certificate Status Protocol (OCSP)	Protocollo definito dallo IETF nella RFC 6960, consente alle applicazioni di verificare la validità del certificato in maniera più veloce e puntuale rispetto alla CRL, di cui condivide i dati.
PKCS#10	Acronimo di Public Key Cryptography Standards, è un insieme di standard per la crittografia a chiave pubblica sviluppati dai Laboratori RSA: definiscono la sintassi del certificato digitale e dei messaggi crittografati, in particolare il PKCS#10 definisce la struttura della richiesta per la certificazione della chiave pubblica di una coppia di chiavi asimmetriche.
Prestatore di servizi fiduciari	Una persona fisica o giuridica che presta uno o più servizi fiduciari, o come prestatore di servizi fiduciari qualificato o come prestatore di servizi fiduciari non qualificato (cfr eIDAS [1]).
Prestatore di servizi fiduciari qualificato	Un prestatore di servizi fiduciari che presta uno o più servizi fiduciari qualificati e cui l’organismo di vigilanza assegna la qualifica di prestatore di servizi fiduciari qualificato (cfr eIDAS [1] )
Revoca o sospensione di un certificato	È l’operazione con cui la CA annulla la validità del certificato prima della naturale scadenza.
Servizio fiduciario	Un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi: a) creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure b) creazione, verifica e convalida di certificati di autenticazione di siti web; o c) conservazione di firme, sigilli o certificati elettronici relativi a tali servizi (cfr eIDAS [1]).
Servizio fiduciario qualificato	Un servizio fiduciario che soddisfa i requisiti pertinenti stabiliti nel Regolamento (cfr eIDAS [1]).
SHA-256	La sigla SHA sta per Secure Hash Algorithm, è una funzione crittografica utilizzate per calcolare l’hash o digest o impronta. 256 è il numero di bit del messaggio risultante.
Tempo Universale Coordinato [Coordinated Universal Time]	Scala dei tempi con precisione del secondo come definito in ITU-R Recommendation TF.460-5.
Validazione temporale elettronica	Dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento (cfr eIDAS [1]).
Validazione temporale elettronica qualificata	Una validazione temporale elettronica che soddisfa i requisiti di cui all’articolo 42 del Regolamento eIDAS (cfr eIDAS [1])
X.509	Standard per la definizione della struttura del formato dei certificati digitali di chiave pubblica. Definisce, inoltre, le caratteristiche di un’Infrastruttura a Chiave Pubblica (PKI).

1.6.2 Acronimi e abbreviazioni ‌

Acronimo
AgID	Agenzia per l'Italia Digitale: autorità di Vigilanza sui Prestatori di Servizi Fiduciari
BTSP	Best practices Time-Stamp Policy - cfr ETSI319421
CA	Certification Authority
CAB	Conformity conformità	Assessment	Body	–		Organismo	di	valutazione	della
CAD	Codice dell’Amministrazione Digitale
CAR	Conformity conformità	Assessment	Report		–	Relazione	di	valutazione	della
CC	Common Criteria
CRL	Certificate Revocation List
DMZ	Demilitarized Zone
eIDAS	Electronic Identification and Signature Regulation
ETSI	European Telecommunications Standards Institute
HSM	Hardware Secure Module: è un dispositivo sicuro per la creazione della firma, con funzionalità analoghe a quelle delle smartcard, ma con superiori caratteristiche di memoria e di performance
ISO	International Organization for Standardization: fondata nel 1946, l’ISO è un’organizzazione internazionale costituita da organismi nazionali per la standardizzazione
LDAP	Lightweight Directory Access Protocol: protocollo utilizzato per accedere al registro dei certificati
OID	Object Identifier: è costituito da una sequenza di numeri, registrata secondo la procedura indicata nello standard ISO/IEC 6523, che identifica un determinato oggetto all’interno di una gerarchia
PEC	Posta Elettronica Certificata
PKCS	Public-Key Cryptography Standards
PKI	Public Key Infrastructure (infrastruttura a chiave pubblica): insieme di risorse, processi e mezzi tecnologici che consentono a terze parti fidate di verificare e/o farsi garanti dell'identità di un soggetto, nonché di associare una chiave pubblica a un soggetto
RFC	Request for Comment: documento che riporta informazioni o specifiche riguardanti nuove ricerche, innovazioni e metodologie dell'ambito informatico, posto in valutazione della comunità da parte degli estensori
SGSI	Sistema di Gestione per la Sicurezza delle Informazioni
SSCD – QSSCD	Secure Signature Creation Device: dispositivo per la creazione di una firma elettronica. Qualified Secure Signature Creation Device: dispositivo qualificato per la creazione di una firma elettronica.
TSA	Time-Stamping Authority: prestatore di servizi fiduciari che utilizza uno o più sistemi di emissione di marca temporale – cfr ETSI319421

Acronimo
TST	Time-Stamp Token: termine usato nella pubblicistica internazionale per la marca temporale
TSU	Time-Stamping Unit: insieme di hardware e software gestito come un unico sistema di marcatura temporale composto di una sola chiave attiva – cfr ETSI319421
TSP	Trust Service Provider vd. Prestatore di servizi fiduciari.
UTC	Coordinated Universal Time (Tempo coordinato universale) come definito in ITU-R TF.460-6 (2000) – cfr ETSI319421
X509	Standard ITU-T per le PKI

PUBBLICAZIONE E CONSERVAZIONE ‌

2.1 Conservazione della marca temporale ‌

Tutte le marche temporali emesse da un sistema di validazione sono conservate in un apposito archivio digitale non modificabile per venti anni.

2.2 Pubblicazione delle informazioni sulla certificazione ‌

2.2.1 Pubblicazione del manuale operativo ‌

Il presente Manuale Operativo, la lista dei certificati delle chiavi di certificazione e le altre informazioni relative alla TSA previste dalla legge sono pubblicate presso l’elenco dei certificatori (al link xxxxx://xxxxx.xxxx.xxx.xx/XX/XXX-XX.xxx) e presso il sito web della Certification Authority (cfr. § 1.5.1).

2.2.2 Pubblicazione della chiave pubblica per la verifica della marcatura temporale ‌

È garantita l'integrità e l'autenticità della chiave pubblica del server TSU in quanto distribuita tramite l’emissione di un certificato di chiave pubblica:

• Viene generata la richiesta di certificato da parte del personale autorizzato e inoltrata alla CA InfoCert dedicata alla certificazione di chiavi di marcatura temporale.

• La CA genera il certificato.

Il formato del certificato di marcatura temporale, contenente la chiave pubblica della TSU, è conforme a quanto specificato in ETSI319422 [iii]; in questo modo ne è garantita la piena leggibilità e verificabilità nel contesto della normativa eIDAS e italiana.

La chiave pubblica utilizzata dalla TSU è distribuita tramite il certificato.

2.2.3 Pubblicazione delle liste di revoca e sospensione ‌

Le liste di revoca e di sospensione sono pubblicate nel registro pubblico dei certificati accessibile con protocollo LDAP all’indirizzo: ldap://xxxx.xxxxxxxx.xx o con protocollo http all’indirizzo xxxx://xxx.xxxxxxxx.xx. Tale accesso può essere effettuato tramite i software messi a disposizione da InfoCert e/o le funzionalità presenti nei prodotti disponibili sul mercato che interpretano il protocollo LDAP e/o HTTP.

2.3 Periodo o frequenza di pubblicazione ‌

2.3.1 Frequenza di pubblicazione del manuale operativo ‌

Il manuale operativo viene pubblicato con frequenza variabile se sono subentrati dei cambiamenti. Se i cambiamenti sono importanti la CA deve sottoporsi ad audit di un CAB accreditato, presentare

il rapporto di certificazione (CAR – Conformity Assessment Report) e il manuale operativo all’Autorità di vigilanza (AgID) ed attendere il permesso per la pubblicazione.

2.4 Controllo degli accessi agli archivi pubblici ‌

Le informazioni relative ai certificati pubblicati e i manuali operativi sono pubbliche, la CA non ha messo restrizione all’accesso in lettura e ha attuato tutte le contromisure per scongiurare modifiche/cancellazioni non autorizzate.

IDENTIFICAZIONE E AUTENTICAZIONE ‌

3.1 Denominazione ‌

3.1.1 Tipi di nomi ‌

La chiave utilizzata dalla TSU nel certificato è identificata con l’attributo Distinguished Name (DN) che, quindi, deve essere valorizzato e conforme allo standard X500. I certificati vengono emessi secondo gli standard ETSI per l’emissione dei certificati qualificati per validazione temporale.

3.1.2 Necessità che il nome abbia un significato ‌

L’attributo del certificato Distinguished Name (DN) contiene un nome che identifica la TSU utilizzata, il mese e l’anno di emissione.‌

3.1.3 Anonimato e pseudonimia dei richiedenti

n/a

3.1.4 Regole di interpretazione dei tipi di nomi ‌

InfoCert si attiene allo standard X500.‌

3.1.5 Univocità dei nomi

L’attributo del certificato Distinguished Name (DN) contiene un nome che identifica la TSU utilizzata, il mese e l’anno di emissione: ogni TSU utilizza un unico certificato.

3.2 Convalida iniziale dell’identità ‌

n/a

3.3 Identificazione e autenticazione per il rinnovo delle chiavi e dei certificati ‌

n/a

3.4 Identificazione e autenticazione per le richieste di revoca o sospensione ‌

n/a

OPERATIVITÀ ‌

4.1 Richiesta di emissione o di verifica di marca temporale ‌

4.1.1 Chi può richiedere l’emissione o la verifica di una marca temporale ‌

Il servizio di marcatura temporale prevede di indirizzare le richieste di emissione o di verifica delle marche temporali di documenti informatici al server TSU tramite moduli software opportunamente predisposti.

La richiesta di emissione o di verifica della marca temporale può essere effettuata dal Richiedente/Utente utilizzando il software di firma/verifica fornito da InfoCert, che consente di apporre la marca temporale a documenti firmati digitalmente e non, e consente di eseguirne un’immediata verifica.

Il Richiedente può utilizzare un proprio software attraverso protocollo definito in RFC 3161, RFC 5816 e profilato dallo standard ETSI 319 422 utilizzando URL e credenziali concordate con InfoCert.

Una volta accettata e registrata la richiesta ed effettuati gli opportuni controlli di correttezza, il server TSU la elabora, genera la marca temporale e la rinvia al Richiedente/Utente.

Nota: nel sito del certificatore InfoCert sono presenti i software per l’apposizione e la verifica della marca, sia essa associata ad un documento firmato che ad un non firmato.

4.1.2 Processo di registrazione e responsabilità ‌

Nel processo, i diversi attori hanno responsabilità differenziate e concorrono congiuntamente al buon esito dell’emissione:

• Il Richiedente/Utente ha la responsabilità d’inoltrare la richiesta di emissione o di verifica di marca temporale attraverso i moduli software a tal fine predisposti dal prestatore fiduciario InfoCert.

• InfoCert è la responsabile ultima del buon esito del processo di generazione della marca temporale.

4.2 Elaborazione della richiesta ‌

L’elaborazione della richiesta avviene nel modo seguente:

• il Richiedente, mediante le procedure predisposte dalla TSA, invia la richiesta di marcatura temporale del documento informatico, eventualmente prendendone precedente visione, al server TSU;

• la richiesta contiene l’impronta del documento informatico da marcare utilizzando l’algoritmo per l'impronta è SHA-256 (secure hash algoritm 256-bit).

4.3 Emissione della marca temporale ‌

L’emissione della marca temporale viene effettuata in modo automatico da un sistema elettronico sicuro (server TSU), gestito dalla TSA, in grado di:

• calcolare con precisione la data e ora di generazione della marca temporale con riferimento al Tempo Universale Coordinato (UTC);

• generare la struttura di dati contenente le informazioni specificate[iii];

• sottoscrivere digitalmente (nel significato tecnico del termine) detta struttura di dati. Alla ricezione della richiesta, l’emissione della marca temporale avviene nel modo seguente:

• La TSU, ricevuta la richiesta di marcatura temporale, provvede a generare la struttura prevista dallo standard [iii] che contiene, tra le varie informazioni, l’impronta medesima e la data/ora corrente;

• Il server TSU appone la firma alla struttura dati generata, ottenendo la marca temporale;

• Terminata correttamente la procedura di generazione della marca temporale, quest’ultima viene inviata al Soggetto.

4.4 Accettazione del certificato ‌

n/a

4.5 Uso della coppia di xxxxxx e del certificato ‌

n/a La coppia di chiavi e il certificato di marcatura sono usati esclusivamente per firmare l’associazione tra data-ora e impronta del documento.

4.6 Rinnovo del certificato ‌

n/a Il certificato non prevede rinnovo.

4.7 Riemissione del certificato ‌

Ogni 3 mesi viene riemesso un nuovo certificato per ogni TSU.

4.8 Modifica del certificato ‌

n/a

4.9 Revoca e sospensione del certificato ‌

La revoca o la sospensione di un certificato ne tolgono la validità prima della scadenza stabilita e rendono non valide le marche apposte successivamente al momento della pubblicazione della revoca. I certificati revocati o sospesi sono inseriti in una lista di revoca e sospensione (CRL) firmata dalla TSA che li ha emessi, pubblicata nel registro dei certificati con periodicità prestabilita. La TSA può forzare un’emissione non programmata della CRL in circostanze particolari. L’efficacia della

revoca e della sospensione si ha dal momento di pubblicazione della lista, attestato dalla data apposta alla registrazione dell'evento nel Giornale di Controllo della TSA.

4.9.1 Motivi per la revoca ‌

Le condizioni per cui il certificato di marcatura può essere revocato sono:

1. la chiave privata sia stata compromessa, ovvero sia presente uno dei seguenti casi:

 sia stato violato il dispositivo sicuro di firma che contiene la chiave;

 sia venuta meno la segretezza della chiave o del suo codice d’attivazione (PIN);

 si sia verificato un qualunque evento che abbia compromesso il livello d’affidabilità della chiave.

2. viene verificata una sostanziale condizione di non rispetto del presente Manuale Operativo.

4.9.2 Chi può richiedere la revoca ‌

Il certificato può essere revocato o sospeso d’ufficio dalla TSA per i motivi indicati nel $ 4.9.1.

4.9.3 Procedure per richiedere la revoca ‌

n/a

4.9.4 Periodo di grazia della richiesta di revoca ‌

Il periodo di grazia della CRL è il periodo di tempo che intercorre tra il momento della pubblicazione da parte della TSA della successiva CRL e il momento in cui scade la CRL corrente. Per non causare disservizi ad ogni parte coinvolta, questo periodo è più lungo del periodo di tempo di cui la TSA ha bisogno per generare e pubblicare una nuova CRL. In questo modo la CRL corrente rimane valida almeno fino a quando non viene sostituita dalla nuova CRL.

4.9.5 Tempo massimo di elaborazione della richiesta di revoca ‌

La richiesta viene elaborata immediatamente appena la TSA ha verificato il motivo di revoca.‌

4.9.6 Requisiti per la verifica della revoca

n/a

4.9.7 Frequenza di pubblicazione della CRL ‌

I certificati revocati o sospesi sono inseriti in una lista di revoca e sospensione (CRL), firmata dalla TSA, e pubblicata nel Registro pubblico. La CRL viene pubblicata in modo programmato ogni ora (emissione ordinaria). La TSA può, in circostanze particolari, forzare un’emissione non programmata della CRL (emissione straordinaria immediata), ad esempio nel caso in cui la revoca o la sospensione di un certificato avvenga per la sospetta compromissione della segretezza della chiave privata (revoca o sospensione immediata). La CRL è emessa sempre integralmente. Il momento della pubblicazione della CRL viene attestata utilizzando quale riferimento temporale la data fornita dal sistema di Time Stamping Authority InfoCert e tale registrazione viene riportata sul giornale di controllo. Ogni elemento della lista CRL contiene nell'apposita estensione la data e l’ora di revoca o

sospensione. La CRL da consultare per lo specifico certificato è indicata nel certificato stesso secondo le norme vigenti.

4.9.8 Latenza massima della CRL ‌

Il tempo di attesa tra la richiesta di revoca o di sospensione e la sua realizzazione tramite pubblicazione della CRL è al massimo di un’ora.

4.9.9 Servizi online di verifica dello stato di revoca del certificato ‌

Oltre alla pubblicazione della CRL nei registri LDAP e http, InfoCert mette a disposizione anche un servizio OCSP per la verifica dello stato del certificato. L’URL del servizio è indicato nel certificato. Il servizio è disponibile 24 X 7.

4.10 Servizi riguardanti lo stato del certificato ‌

4.10.1 Caratteristiche operative ‌

Le informazioni sullo stato dei certificati sono disponibili tramite CRL e servizio OCSP. Il numero di serie di un certificato revocato rimane in CRL anche dopo la fine della validità del certificato ed almeno sino alla scadenza del certificato di TSA.

Le informazioni fornite dal servizio OCSP per i certificati sono aggiornate all’ultima CRL pubblicata.

4.10.2 Disponibilità del servizio ‌

Il servizio OCSP e le CRL sono disponibili 24 ore per 7 giorni la settimana.

4.11 Disdetta dai servizi della TSA ‌

n/a

4.12 Deposito presso terzi e recovery della chiave ‌

n/a

MISURE DI SICUREZZA E CONTROLLI ‌

Il TSP InfoCert ha realizzato un sistema di sicurezza del sistema informativo relativo al servizio di certificazione digitale. Il sistema di sicurezza implementato è articolato su tre livelli:

• un livello fisico che mira a garantire la sicurezza degli ambienti in cui il TSP gestisce il servizio,

• un livello procedurale, con aspetti prettamente organizzativi,

• un livello logico, tramite la predisposizione di misure tecnologiche hardware e software che affrontano i problemi e i rischi connessi con la tipologia del servizio e con l’infrastruttura utilizzata.

Tale sistema di sicurezza è realizzato per evitare rischi derivanti dal malfunzionamento dei sistemi, della rete e delle applicazioni, oltre che dall’intercettazione non autorizzata o dalla modifica dei dati.

Un estratto della politica di sicurezza InfoCert è disponibile facendone richiesta alla casella PEC xxxxxxxx@xxxxxxxxx.xx.

5.1 Sicurezza fisica ‌

Le misure adottate forniscono adeguate garanzie di sicurezza in merito a:

• Caratteristiche dell’edificio e della costruzione;

• Sistemi anti-intrusione attivi e passivi;

• Controllo degli accessi fisici;

• Alimentazione elettrica e condizionamento dell’aria;

• Protezione contro gli incendi;

• Protezione contro gli allagamenti;

• Modalità di archiviazione dei supporti magnetici;

• Siti di archiviazione dei supporti magnetici.

5.1.1 Posizione e costruzione della struttura ‌

Il Data Center InfoCert si trova a Padova. Il sito di Disaster Recovery è ubicato a Modena ed è connesso al Data Center sopra citato tramite un collegamento dedicato e ridondato su due circuiti diversi MPLS a 10 Gbit/s upgradabile fino a 100 Gbit/s.

All’interno di entrambi i siti sono stati ricavati dei locali protetti con dei più elevati livelli di sicurezza, sia fisici che logici, all’interno dei quali sono attestati gli apparati informatici che costituiscono il cuore dei servizi di certificazione digitale, marcatura temporale, firma remota e automatica.

Figura 1 - ubicazione Data Center InfoCert e sito della Disaster Recovery

5.1.2 Accesso fisico ‌

L’accesso al Data Center è regolato dalle procedure InfoCert di sicurezza. All’interno del Data Center c’è l’area bunker in cui sono i sistemi della CA, per il quale è richiesto un ulteriore fattore di sicurezza.

5.1.3 Impianto elettrico e di climatizzazione ‌

Il sito che ospita il Data Center InfoCert su Padova, pur non essendo certificato, ha le caratteristiche di un Data Center di tier 3.

I locali tecnici sono provvisti di un sistema di alimentazione elettrica progettato al fine di prevenire guasti e soprattutto disservizi. L’alimentazione dei sistemi include le più moderne tecnologie al fine di incrementare l’affidabilità e assicurare la ridondanza delle funzionalità più critiche ai fini dei servizi erogati.

L’infrastruttura preposta all’alimentazione include:

• Gruppi di continuità, dotati di accumulatori, in corrente alternata (UPS);

• Disponibilità di tensione alternata (220-380V AC);

• Armadi alimentati in ridondanza con linee protette e dimensionate per l'assorbimento concordato;

• Servizio di generatori di emergenza;

• Sistema di commutazione automatico e sincronizzazione fra generatori, rete e batterie (STS).

Ogni armadio tecnologico installato presso il Data Center fruisce di due linee elettriche che assicurano l’HA in caso di interruzione di una delle due linee disponibili.

L’armadio tecnologico è monitorato remotamente; vengono effettuati controlli costanti sullo stato

della linea elettrica (on/off) e le potenze elettriche assorbite (ogni linea non deve superare il 50% del carico).

L’area tecnica è normalmente mantenuta fra 20° e 27° con un tasso di umidità relativo compreso fra il 30% ed il 60%. Gli impianti sono dotati di batterie condensanti con sistema di raccolta e scarico condensa sigillato e controllato da sonde anti-allagamento. L’intero sistema di condizionamento è asservito ai generatori di emergenza in caso di assenza di energia elettrica. Si garantisce la capacità frigorifera per armadio con un carico massimo previsto di 10KW e massimo di 15 KW su due armadi affiancati.

5.1.4 Prevenzione e protezione contro gli allagamenti ‌

La zona d’ubicazione dell’immobile non presenta rischi ambientali dovuti alla vicinanza ad installazioni “pericolose”. Durante la progettazione dello stabile sono stati presi opportuni accorgimenti per isolare i locali potenzialmente pericolosi, quali quelli contenenti il gruppo elettrogeno e la centrale termica.

L’area che ospita gli apparati è al piano terreno in una posizione sopraelevata rispetto al livello della strada.‌

5.1.5 Prevenzione e protezione contro gli incendi

È presente nel Data Center un impianto di rilevazione fumi gestito da centrale analogica indirizzata NOTIFIER con sensori ottici posizionati in ambiente e nel controsoffitto e sensori a campionamento d’aria installati sottopavimento e nelle canalizzazioni dell’aria.

L’impianto di rilevazione automatica d’incendi è collegato ad impianti di spegnimento automatici a gas estinguenti ecologici NAFS125 e PF23 e, in alcune sale, con sistemi di spegnimento ad aerosol. Nel caso di intervento contemporaneo di due rivelatori nella stessa zona, è comandata la scarica di estinguente nella zona interessata.

Per ogni compartimento antincendio è previsto un impianto di estinzione dedicato.

Sono inoltre presenti mezzi estinguenti portatili in conformità alle leggi e normative vigenti.

Le canalizzazioni dell’aria primaria asservite alle sale apparati sono dotate, in corrispondenza degli attraversamenti dei compartimenti antincendio, di serrande tagliafuoco azionate dall’impianto automatico di rilevazione incendi.

5.1.6 Supporti di memorizzazione ‌

Per quanto concerne la piattaforma storage, la soluzione in essere prevede per la parte NAS l’utilizzo di sistemi NetApp (FAS 8060). Per la parte SAN si è invece implementata un’infrastruttura basata su tecnologie EMC2 che comprendono VNX 7600, VNX 5200, XtremIO, gestite attraverso il layer di virtualizzazione storage VPLEX. Tale infrastruttura viene gestita attraverso ViPR.

5.1.7 Smaltimento dei rifiuti ‌

InfoCert è certificata ISO 14001 per la gestione ambientale sostenibile del proprio ciclo produttivo, compresa la raccolta differenziata e lo smaltimento sostenibile dei rifiuti. Per quel che riguarda il contenuto informativo dei rifiuti elettronici, tutti i media, prima della dismissione, vengono ripuliti secondo le procedure previste ovvero avvelandosi di società di sanitizzazione certificate.

5.1.8 Off-site backup ‌

È realizzato nel sito di Disaster Recovery, con un dispositivo EMC Data Domain 4200, su cui, il Data Domain primario del sito di Padova, replica i dati di backup.

5.2 Controlli procedurali ‌

5.2.1 Ruoli chiave ‌

I ruoli chiave sono coperti da figure dotate dei necessari requisiti di esperienza, professionalità e competenza tecnica e giuridica, che vengono continuamente verificati mediante le valutazioni annuali.

La lista dei nomi e l’organigramma delle figure in ruolo chiave è stata depositata presso AgID in occasione del primo accreditamento e viene costantemente tenuta aggiornata per seguire la naturale evoluzione dell’organizzazione aziendale.

5.3 Controllo del personale ‌

5.3.1 Qualifiche, esperienze e autorizzazioni richieste ‌

Effettuata la pianificazione annuale delle Risorse Umane, il Responsabile Funzione/Struttura Organizzativa identifica le caratteristiche e gli skill della risorsa da inserire (job profile). Successivamente, di concerto con il responsabile selezione, viene attivato il processo di ricerca e selezione.‌

5.3.2 Procedure di controllo delle esperienze pregresse

I candidati individuati partecipano al processo di selezione affrontando un primo colloquio conoscitivo-motivazionale con il responsabile della selezione e un successivo colloquio tecnico con il responsabile di Funzione/Struttura Organizzativa, volto a verificare le skill dichiarate dal candidato. Ulteriori strumenti di verifica sono esercitazioni e test.

5.3.3 Requisiti di formazione ‌

A garanzia che nessun individuo possa singolarmente compromettere o alterare la sicurezza globale del sistema oppure svolgere attività non autorizzate, è previsto di affidare la gestione operativa del sistema a persone diverse, con compiti separati e ben definiti. Il personale addetto alla progettazione ed erogazione del servizio di certificazione è un dipendente InfoCert ed è stato selezionato in base alla esperienza nella progettazione, realizzazione e conduzione di servizi informatici, con caratteristiche di affidabilità e riservatezza. Interventi di formazione sono pianificati periodicamente per sviluppare la consapevolezza dei compiti assegnati. In particolare, prima dell’inserimento del personale nell’attività operativa, sono realizzati interventi formativi allo scopo di fornire ogni competenza (tecnica, organizzativa e procedurale) necessaria a svolgere i compiti assegnati.

5.3.4 Frequenza di aggiornamento della formazione ‌

Ogni inizio anno viene svolta l’analisi delle esigenze formative propedeutica alla definizione delle attività formative da erogare nell’anno. L’analisi è strutturata nel modo seguente:

 Incontro con la Direzione per la raccolta dei dati relativi alle esigenze formative necessarie per raggiungere gli obiettivi aziendali;

 Intervista ai Responsabili per la rilevazione delle esigenze formative specifiche delle proprie aree;

 Restituzione dei dati raccolti alla Direzione Aziendale per chiusura ed approvazione del Piano Formativo.

Entro il mese di febbraio il Piano Formativo così definito viene condiviso e reso pubblico.

5.3.5 Frequenza nella rotazione dei turni di lavoro ‌

La presenza in sede viene regolata attraverso un piano di turnazione che viene predisposto dal responsabile di unità organizzativa mensilmente, con un anticipo di almeno 10 giorni. Ogni turno ha una durata di 8 ore lavorative.

Xxxxx restando il possesso dei necessari requisiti tecnici e professionali, l'Azienda provvede ad avvicendare nel lavoro a turni il maggior numero possibile di lavoratori, dando priorità ai dipendenti che ne facciano richiesta.

Non sono previsti turni di presenza in sede notturni. I turni di presenza in sede avvengono su una fascia oraria dalle ore 07:00 alle ore 21:00 dal lunedì al venerdì e dalle 07:00 alle 12:00 il sabato.

5.3.6 Sanzioni per azioni non autorizzate ‌

Si fa riferimento al “CCNL Metalmeccanici e installazione impianti industria privata” per la procedura di irrogazione delle sanzioni.

5.3.7 Controlli sul personale non dipendente ‌

L’accesso al personale non dipendente è regolato da una specifica policy aziendali

5.3.8 Documentazione che il personale deve fornire ‌

Al momento dell’assunzione, il dipendente deve fornire copia di un documento d’identità valido, copia della tessera sanitaria valida e una foto in formato tessera per il badge di accesso ai locali. Dovrà in seguito compilare e firmare il consenso al trattamento dei dati personali e l’impegno a non divulgare notizie e/o documenti riservati. Dovrà infine prendere visione del Codice Etico e della Netiquette InfoCert.

5.4 Gestione del giornale di controllo ‌

Gli eventi legati alla gestione della TSA , della vita del certificato e degli eventi relativi alla fonte del tempo sono raccolti nel giornale di controllo come previsto dal Regolamento e dalle regole tecniche [1.].

5.4.1 Tipi di eventi memorizzati ‌

Vengono registrati eventi di sicurezza, avviamento e spegnimento, crash di sistema e guasti hardware, attività di firewall e router e tentativi di accesso sistema PKI.

Vengono registrati tutti gli eventi riguardanti le personalizzazioni del dispositivi di firma. Vengono registrati tutti gli accessi fisici ai locali ad alta sicurezza dove risiedono le mecchine. Vengono registrati gli eventi legati alle chiavi e certificati delle TSUs.

Vengono registrati tutti gli eventi riguardanti la sincronizzazione e ricalibrazione degli orologi delle TSU con il tempo universale coordinato UTC.

Ogni evento viene salvato con data e ora di sistema dell’evento.‌

5.4.2 Frequenza di trattamento e di memorizzazione del giornale di controllo

Il trattamento e raggruppamento dei dati nonché memorizzazione sul sistema di conservazione a norma InfoCert avviene mensilmente.‌

5.4.3 Periodo di conservazione del giornale di controllo

Il giornale di controllo viene conservato per 20 anni dalla CA.

5.4.4 Protezione del giornale di controllo ‌

La protezione del giornale di controllo è garantita da Sistema di Conservazione dei documenti elettronici InfoCert, accreditato presso AgID secondo la normativa vigente.

5.4.5 Procedure di backup del giornale di controllo ‌

Il Sistema di Conservazione dei documenti elettronici attua una politica e procedura di backup, come previsto dal manuale della sicurezza del suddetto sistema.

5.4.6 Sistema di memorizzazione del giornale di controllo ‌

La raccolta dei log degli eventi avviene attraverso procedure automatiche ad hoc, la memorizzazione avviene nelle modalità previste dal sistema di conservazione a norma InfoCert e descritto nel manuale della sicurezza del suddetto sistema.

5.4.7 Notifica in caso di identificazione di vulnerabilità ‌

n/a ‌

5.4.8 Valutazioni di vulnerabilità

InfoCert svolge periodicamente delle valutazioni sulle vulnerabilità del Sistema (vulnerability assessment) e test antiintrusione (penetration test). A fronte dei risultati mette in atto tutte le contromisure per mettere in sicurezza le applicazioni.

5.5 Archiviazione dei verbali ‌

5.5.1 Tipi di verbali archiviati ‌

Vengono redatti e archiviati verbali relativi ai più importanti eventi di una Certification Authority. I verbali vengono conservati per 20 anni dalla Certification Authority nel Sistema di Conservazione dei documenti InfoCert.

5.5.2 Protezione dei verbali ‌

La protezione è garantita dal Sistema di Conservazione dei documenti InfoCert, accreditato in AgID.‌

5.5.3 Procedure di backup dei verbali

Il sistema di conservazione a norma attua una politica e procedura di backup, come previsto dal manuale della sicurezza del suddetto sistema.‌

5.5.4 Requisiti per la marcatura temporale dei verbali

n/a

5.5.5 Sistema di memorizzazione degli archivi ‌

La raccolta dei verbali avviene attraverso procedure automatiche ad hoc, la memorizzazione avviene nelle modalità previste dal sistema di conservazione a norma InfoCert e descritto nel manuale della sicurezza del suddetto sistema.

5.5.6 Procedure per ottenere e verificare le informazioni contenute negli archivi ‌

Sono predisposte procedure e sistemi automatici per il controllo dello stato del sistema di certificazione e dell’intera infrastruttura tecnica della CA.

5.6 Sostituzione della chiave privata della TSU ‌

Ogni coppia di chiavi utilizzata per la validazione temporale è univocamente associata al sistema che fornisce il servizio. Le chiavi di marcatura temporale (chiavi TSU) vengono sostituite ogni tre mesi prima della scadenza del certificato senza revocare il precedente.

5.7 Compromissione della chiave privata della TSA e disaster recovery ‌

5.7.1 Procedure per la gestione degli incidenti ‌

IL TSP ha descritto le procedure di gestione degli incidenti nell’ambito del SGSI certificato ISO 27000. Ogni eventuale incidente, non appena rilevato, è soggetto a puntuale analisi, individuazione delle contromisure correttive e verbalizzazione da parte del responsabile del servizio. Il verbale è firmato digitalmente e inviato al Sistema di Conservazione InfoCert; una copia è inviata anche a AgID, unitamente alla dichiarazione delle azioni di intervento mirante a eliminare le cause che possono

aver dato luogo all’incidente, se sotto il controllo di InfoCert come previsto dall’articolo 19 del Regolamento.

5.7.2 Corruzione delle macchine, del software o dei dati ‌

In caso di guasto del dispositivo sicuro di firma HSM contenente le chiavi di certificazione si fa ricorso alla copia di riserva della chiave di certificazione, opportunamente salvata e custodita, e non vi è necessità di revocare il corrispondente certificato della TSA.

I software e i dati sono soggetti a regolare backup come previsto dalle procedure interne.

5.7.3 Procedure in caso di compromissione della chiave privata della TSA ‌

La compromissione della chiave di certificazione è considerato un evento particolarmente critico, in quanto invaliderebbe i certificati emessi firmati con tale chiave. Vi è quindi una particolare attenzione alla protezione della chiave di certificazione e a tutte le attività di sviluppo e manutenzione del sistema che possono avere impatto sulla stessa.

InfoCert ha descritto la procedura da seguire in caso di compromissione della chiave, nell’ambito del SGSI certificato ISO 27000, dandone evidenza anche ad AgID e al CAB.

5.7.4 Erogazione dei servizi in caso di disastri ‌

InfoCert ha adottato le procedure necessarie a garantire la continuità del servizio anche in situazioni di elevata criticità o di disastro.

5.8 Cessazione del servizio di validazione temporale ‌

Nel caso di cessazione dell’attività di validazione temporale, InfoCert comunicherà questa intenzione all’Autorità di vigilanza (AgID) e all’ente di certificazione (CAB) con un anticipo di almeno

6 mesi , indicando, eventualmente, il depositario del registro dei certificati e della relativa documentazione.

CONTROLLI DI SICUREZZA TECNOLOGICA ‌

6.1 Generazione della coppia di chiavi di marcatura temporale della TSU ‌

La marca temporale viene firmata con algoritmo asimmetrico da una chiave privata memorizzata su un dispositivo hardware sicuro e la corrispondente chiave pubblica certificata da una Certification Authority InfoCert dedicata a questo servizio (TSA).

La coppia di chiavi asimmetriche è generata all'interno di un dispositivo crittografico hardware (HSM) conforme ai requisiti di sicurezza previsti da ETSI319421 [26].

I dispositivi per la generazione della coppia di chiavi asimmetriche delle TSU possono essere attivati solo da operatori autorizzati, che lavorano in coppia e che provvedono allo sblocco del dispositivo crittografico inserendo una coppia di smartcard accompagnate dal PIN.

Le chiavi private sono generate e memorizzate all'interno dei dispositivi crittografici in modo tale da impedirne l'esportazione.

6.1.1 Algoritmo e lunghezza delle chiavi ‌

La coppia di chiavi asimmetriche di certificazione è generata all’interno di un dispositivo crittografico hardware di cui sopra. Viene usato l’algoritmo asimmetrico RSA con chiavi di lunghezza non inferiore a 2048 bit.‌

6.1.2 Controlli di qualità e generazione della chiave pubblica

I dispositivi utilizzati sono certificati secondo alti standard di sicurezza (si veda il § 6.2.1) e garantiscono che la chiave pubblica sia corretta e randomica. La CA, prima di emettere il certificato, verifica che la chiave pubblica non sia già stata utilizzata.

6.2 Protezione della chiave privata e controlli ingegneristici del modulo crittografico ‌

6.2.1 Controlli e standard del modulo crittografico ‌

I moduli crittografici utilizzati da InfoCert per le chiavi di certificazione (TSA) sono validati FIPS 140 Level 3 e Common Criteria (CC) Information Technology Security Evaluation Assurance Level (EAL) EAL 4 in Europa.

6.2.2 Controllo di più persone della chiave privata di TSA ‌

L’accesso ai dispositivi contenenti le chiavi di certificazione avviene solo con due persone autenticate contemporaneamente.

6.2.3 Backup della chiave privata di TSA ‌

Il backup delle chiavi è contenuto in una cassaforte il cui accesso è dato solo al personale che non ha accesso ai dispositivi HSM. Un eventuale ripristino, richiede dunque la presenza sia del personale che ha accesso ai dispositivi sia di chi ha l’accesso alla cassaforte.

6.2.4 Memorizzazione della chiave privata su modulo crittografico ‌

La chiave di certificazione viene generata e memorizzata in un’area protetta del dispositivo crittografico che ne impedisce l’esportazione. Il sistema operativo del dispositivo, inoltre, in caso di forzatura della protezione rende bloccato o rende illeggibile il dispositivo stesso.

6.2.5 Metodo di attivazione della chiave privata ‌

Il sistema per il servizio di marcatura temporale può essere attivato solo da operatori autorizzati tramite l'utilizzo di una serie di password e disponendo di un certo numero di dispositivi crittografici personali.

Una volta attivato, il sistema non necessita di ulteriori procedure interattive di login, tranne che per arrestarlo e riattivarlo a scopo di manutenzione.

6.2.6 Metodo per distruggere la chiave privata della TSA ‌

Il personale InfoCert deputato a questo ruolo si occupa della distruzione della chiave privata quando il certificato è scaduto o revocato, secondo le procedure di sicurezza previste dalle politiche di sicurezza e le specifiche del produttore del dispositivo.

6.3 Dati di attivazione della chiave privata ‌

Si rimanda ai paragrafi 4.2.

6.4 Controlli sulla sicurezza informatica ‌

6.4.1 Requisiti di sicurezza specifici dei computer ‌

Il sistema operativo degli elaboratori utilizzati nelle attività di certificazione per la generazione delle chiavi, la generazione dei certificati e la gestione del registro dei certificati, sono securizzati (hardening), sono cioè configurati in modo da minimizzare l’impatto di eventuali vulnerabilità eliminando tutte le funzionalità che non servono per il funzionamento e la gestione della CA.

L'accesso da parte degli Amministratori di sistema, all'uopo nominati in conformità con quanto prescritto dalla normativa vigente, avviene tramite un'applicazione di root on demand che permette l'utilizzo dei privilegi dell'utenza root solo previa autenticazione individuale. Gli accessi sono tracciati e loggati e conservati per 12 mesi.

6.5 Operatività sui sistemi di controllo ‌

InfoCert attribuisce importanza strategica al trattamento sicuro delle informazioni e riconosce la necessità di sviluppare, mantenere, controllare e migliorare in modo costante un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), in conformità alla norma ISO/IEC 27001.

InfoCert è certificata ISO/IEC 27001:2005 da marzo 2011 per le attività EA:33-35. Nel marzo 2015 è stata certificata per la nuova versione dello standard ISO/IEC 27001:2013.

Nel SGSI sono previsti procedure e controlli per:

 Gestione degli Asset;

 Controllo degli Accessi;

 Sicurezza Fisica ed Ambientale;

 Sicurezza delle Attività Operative;

 Sicurezza delle Comunicazioni;

 Acquisizione, Sviluppo e Manutenzione dei Sistemi;

 Gestione degli Incidenti;

 Continuità Operativa.

Tutte le procedure sono approvate dai relativi responsabili e condivisi internamente nel sistema di gestione documentale InfoCert.

6.6 Controlli di sicurezza della rete ‌

InfoCert ha ideato, per il servizio di certificazione, un’infrastruttura di sicurezza della rete basata sull’uso di meccanismi di firewalling e del protocollo SSL in modo da realizzare un canale sicuro tra gli Uffici di Registrazione ed il sistema di certificazione, nonché tra questo e gli amministratori/operatori.

I sistemi e le reti di InfoCert sono connessi ad Internet in modo controllato da sistemi firewall che consentono di suddividere la connessione in aree a sicurezza progressivamente maggiore: rete Internet, reti DMZ (Demilitarized Zone) o Perimetrali, Reti Interne. Tutto il traffico che fluisce tra le varie aree è sottoposto ad accettazione da parte del firewall, sulla base di un set di regole stabilite. Le regole definite sui firewall vengono progettate in base ai principi di "default deny" (quanto non è espressamente permesso è vietato di default, ovvero, le regole consentiranno solo quanto è strettamente necessario al corretto funzionamento dell'applicazione) e "defense in depth” (vengono organizzati livelli successivi di difesa, prima a livello di rete, tramite successive barriere firewall, ed infine l’hardening a livello di sistema).

FORMATO ‌

7.1 Formato del certificato della TSU ‌

Nel certificato compaiono le informazioni indicate nella richiesta di certificazione.

Il formato del certificato prodotto è conforme al Regolamento eiDAS e alla Determinazione Agid 121/2019[12]; in questo modo è garantita la piena leggibilità e verificabilità nel contesto della normativa e dei certificatori europei.

InfoCert utilizza lo standard ITU X.509, version 3 per l’intera struttura PKI.

7.1.1 Numero di versione ‌

Tutti i certificati emessi da InfoCert sono X.509 versione 3.‌

7.1.2 Estensioni del certificato

I certificati qualificati sono caratterizzati dalle estensioni presenti nei qcStatement clause 3.2.6 of IETF RFC 3739. Il loro utilizzo è regolato dalla norma ETSI 319 412-2 e ETSI 319 422.‌

7.1.3 OID dell’algoritmo di firma

L'algoritmo di sottoscrizione della marca temporale. Nella fattispecie l'algoritmo utilizzato è l'RSA. (sha256WithRSAEncryption OID:1.2.840.113549.1.1.11);‌

7.1.4 Forme di nomi

Ogni certificato contiene un numero di serie univoco all’interno della TSA che lo ha emesso.

7.1.5 Vincoli ai nomi ‌

Si veda in merito il paragrafo 3.1.‌

7.1.6 OID del certificato

Si veda in merito il paragrafo 1.2.

7.1.7 Formato e contenuto della marca temporale ‌

Il formato delle marche temporali ed il protocollo di colloquio con la TSA rispettano le specifiche tecniche richieste in ETSI319422 [27]. Ogni marca temporale emessa contiene tutte le informazioni richieste dalla normativa, ovvero:

• L'identificativo dell'emittente la marca temporale;

• Il numero di serie della marca temporale;

• L'identificativo del certificato relativo alla chiave pubblica della TSU;

• La data e l'ora di generazione della marca;

• L’accuratezza (accuracy) della fonte del tempo rispetto ad UTC. Nella fattispecie è di un secondo o migliore;

• L'identificativo dell'algoritmo di hash utilizzato per generare l'impronta dell'evidenza informatica sottoposta a validazione temporale. Nella fattispecie l'algoritmo utilizzato è SHA-256 (secure hash algoritm 256-bit OID:2.16.840.1.101.3.4.2.1);

• Il valore dell'impronta dell'evidenza informatica.

7.2 Formato della CRL del certificato di marcatura ‌

Per formare le liste di revoca CRLs, InfoCert utilizza il profilo RFC5280 “Internet X.509 Public Key Infrastructure Certificate Revocation List (CRL)” e aggiunge al formato di base le estensioni come definite da RFC 5280: “Authority Key Identifier”, “CRL Number”, “Issuing Distribution Point” e “expiredCertsOnCRL”.

7.2.1 Numero di versione ‌

Tutti le CRL emesse da InfoCert sono X.509 versione 2.

7.3 Formato dell’OCSP ‌

Per consentire di determinare lo stato di revoca del certificato senza fare richiesta alla CRL, InfoCert rende disponibile servizi OCSP conformi al profilo RFC6960 “X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP”. Questo protocollo specifica i dati che devono essere scambiati da un’applicazione che vuole verificare lo stato del certificato e il servizio OCSP.

7.3.1 Numero di versione ‌

Il protocollo OCSP utilizzato da InfoCert è conforme alla versione 1 del RFC6960.

CONTROLLI E VALUTAZIONI DI CONFORMITÀ ‌

Per ottenere la qualifica di prestatore di servizi fiduciari qualificati e non, in conformità al Regolamento eIDAS è necessario espletare l'iter previsto dall'articolo 21 del suddetto Regolamento. InfoCert ha presentato ad AgID l’apposita richiesta per ottenere il riconoscimento di “prestatore del servizio fiduciario qualificato” allegando un report della valutazione di conformità con il Regolamento (Conformity Assesment Report - CAR) rilasciato da un organismo di valutazione autorizzato dal preposto organismo nazionale (CAB), che in Italia è ACCREDIA.

InfoCert presta il Servizio quale prestatore di servizi fiduciari qualificati ai sensi del Regolamento (UE) N. 910/2014 del 23/07/2014, sulla base di una valutazione di conformità effettuata dal Conformity Assessment Body CSQA Certificazioni S.r.l., ai sensi del Regolamento di cui sopra e della Norma ETSI EN 319 401, secondo lo schema di valutazione eIDAS definito da ACCREDIA a fronte delle norme ETSI EN 319_403 e UNI CEI EN ISO/IEC 17065:2012.

8.1 Frequenza o circostanze per la valutazione di conformità ‌

La valutazione di conformità viene ripetuta ogni due anni, ma ogni anno il CAB esegue un audit di sorveglianza.

8.2 Identità e qualifiche di chi effettua il controllo ‌

Il controllo viene effettuato da:

Denominazione sociale	CSQA Certification S.r.l.
Sede legale	Xxx X. Xxxxxxx x. 00, 00000 Xxxxxx (XX)
N. di telefono	x00 0000 000000
N. Iscrizione Registro Imprese	Codice Fiscale 02603680246 Registro Imprese VI n. 02603680246 / REA n. 258305
N. partita IVA	02603680246
Sito web	xxxx://xxx.xxxx.xx

8.3 Rapporti tra InfoCert e CAB ‌

InfoCert e CSQA non hanno interessi finanziari né relazioni di affari.

Non sono in corso rapporti commerciali o di partnership che possono creare pregiudizi a favore o contro InfoCert nella valutazione obiettiva di CSQA.

8.4 Aspetti oggetto di valutazione ‌

Il CAB è chiamato a valutare la conformità rispetto al Manuale Operativo, al Regolamento e alla normativa applicabile delle procedure adottate, dell’organizzazione della CA, dell’organizzazione dei ruoli, della formazione del personale, della documentazione contrattuale.

8.5 Azioni in caso di non conformità ‌

In caso di non conformità, il CAB deciderà se inviare comunque il rapporto ad XxXX, o se riservarsi di rieseguire l’audit dopo che la non conformità sia stata sanata.

InfoCert si impegna a risolvere tutte le non conformità in maniera tempestiva, mettendo in atto tutte le azioni di miglioramento e adeguamento necessarie.

ALTRI ASPETTI LEGALI E DI BUSINESS ‌

9.1 Tariffe ‌

9.1.1 Tariffe per il rilascio della marca temporale ‌

Le tariffe sono disponibili presso i siti xxxxx://xxx.xxxxx.xxxxxxxx.xx/ e xxxx://xxxxxxxxx.xxxxxxxx.xx. La CA può stipulare accordi commerciali prevedendo tariffe specifiche.

9.1.2 Tariffe per la verifica della marca temporale ‌

La verifica della marca temporale è libera e gratuita.

9.1.3 Tariffe per altri servizi ‌

Le tariffe sono disponibili presso i siti xxxxx://xxx.xxxxx.xxxxxxxx.xx/ e xxxx://xxxxxxxxx.xxxxxxxx.xx. La CA può stipulare accordi commerciali prevedendo tariffe specifiche.

9.1.4 Politiche per il rimborso ‌

Qualora il servizio venga acquistato da un consumatore, il Soggetto ha il diritto di recedere dal contratto entro il termine di 14 giorni a decorrere dalla data di conclusione del contratto, ottenendo il rimborso del prezzo pagato. Le istruzioni per l’esercizio del diritto di recesso e la richiesta di rimborso sono disponibili presso il sito xxxxx://xxxx.xxxxxxxx.xx/.

9.2 Responsabilità finanziaria ‌

9.2.1 Copertura assicurativa ‌

Il TSP InfoCert ha stipulato un contratto assicurativo per la copertura dei rischi dell’attività e dei danni causati a terzi, il cui testo è stato trattato ed accettato da AgID, che ha come massimali:

• 10.000.000 euro per singolo sinistro;

• 10.000.000 euro per annualità.

9.2.2 Garanzia o copertura assicurativa per i soggetti finali ‌

Si veda il paragrafo 9.2.1.

9.3 Confidenzialità delle informazioni di business ‌

9.3.1 Ambito di applicazione delle informazioni confidenziali ‌

Nell’ambito dell’attività oggetto del presente Manuale non è prevista la gestione di informazioni confidenziali.

9.4 Privacy ‌

Le informazioni relative al Soggetto di cui la CA viene in possesso nell’esercizio delle sue tipiche attività, sono da considerarsi, salvo espresso consenso, riservate e non pubblicabili.

In particolare i dati personali vengono trattati da InfoCert in conformità a quanto indicato nel Decreto Legislativo 30 giugno 2003, n. 196 e nel Regolamento Europeo 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, pienamente vincolante dal 25 maggio 2018 [4].

9.4.1 Programma sulla privacy ‌

InfoCert adotta un set di policy tramite le quali implementa e integra la protezione dei dati personali all’interno del suo Sistema di Gestione della Sicurezza delle Informazioni certificato ISO 27001, condividendo con quest’ultimo sistema il processo di miglioramento continuo.

9.4.2 Dati che sono trattati come personali ‌

Sono trattati come dati i personali i dati che ricadono nella corrispondente definizione di cui alla normativa vigente [4.]; per dato personale si intende quindi qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.‌

9.4.3 Trattamento dei dati personali

InfoCert S.p.A.

Sede Operativa

Via Xxxxx e Xxxxxxxxxxx 45 00147 Roma xxxxxxxxx.xxxxxxx@xxxxxxxxx.xx

9.4.4 Informativa privacy e consenso al trattamento dei dati personali ‌

L’informativa privacy è disponibile sul sito xxx.xxxxxxxx.xx.

Prima di eseguire ogni trattamento di dati personali, InfoCert procede a raccogliere il consenso al trattamento nei modi e nelle forme previsti dalla legge.‌

9.4.5 Divulgazione dei dati a seguito di richiesta da parte dell’autorità

La divulgazione di dati su richiesta delle Autorità è obbligatoria e viene svolta nelle modalità stabilite volta per volta dall’Autorità stessa.‌

9.4.6 Altri motivi di divulgazione

Non previsti.

9.5 Proprietà intellettuale ‌

Il diritto d’autore sul presente documento è di InfoCert S.p.A. Tutti i diritti sono riservati.

9.6 Rappresentanza e garanzie ‌

InfoCert mantiene la responsabilità per l'osservanza delle procedure prescritte nella propria policy sulla sicurezza delle informazioni, anche quando alcune funzioni vengono delegate ad un altro soggetto.

Il Cliente o Richiedente è responsabile della veridicità dei dati comunicati al Certificatore.

Il Cliente o Richiedente è altresì obbligato a rendere note e a fare accettare le condizioni Generali del Servizio di Validazione Temporale e il presente Manuale Operativo a tutti i soggetti che utilizzano il Servizio

9.7 Limitazione di garanzia ‌

il Certificatore non presta alcuna garanzia i) sul corretto funzionamento e sulla sicurezza dei macchinari hardware e dei software utilizzati dal Richiedente; ii) su usi della Marca Temporale che siano diversi rispetto a quelli previsti dalle norme vigenti e dal presente Manuale Operativo; iii) sul regolare e continuativo funzionamento di linee elettriche e telefoniche nazionali e/o internazionali;

iv) sulla validità e rilevanza, anche probatoria, di qualsiasi messaggio, atto o documento associato alla Marca Temporale.

Il Certificatore garantisce unicamente il funzionamento del Servizio, secondo i livelli indicati al paragrafo 9.18 del presente Manuale Operativo.

9.8 Limitazione di responsabilità ‌

Il Servizio è reso in base a quanto previsto nel Contratto per i Servizi di Marcatura Temporale (di seguito anche “Contratto”). Il Certificatore non esegue nessun controllo del documento per il quale si richiede la Marca Temporale, in quanto tali determinazioni e informazioni sono conosciute e trasmesse direttamente dal Richiedente sotto la propria ed esclusiva responsabilità. Il Certificatore non assume alcun obbligo di sorveglianza in merito al contenuto, alla tipologia o al formato elettronico dei documenti ed eventualmente degli hash trasmessi dalla procedura informatica indicata dal Richiedente o dal Titolare, non assumendo alcuna responsabilità, salvo il caso di dolo o colpa in merito alla validità e riconducibilità degli stessi all’effettiva volontà del Richiedente.

Fatto salvo il caso di dolo o colpa, il Certificatore non assume responsabilità per danni diretti e indiretti subiti dai Titolari e/o da terzi in conseguenza dell’utilizzo o del mancato utilizzo dei certificati di Marca Temporale rilasciati in base alle previsioni del presente Manuale e delle Condizioni Generali dei Servizi di Marcatura Temporale.

InfoCert non è responsabile di qualsiasi danno diretto e/o indiretto derivante in via anche alternativa i) dalla perdita, ii) dalla impropria conservazione, iii) da un improprio utilizzo, degli strumenti di Marcatura Temporale e/o dalla mancata osservanza di quanto sopra, da parte del Richiedente.

Il Certificatore, inoltre, fin dalla fase di formazione del Contratto per i servizi di Marcatura Temporale, e anche nel corso dell’esecuzione, non risponde per eventuali danni e/o ritardi dovuti a malfunzionamento o blocco del sistema informatico e della rete internet.

InfoCert, salvo il caso di dolo o colpa, non sarà gravata da oneri o responsabilità per danni diretti o indiretti di qualsiasi natura ed entità che dovessero verificarsi al Richiedente e/o a terzi causati da manomissioni o interventi sul servizio o sulle apparecchiature effettuati da parte di terzi non autorizzati da InfoCert.

9.9 Indennizzi ‌

InfoCert è responsabile degli eventuali danni direttamente determinati, con dolo o per negligenza, a qualsiasi persona fisica o giuridica, in seguito a un mancato adempimento degli obblighi di cui al Regolamento Regolamento (UE) N. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014 e dal mancato utilizzo, da parte di InfoCert, di tutte le misure idonee ad evitare il danno stesso.

Nel caso di cui al paragrafo precedente, il Richiedente o il Titolare avranno diritto di ottenere , a titolo di risarcimento dei danni direttamente subiti in conseguenza del comportamento di cui al paragrafo precedente, un importo che non potrà in ogni caso essere superiore ai valori massimi previsti, per ciascun sinistro e per anno, dall’art. 3, c. 7, del Regolamento allegato alla Determinazione 185/2017.

Il rimborso non potrà essere richiesto qualora la mancata fruizione sia imputabile all’utilizzo improprio del servizio di certificazione o al gestore della rete di telecomunicazioni ovvero derivante da caso fortuito, forza maggiore o cause comunque non imputabili ad InfoCert, quali, a titolo esemplificativo, scioperi, sommosse, terremoti, atti di terrorismo, tumulti popolari, sabotaggio organizzato, eventi chimici e/o batteriologici, guerra, alluvioni, provvedimenti delle competenti autorità in materia o inadeguatezza delle strutture, dei macchinari hardware e/o dei software utilizzati dal Richiedente ‌

9.10 Termine e risoluzione

9.10.1 Termine ‌

Gli effetti del Contratto si producono dalla sua conclusione e perdurano fino al momento in cui viene utilizzata l’ultima delle Marche temporali acquistate con un unico ordine d’acquisto.

La durata del Contratto del Servizio di Marca Temporale è pari alla durata della Marca Temporale. In caso di cessazione del Contratto, per qualsiasi causa essa avvenga, non sarà più possibile usufruire del Servizio.‌

9.10.2 Risoluzione

Il Contratto di risolverà di diritto con contestuale interruzione del Servizio e revoca delle credenziali di marcatura temporale, nel caso in cui il Richiedente sia inadempiente rispetto alle previsioni contenute nelle clausole del Contratto di cui all'art. 1 (Oggetto del Contratto, specifiche del Servizio e rapporti tra le Parti), all’art. 6 (Corrispettivi), all’art. 7 (Identificativi ed accessi al sistema); art. 11.1 (Obblighi del Richiedente), art. 11.2 (Responsabilità del Richiedente), nonché a quanto previsto nel presente Manuale Operativo, ovvero nel caso in cui le dichiarazioni rese dal Richiedente per la stipula del Contratto o l’emissione della Marca Temporale non siano corrispondenti al vero.

La risoluzione si verificherà di diritto quando la parte interessata dichiari all’altra a mezzo Posta Elettronica Certificata o raccomandata A/R, che intende valersi della presente clausola.

In tutti i casi in cui il Richiedente sia inadempiente rispetto alle obbligazioni assunte, InfoCert potrà sospendere l’erogazione del Servizio, attraverso la sospensione delle credenziali di marcatura temporale.

In caso di assoggettamento di una delle Parti a fallimento o ad altra procedura concorsuale, l'altra parte avrà diritto di recedere senza alcun preavviso e onere dal presente Contratto e da ogni altro rapporto in essere. In ogni caso di scioglimento, cessazione, recesso o di risoluzione per qualsiasi causa avvenga del Contratto il corrispettivo di cui al precedente art. 6 è comunque dovuto e se già versato non sarà restituito.

È comunque salva l’eventuale risarcibilità di ogni ulteriore danno subito da InfoCert in caso di inadempimento da parte del Richiedente.

Nel caso in cui il Titolare sia un consumatore, si applicano le disposizioni previste dalla Direttiva 2011/83/UE del Parlamento europeo e del Consiglio, del 25 ottobre 2011, sui diritti dei consumatori. Le controversie civili inerenti il Contratto concluso dal consumatore sono devolute alla competenza territoriale inderogabile del giudice del luogo di residenza o di domicilio di questo.

Seppure InfoCert non si sia impegnata a ricorrere ad alcun organismo di risoluzione alternativa delle controversie, si informa il consumatore che può servirsi, su base volontaria, dei metodi di risoluzione extragiudiziale delle controversie previsti dalle norme di legge applicabili in materia. Si informa altresì che, ai sensi e per gli effetti del Regolamento UE n. 524/2013, per la risoluzione delle controversie relative ai contratti online e ai servizi offerti online, vi è la possibilità di ricorrere al procedimento di Online Dispute Resolution (ODR), previsto dalla Commissione Europea e raggiungibile al seguente link: xxxxx://xxxxxxx.xx.xxxxxx.xx/xxx/

9.10.3 .Effetti della risoluzione ‌

La risoluzione comporta l’immediata impossibilità di usufruire del servizio di marcatura temporale.

9.11 Canali di comunicazione ufficiali ‌

Si rimanda ai canali di contatto presenti nel paragrafo 1.5.1.

9.12 Revisione del Manuale Operativo ‌

La CA si riserva di apportare variazioni al presente documento per esigenze tecniche o per modifiche alle procedure intervenute sia a causa di norme di legge o regolamenti, sia per ottimizzazioni del ciclo lavorativo. Ogni nuova versione del Manuale Operativo annulla e sostituisce le precedenti versioni, che rimangono tuttavia applicabili ai certificati emessi durante la loro vigenza e fino alla prima scadenza degli stessi.

Variazioni che non hanno un impatto significativo sugli utenti comportano l’incremento del numero di release del documento, mentre variazioni con un impatto significativo sugli utenti (come ad esempio modifiche rilevanti alle procedure operative) comportano l’incremento del numero di versione del documento. In ogni caso il manuale sarà prontamente pubblicato e reso disponibile secondo le modalità previste. Ogni modifica tecnica o procedurale a questo Manuale Operativo verrà prontamente comunicata alle RA.

Se i cambiamenti sono rilevanti la CA deve sottoporsi ad audit di un CAB accreditato, presentare il rapporto di certificazione (CAR – Conformity Assessment Report) e il manuale operativo all’Autorità di vigilanza (AgID) ed attendere il permesso per la pubblicazione.

9.12.1 Storia delle revisioni ‌

Versione/Release n°:	2.4
Data Versione/Release:	14/06/2019
Descrizione modifiche:	§ 1.2 introduzione OID agIDcert §5.1.1 Chiarimento sulla sede del Data Center § 5.3.7 Compilata descrizione accessi fisici § 5.4.1 Aggiunti descrizione log accessi fisici e logici
Motivazioni:	Entrate in vigore determinazione AgID 121/2019 Correzione refusi e precisazioni

Versione/Release n°:	2.3
Data Versione/Release:	30/11/2018
Descrizione modifiche:	§ 1.3 aggiornamento denominazione gruppo Tinexta
Motivazioni:	Cambio denominazione gruppo TecnoInvestimenti

Versione/Release n°:	2.2
Data Versione/Release:	19/06/2018
Descrizione modifiche:	§ 1.5, § 9.2, § 9.4, § 9.15 Nuovi contatti telefonici, adeguamenti massimali polizza assicurativa, riferimenti privacy, refusi vari.
Motivazioni:

Versione/Release n°:	2.1
Data Versione/Release:	09/04/2018
Descrizione modifiche:	Correzione refusi § 9.6, § 9.7, § 9.8, § 9.9, § 9.10 riscrittura paragrafi per migliore contestualizzazione
Motivazioni:

Versione/Release n°:

2.0.1

Data Versione/Release:

28/07/2017

Descrizione modifiche:

Xxxxxxxxxx refusi

Aggiornamento mesi utilizzo della chiave TSU

Motivazioni:

Versione/Release n°:	2.0
Data Versione/Release:	02/05/2017
Descrizione modifiche:	Riposizionati i contenuti su indice RFC 3647
Motivazioni:	-

Versione/Release n°:	1.0
Data Versione/Release:	01/07/2016
Descrizione modifiche:	Prima emissione
Motivazioni:	-

9.12.2 Procedure di revisione ‌

Le procedure di revisione del Manuale Operativo sono analoghe alle procedure di redazione. Le revisioni sono apportate di concerto con il Responsabile del Servizio di Certificazione, il Responsabile della Sicurezza, il Responsabile della Privacy, l’Ufficio Legale e l’Area di Consulenza e approvate dal management.

9.12.3 Periodo e meccanismo di notifica ‌

Il Manuale Operativo è pubblicato:

• in formato elettronico sul sito web del TSP (indirizzo: xxxx://xxx.xxxxx.xxxxxxxx.xx/xxx/xxxxxxx.xxx);

• in formato elettronico nell’elenco pubblico dei certificatori tenuto da AgID.

9.13 Risoluzione delle controversie ‌

Si rimanda alla contrattualistica che regolamenta il servizio per il dettaglio delle modalità di risoluzione delle controversie.

9.14 Foro competente ‌

Per i consumatori il foro competente è il tribunale della città dove il consumatore ha il domicilio. Per i soggetti diversi dai consumatori, il foro competente è quello di Roma. Negli accordi tra CA e Soggetto può essere definito un diverso foro competente.

9.15 Legge applicabile ‌

La legge applicabile al presente Manuale Operativo è la legge italiana.

Di seguito un elenco non esaustivo dei principali riferimenti normativi applicabili:

[1] Regolamento UE N. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (referenziato anche come Regolamento eIDAS).

[2] Decreto Legislativo 7 marzo 2005, n.82 (G.U. n.112 del 16 maggio 2005) – Codice dell'amministrazione digitale (referenziato anche come CAD) e ss.m.ii.

[3] non utilizzato

[4] Decreto Legislativo 30 giugno 2003, n. 196 (G.U. n. 174 del 29 luglio 2003) – Codice Privacy e ss.mm.ii e Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (vigente dal 25 maggio 2018).

[5] non utilizzato.

[6] non utilizzato

[7] Direttiva 2011/83/UE del Parlamento europeo e del Consiglio, del 25 ottobre 2011, sui diritti dei consumatori e relative normative nazionali di recepimento.

[8] Verifica preliminare - 24 settembre 2015 [4367555] Trattamento di dati personali nell’ambito del “Processo di rilascio con riconoscimento a mezzo webcam” per firma elettronica qualificata o digitale.

[9] Deliberazione CNIPA n. 45 del 21 maggio 2009, come modificata dalle determinazion successive (dal 5 luglio 2019 sostituita da [12])..

[10] Determinazione AgID n°189/2017

[11] Si applicano inoltre tutte le circolari e le deliberazioni dell’Autorità di Vigilanza1, nonché gli atti di esecuzione previsti dal Regolamento eIDAS [1].

[12] Determinazione AgID n°121/2019 ver 1.1 (sostituisce deliberazione CNIPA 45/2009).

9.16 Standard di riferimento ‌

Di seguito un elenco non esaustivo degli standard di riferimento applicabili al servizio:

i. ETSI EN 319 401 V2.1.1 - ELECTRONIC SIGNATURES AND INFRASTRUCTURES (ESI); GENERAL POLICY REQUIREMENTS FOR TRUST SERVICE PROVIDERS;

ii. ETSI EN 319 421 V1.1.1 -ELECTRONIC SIGNATURES AND INFRASTRUCTURES (ESI); POLICY AND SECURITY REQUIREMENTS FOR TRUST SERVICE PROVIDERS ISSUING TIME-STAMPS, di seguito ETSI319421;

iii. ETSI EN 319 422 V1.1.1 (2016-03) ELECTRONIC SIGNATURES AND INFRASTRUCTURES (ESI); TIME-STAMPING PROTOCOL AND TIME-STAMP TOKEN PROFILES, di seguito ETSI319422.

1 Disponibili sul sito xxxx://xxx.xxxx.xxx.xx/xxxxxx-xxxxxxxx/xxxxxxxxxxxxxx-xxxxxxxxxxxx/xxxxx-xxxxxxxxxxxx.

9.17 Disposizioni varie ‌

Si rimanda alla contrattualistica che regolamenta il servizio per ogni altra disposizione non compresa nel presente Manuale.

9.18 Altre disposizioni ‌

Gli orari di erogazione del servizio sono (salvo accordi contrattuali differenti):

Servizio

Orario

Richiesta di marca temporale

Dalle 0:00 alle 24:00

7 giorni su 7

Verifica di marca temporale

Dalle 0:00 alle 24:00

7 giorni su 7

Avvertenza ‌

Alcuni formati permettono di inserire del codice eseguibile (macro o comandi) all’interno del documento senza che questo ne alteri la struttura binaria e tali da attivare funzionalità che possono modificare gli atti, i fatti o i dati rappresentati nel documento medesimo. I file firmati digitalmente che contengono tali strutture non producono gli effetti di cui all’articolo 25 comma 2 del Regolamento [1], ossia non può considerarsi equivalente rispetto a una firma autografa. È cura del Titolare assicurarsi, tramite le funzionalità tipiche di ciascun prodotto, dell’assenza di tale codice eseguibile.

Document Metadata

Table of Contents

Manuale Operativo

Document Metadata