Contract
EMITTENTE issued by UGQ Assicurazione Qualità | |||||
CLIENTE: SIET SpA client | COMMESSA: GQ00000069999 job | PAGINA: 1 DI: 16 page of | |||
IDENTIFICATIVO: 02953 RR 17 document | Classe Ris.: P confidentiality | Allegati: -- enclosures | |||
TITOLO: REGOLAMENTO DI CERTIFICAZIONE DEI CONSERVATORI A NORMA title SECONDO LE DISPOSIZIONI DELL’AGENZIA PER L’ITALIA DIGITALE | |||||
REDATTORI: prepared by | |||||
Il presente Regolamento definisce le modalità e le condizioni alle quali un'organizzazione si SOMMARIO: deve attenere per ottenere e mantenere la Certificazione rilasciata da SIET che attesta il abstract conseguimento della conformità richiesta dal d.lgs. n.179 del 2016 per I’iscrizione all’elenco dei soggetti accreditati presso AgID nel ruolo di Conservatori. | |||||
LISTA DI DISTRIBUZIONE distribution list | |||||
0 | 07/04/2017 | Prima emissione | X.Xxxxxxxx (UGQ) X. Xxxxxxxx (UGQ) | X.Xxxxxxxxx (DO) | |
REV rev | DATA EMISSIONE issue date | DATA AUTORIZZAZIONE (*) authorization date | DESCRIZIONE description | REDAZIONE prepared by | APPROVAZIONE approved by |
(*) Autorizzazione esterna: Necessaria / Required Organismo esterno: Comitato Salvaguardia Imparzialità External authorization Non necessaria /Not required External organization | |||||
Informazioni strettamente riservate di proprietà SIET SpA - Da non utilizzare per scopi diversi da quelli per cui sono state fornite. Confidential information property of SIET SpA - Not to be used for any purpose other than those for which it is supplied. | |||||
Mod. 00002QQ/a/6
REGOLAMENTO DI CERTIFICAZIONE DEI CONSERVATORI A NORMA, SECONDO LE DISPOSIZIONI DELL’AGENZIA PER L’ITALIA DIGITALE | 02953 RR 17 Rev.0 | |
Pagina 2 di 16 |
INDICE
1 SCOPO E CAMPO DI APPLICAZIONE 3
2 DOCUMENTI DI RIFERIMENTO 3
2.1 Documenti SIET SpA 3
2.2 Provvedimenti legislativi 3
2.3 Norme tecniche 3
3 DEFINIZIONI 4
4 DOMANDA DI CERTIFICAZIONE 5
4.1 Informazioni sul servizio e sull’assicurazione della conformità 5
4.2 Valutazioni di robustezza del sistema IT 5
4.3 Frequenza delle verifiche di conformità 6
4.4 Registrazioni 6
4.5 PROCEDURA DI CERTIFICAZIONE 6
4.6 Scelta del Laboratorio di Prova 6
4.7 Controlli da parte dell’Organismo di Certificazione 7
4.8 Visita precertificativa 7
4.9 Visita di ispezione Iniziale 8
4.10 Prove di Vulnerability Assessment e Penetration Test 9
4.11 Rilascio della Certificazione 10
4.12 Sorveglianza 11
5 AZIONI SPECIFICHE IN CASO DI NON CONFORMITA’ RILEVATE 12
5.1 Non Conformità maggiori 12
5.2 Non Conformità minori 13
5.3 Osservazioni 13
6 VALIDITA' DELLA CERTIFICAZIONE 13
6.1 Durata della Certificazione 13
6.2 Condizioni di validità della certificazione 13
6.3 Modifiche alle condizioni di certificazione 13
6.4 Rinnovo della Certificazione 14
6.5 Modifiche al campo di applicazione della certificazione 14
7 PUBBLICITÀ ED USO DEL MARCHIO DI CERTIFICAZIONE 15
1 SCOPO E CAMPO DI APPLICAZIONE
Il presente regolamento, insieme con il regolamento generale di Certificazione [1] definisce le modalità e le condizioni alle quali un'Organizzazione si deve attenere per ottenere e mantenere la Certificazione di conformità rilasciata da SIET sulla base dello schema di accreditamento dei Conservatori a norma definito dall’Agenzia per l’Italia Digitale (AgID), in qualità di proprietario dello stesso schema.
In caso di discordanza di interpretazione o di conflitti tra requisiti del Regolamento generale e delle Regole particolari contenute in questo documento, le Regole particolari hanno ordine di priorità. Tali Regole particolari sono verificate dal Responsabile Certificazione Prodotti, ed approvate dall’Organo Deliberante.
La Certificazione di Prodotti rilasciata da SIET, attesta il conseguimento della conformità richiesta dal d.lgs. n.179 del 2016 per I’iscrizione all’elenco dei soggetti accreditati presso AgID nel ruolo di Conservatori e conferisce all'Organizzazione il diritto di applicare il Marchio di Conformità indicato al par. fo 7.
2 DOCUMENTI DI RIFERIMENTO
I documenti richiamati di seguito, in tutto o in parte, costituiscono i riferimenti normativi per l’elaborazione del presente documento e sono indispensabili per la sua applicazione. Per quanto riguarda i riferimenti con data e/o revisione, si applica esclusivamente l’edizione citata. Per i riferimenti non datati o identificati da revisione, vale l’ultima edizione del documento a cui si fa riferimento.
2.1 Documenti SIET SpA
[1] SIET 01686RR10 - Regolamento generale per la certificazione prodotti.
2.2 Provvedimenti legislativi
[2] D. Lgs. 82 del 2005 – Codice Amministrazione Digitale (Art. 29, 32, 44 bis, 71, 61,50 bis, 51) e s.m.i.;
[3] D. Lgs n. 179 del 26 agosto 2016 - Modifiche ed integrazioni al Codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, ai sensi dell'articolo 1 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni pubbliche;
[4] D. Lgs 30 giugno 2003 n. 196 – Codice in materia di protezione dei dati personali;
[5] DPCM del 3 Dicembre 2013 - Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005] e relativi allegati tecnici;
[6] DPCM del 13 novembre 2014 - Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici;
[7] DPCM del 3 dicembre 2013 sul protocollo informatico;
[8] Circolare 65 del 10 Aprile 2014 di AgID e relativi allegati tecnici;
[9] ACCREDIA - DC2017SPM080 - Circolare n° 5/2017 “Schema di accreditamento degli Organismi di Certificazione, per il processo di certificazione dei Conservatori a Norma, secondo le disposizioni dell’Agenzia per l’Italia Digitale”.
2.3 Norme tecniche
[10] ISO 14721:2012 OAIS (Open Archival Information System), Sistema informativo aperto
per l’archiviazione;
[11] UNI CEI EN ISO/IEC 27001:2014, Tecnologie informatiche - Tecniche per la sicurezza - Sistemi di gestione per la sicurezza delle informazioni - Requisiti, Requisiti di un ISMS (Information Security Management System);
[12] ISO/IEC 27006, lnformation technology – Security techniques – Requirements for bodies providing audit and certification of information security;
[13] ISO/IEC TR 27008, Information technology — Security techniques — Guidelines for auditors on information security management systems controls;
[14] UNI CEI EN ISO/IEC 17025, Requisiti generali per la competenza dei laboratori di prova e di taratura;
[15] ISO/IEC 17065, Conformity assessment – Requirements for bodies certifying products, processes and services;
[16] ETSI TS 101 533-1 V1.1.1 (2011-05) Technical Specification, Electronic Signatures and Infrastructures (ESI); Information Preservation Systems Security; Part 1: Requirements for Implementation and Management, Requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni;
[17] ETSI TR 101 533-2 V1.1.1 (2011-05) Technical Report, Electronic Signatures and Infrastructures (ESI); Information Preservation Systems Security; Part 2: Guidelines for Assessors, Linee guida per valutare sistemi sicuri e affidabili per la conservazione elettronica delle informazioni;
[18] UNI 11386:2010 Standard SInCRO - Supporto all'Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali;
[19] ISO 15836:2009 Information and documentation - The Dublin Core metadata element set, Sistema di metadata del Dublin Core;
[20] ETSI EN 319 401 V2.1.1. Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers
3 DEFINIZIONI
Per lo scopo di questo documento, in aggiunta alle definizioni già presenti in [1], si applicano le seguenti definizioni.
Cloud: erogazione di risorse informatiche, come l'archiviazione, l'elaborazione o la trasmissione di dati, caratterizzato dalla disponibilità on demand attraverso Internet a partire da un insieme di risorse preesistenti e configurabili.
Conservatore: soggetti di cui all’art. 44-bis del Codice Amministrazione Digitale [2] che svolgono attività di conservazione dei documenti informatici e intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e sicurezza.
Laboratorio di Prova: Struttura incaricata di portare a termine le prove di Vulnerability Assessment e Penetration Test.
Organizzazione: soggetto che sottoscrive una richiesta di certificazione, allo scopo di diventare o mantenere lo stato di Conservatore.
Penetration Test: Processo operativo di valutazione della sicurezza di un sistema o di una rete che simula l'attacco di un utente malintenzionato.
Vulnerability Assessment: Attività che consiste nell’identificare e correggere le vulnerabilità presenti sui sistemi prima che vengano messi in produzione oppure controllare con continuità quelle presenti su sistemi già rilasciati.
4 DOMANDA DI CERTIFICAZIONE
Perché venga attivato il processo di certificazione da parte di SIET, l'Organizzazione richiedente deve restituire debitamente compilato e controfirmato da un rappresentante autorizzato l’apposito modulo “Richiesta di Certificazione” disponibile sul sito xxx.xxxx.xx nella sezione “Documenti Contrattuali per la Certificazione di Prodotti”, impegnandosi a:
• soddisfare i requisiti dello schema di certificazione dei Conservatori a Norma oggetto della domanda di certificazione;
• accettare le condizioni generali fissate dal Regolamento [1] e dalle presenti Regole Particolari;
• accettare di assumersi i costi di certificazione indicati nel Tariffario e richiamati nel Contratto di Licenza del marchio di conformità (di seguito denominato "Contratto").
L’Organizzazione deve fornire in allegato alla domanda di certificazione il Certificato di iscrizione ad una Camera di Commercio o documento equivalente.
Nella definizione della durata dell’audit SIET tiene in considerazione i seguenti parametri:
• numero dei siti coinvolti;
• possesso delle certificazioni secondo ISO/IEC 27001 [11] e ETSI EN 319 401 [20];
• coesistenza di altri servizi IT erogati dall’Organizzazione;
• architettura di controllo della complessità sistemica e tecnica di tali servizi (sulla base dei criteri ITIL);
• maturità e architettura del sistema di Business Continuity e Disaster Recovery;
• presenza di fornitori "underpinning critici" per processi in outsourcing;
• modalità e maturità nella gestione dell'outsourcing;
• precedenti criticità severe registrate etc.
4.1 Informazioni sul servizio e sull’assicurazione della conformità
L’Organizzazione deve fornire Manuale operativo redatto in conformità a [2] in cui descrive il servizio di Conservazione e le modalità con le quali assicura la conformità ai documenti di riferimento.
Il possesso delle certificazioni viene documentato fornendo i seguenti documenti:
• Certificato di conformità secondo la ISO/OEC 27001 [11] il cui scopo di certificazione comprenda i servizi di Conservazione a Norma (obbligatorio);
• Certificato di conformità dei prestatori di servizi fiduciari e dei servizi da essi prestati a fronte del Regolamento (UE) 910/2014 secondo la ETSI EN 319 401 [20] per lo schema eIDAS (ove disponibile).
4.2 Valutazioni di robustezza del sistema IT
In merito all’uso di infrastrutture cloud, l’Organizzazione deve dare evidenza della capacità di reale “controllo operativo” di tali servizi e della adesione alle eventuali indicazioni di AgID in merito all’ubicazione dei server fisici e sui sistemi di memorizzazione nei quali avviene l’archiviazione dei dati che costituiscono l’oggetto del processo di Conservazione.
L’Organizzazione deve inoltre dare evidenza dell’implementazione di adeguati controlli operativi, riferiti alla norma [11], relativi ai processi di VA (Vulnerability Assessment) e PT (Penetration Test).
4.3 Frequenza delle verifiche di conformità
L’Organizzazione deve effettuare adeguati monitoraggi e controlli sul Sistema di Conservazione con le modalità descritte nel Manuale di Conservazione.
In considerazione dell’elevato numero di vulnerabilità che vengono scoperte ogni giorno, le verifiche VA e PT di cui al paragrafo precedente 4.2 devono essere effettuate con una periodicità adeguata al fine di assicurare che le configurazioni dei sistemi siano corrette e le opportune patch di sicurezza applicate.
Qualora, le verifiche evidenzino una non conformità, l’Organizzazione deve immediatamente determinarne la causa e deve prendere le necessarie azioni per correggere i difetti riscontrati ed evitare la possibile ripetizione della non conformità nel futuro.
4.4 Registrazioni
L’Organizzazione deve garantire per almeno 10 anni la conservazione delle registrazioni necessarie a dimostrare che essa opera con continuità in conformità ai requisiti del presente regolamento.
4.5 PROCEDURA DI CERTIFICAZIONE
L’iter di certificazione è strutturato nelle seguenti fasi, illustrate in seguito nel dettaglio:
• scelta del Laboratorio di Prova;
• effettuazione delle Prove;
• pianificazione delle verifiche ispettive;
• verifica iniziale in azienda;
• delibera della certificazione;
• emissione del certificato;
• verifiche di sorveglianza e di rinnovo.
Alcune delle fasi precedentemente descritte possono prevedere, a giudizio insindacabile di SIET, l’utilizzo di strumenti informatici quali, per esempio, videoconferenza, web meeting, ed accesso remoto informatico alla documentazione del Sistema di Gestione della Sicurezza delle Informazioni dell’Organizzazione.
4.6 Scelta del Laboratorio di Prova
I controlli operativi relativi ai processi di VA (Vulnerability Assessment) e PT (Penetration Test) devono essere svolti da strutture interne od esterne all’Organizzazione, ovvero da strutture interne od esterne a SIET.
Tali strutture devono fornire evidenza:
• della chiara individuazione e diligente applicazione dei requisiti inerenti l metodologia di valutazione tecnica adottata, che richiami, preferibilmente, l’applicazione dei requisiti ISO/IEC 27008 [13];
• della competenza formale (quali qualifiche, da chi rilasciate, quale esperienza nel settore) delle Risorse Umane addette a tali test;
• della qualifica dei software utilizzati (almeno la garanzia che le versioni siano compatibili ed aggiornate ai rilasci dei sistemi operativi e delle applicazioni da analizzare dell’Organizzazione.
Nel caso in cui il Laboratorio di Test sia scelto dall’Organizzazione, la qualifica delle strutture preposte ai VA e PT deve essere basata a partire dal primo giugno 2017, sulla norma [14]. Se il Laboratorio di Test è scelto da SIET, si applicano le regole di qualifica previste dalla norma di accreditamento [15].
Dal primo giugno 2018, gli operatori che effettueranno tali attività di PT e VA dovranno essere accreditati secondo la norma [14].
L’organizzazione deve fornire evidenze documentali relative allo stato di qualifica delle strutture preposte ai controlli operativi VA e PT. Ove il Laboratorio di Prova sia scelto dall’Organizzazione, SIET, nell’ambito del processo di audit, valuterà la conformità ai requisiti del metodo e dello stato di qualifica del Laboratorio.
4.7 Controlli da parte dell’Organismo di Certificazione
Al ricevimento della domanda, SIET provvede a registrarla su apposito protocollo.
SIET prende carico della domanda secondo il relativo ordine di registrazione, procedendo a verificare che:
• l’Organizzazione ha fornito tutte le informazioni richieste al paragrafo 4.1.
• Il Sistema di Gestione dell’Organizzazione sia conforme alla norma ISO/IEC 27001.
• L’esistenza di controlli operativi relativamente all’ubicazione dei server f isici nonché l’implementazione di processi di VA ( Vulnerability Assessment) e PT ( Penetration Test).
Qualora la documentazione inviata risulti, a giudizio di SIET, inadeguata e/o incompleta, il corso della pratica viene sospeso finché l'Organizzazione non abbia soddisfatto le richieste che SIET provvederà a comunicarle ufficialmente.
A seguito dell'esito positivo dell'esame, SIET dà conferma scritta all'Organizzazione dell'accettazione della Domanda e procede a completare la stipula del Contratto, che regola i rapporti fra SIET e l'Organizzazione per l'attività certificativa, firmando l'originale e facendolo pervenire all'Organizzazione che ne rimanda copia controfirmata.
4.8 Visita precertificativa
Durante la fase di esame della domanda, su specifica richiesta dell’Organizzazione, SIET può effettuare una verifica preliminare (facoltativa).
La richiesta deve essere fatta al momento della sottoscrizione del contratto o mediante altra richiesta scritta.
La visita preliminare ha lo scopo di:
• individuare la dimensione, la struttura e l’attività dell’Organizzazione;
• individuare il grado di preparazione dell’Organizzazione a sostenere l’iter di certificazione;
• individuare il tipo di esperienza richiesta al gruppo di valutazione.
La visita preliminare è facoltativa e può essere richiesta una sola volta. Il numero di giornate
necessarie per la sua esecuzione è stabilito in funzione della tipologia e dimensione dell’Organizzazione e non può eccedere in ogni caso le 3 gg/uomo.
La data e il programma della visita preliminare sono definite da SIET in accordo con l’Organizzazione.
Al termine della visita preliminare, il Gruppo di Verifica rilascia un rapporto che non conterrà indicazioni relative al grado di conformità del prodotto / processo / servizio.
4.9 Visita di ispezione Iniziale
Quando le verifiche di cui al paragrafo 4.7 hanno dato esito positivo, SIET deve incaricare un Gruppo di Visita Ispettiva (composto da un Responsabile del gruppo stesso ed eventualmente da altri valutatori) per effettuare la visita di ispezione iniziale presso la/le sedi ove l’organizzazione opera.
All’interno del Gruppo di Visita Ispettiva sono disponibili le seguenti competenze, facenti capo ad una persona singola, o al Gruppo nel suo complesso:
• Qualifica come Team Leader UNI CEI ISO/IEC 27001:2014, rilasciata da SIET in conformità alla ISO 27006 [12];
• Qualifica come Auditor UNI CEI EN ISO 20000-1:2012 ovvero qualifica come Auditor SGQ EA 33 e conoscenza architettura ITIL, rilasciata da SIET;
• Conoscenza della circolare AgID N. 65 [8];
• Superamento dello specifico corso di formazione erogato da AgID e ACCREDIA per la comprensione e l'addestramento all'uso della Lista di Riscontro AgID per i Conservatori a Norma.
Nelle sorveglianze annuali che esulano dal Regolamento eIDAS (quindi, non i rinnovi biennali), il Gruppo di Visita Ispettiva potrà essere composto da un solo Auditor.
Il piano della verifica ispettiva viene ufficialmente comunicato all’Organizzazione con il nominativo / i nominativi degli/dello ispettori/e, eventualmente anche esterni a SIET. La notifica della visita di ispezione iniziale è normalmente effettuata almeno 15 (quindici) giorni prima della data concordata.
Se l’Organizzazione opera su più siti, per ogni sito aggiuntivo rispetto a quello centrale è prevista una verifica di un giorno uomo.
Qualora l’Organizzazione decida di acquisire in outsourcing qualsiasi processo che possa influire sulla conformità del servizio ai requisiti indicati, l’Organizzazione deve garantire un adeguato controllo su tali processi. I controlli su tali processi devono essere documentati nel sistema di gestione.
SIET si riserva il diritto di verificare i processi acquisiti in outsourcing e l’Organizzazione deve garantire l’accesso da parte di SIET o suoi mandatari ai siti in cui sono effettuate le attività in outsourcing allo scopo di effettuare ispezioni.
SIET effettua la scelta dei componenti il gruppo di ispezione tenendone presenti esperienze specifiche ed eventuali incompatibilità. Entro i 5 (cinque) giorni precedenti la visita, l'Organizzazione ha il diritto di chiedere la sostituzione di ispettori indicando le motivazioni giustificate e scritte per una eventuale ricusazione. Tale eventuale richiesta non potrà essere accettata da SIET nel caso di aspetti inerenti le competenze tecniche del Gruppo di Visita Ispettiva.
SIET valuterà la conformità a fronte della norma ETSI EN 319 401 [20] ed ai requisiti individuati nella lista di riscontro AgID per la certificazione dei conservatori. I documenti di lavoro a supporto della visita di ispezione comprendono pertanto:
- la lista di riscontro AgID integrata con i requisiti della ETSI EN 319 401 [20];
- il rapporto visita ispezione prodotto per registrare le informazioni, quali evidenze di supporto, risultanze della visita di ispezione e registrazione della riunione finale.
Il Gruppo di Visita Ispettiva SIET verifica:
• la disponibilità di una Certificazione a fronte della norma UNI CEI EN ISO/IEC 27001 rilasciata da un Organismo di Certificazione accreditato a fronte del regolamento (UE) 765/2008;
• che lo scopo di certificazione comprenda i servizi di conservazione a norma;
All'inizio della visita, il gruppo di ispezione effettua una riunione di apertura con l'Organizzazione al fine di:
• chiarire le modalità dell'Ispezione;
• stabilire un canale ufficiale per le comunicazioni fra il gruppo di ispezione e l'Organizzazione;
• chiarire quanto altro necessario per l'effettuazione dell'Ispezione stessa.
Al termine della visita, in una riunione di chiusura alla quale partecipa la Direzione dell'Organizzazione o un suo delegato, il gruppo di ispezione rende note le risultanze della valutazione effettuata in merito alla rispondenza del Sistema Qualità e dei mezzi di produzione e prova dell'Organizzazione ai requisiti dello schema di Certificazione, precisando gli eventuali scostamenti riscontrati.
L'Organizzazione, in tale sede, ha l'opportunità di confrontarsi con il Gruppo di Ispezione, di chiarire la propria posizione su tali risultanze, di proporre le eventuali azioni correttive ovvero di impegnarsi a comunicarle entro le scadenze temporali indicate al paragrafo 5.
L'esito della Visita di Ispezione Iniziale viene documentato dal Gruppo di Ispezione in un Rapporto, di cui una parte viene firmata dall'Organizzazione e dal Responsabile del Gruppo di Ispezione, per accettazione, ed alla stessa Organizzazione consegnato in copia. Tale documento evidenzia gli eventuali scostamenti rispetto ai requisiti dello Schema di Certificazione.
Successivamente, il responsabile del gruppo di ispezione compila la seconda parte del rapporto formulando un giudizio sull'Organizzazione riguardo ai requisiti richiesti dallo schema di Certificazione; tale documento è riservato. I due documenti vengono consegnati al Responsabile Certificazione Prodotti di SIET, il quale li verifica e li approva; in caso di non accettazione di quanto descritto nei documenti il Responsabile Certificazione Prodotti di SIET entro 15 ( quindici) giorni dall' effettuazione della visita comunica all'Organizzazione le eventuali modifiche allo stesso.
Il Rapporto del Gruppo di ispezione, eventualmente integrato a fronte delle decisioni del Responsabile Certificazione Prodotti SIET, a fronte di firma digitale e marcatura temporale viene inviato via PEC all’Organizzazione affinché quest’ultima possa inviarlo ad AgID per il prosieguo dell’iter di accreditamento pubblico come Conservatore a Norma.
4.10 Prove di Vulnerability Assessment e Penetration Test
SIET fa richiesta all'Organizzazione dell'invio di un documento di descrizione nel dettaglio della architettura IT per l'effettuazione delle Prove VA e PT.
Le Prove saranno eseguite da SIET o da laboratori riconosciuti da SIET. Nel caso di prove effettuate a cura di un laboratorio esterno, SIET si riserva di partecipare alla preparazione e all'esecuzione delle prove. Entro i 15 (quindici) giorni precedenti le prove, l'Organizzazione ha il diritto di ricusare, ove possibile, i laboratori esterni indicando le motivazioni giustificate e scritte per una eventuale ricusazione.
Se l'esito delle Prove non risulta conforme ai requisiti delle Regole particolari, SIET rende noti all'Organizzazione i punti di difformità, precisando gli scostamenti riscontrati. L' Organizzazione, in tal
caso, pianifica nuovamente, nei tempi concordati con SIET, la ripetizione di parte o dell'intero programma di prove. Se la non conformità è giudicata come non critica, può essere sufficiente la ripetizione del test per il quale il requisito non era stato soddisfatto. Tale decisione deve essere fatta dal Laboratorio Prova e confermata da SIET.
L'esito delle Prove deve essere documentato dal laboratorio con rapporti di prova, in accordo alla norma [14]. La presentazione, a cura dell’Organizzazione, di rapporti di prova di laboratori riconosciuti da SIET può esimere, in tutto od in parte, l'Organizzazione dalla ripetizione delle Prove, a discrezione di SIET.
I requisiti di qualifica e/o accreditamento del Laboratorio di prova sono descritti al paragrafo 4.6.
4.10.1 Sistema informativo dell’Organizzazione
Durante le fasi di effettuazione delle prove di cui al paragrafo 4.10 l'Organizzazione non deve effettuare modifiche alla struttura del Sistema Informativo oggetto delle valutazioni di robustezza tali da poter invalidare i risultati delle Prove stesse.
4.11 Rilascio della Certificazione
4.11.1 Esame del Comitato di Certificazione (Organo Deliberante)
Dopo l'approvazione del Rapporto del Gruppo di Audit, per come eventualmente integrato a fronte delle decisioni dell'Organismo di Certificazione, lo stesso Organismo provvede alla firma digitale con marca temporale dello stesso rapporto e ad inviarlo via PEC al Conservatore, affinché quest'ultimo possa inviarlo ad AgID per il prosieguo dell'iter di accreditamento pubblico come Conservatore a Norma.
La documentazione relativa all'esame della domanda, alla visita di ispezione iniziale e alle prove iniziali viene raccolta e verificata dal Responsabile Certificazione Prodotti di SIET, il quale, dopo aver accertato il completo soddisfacimento dei requisiti dello schema di Certificazione trasmette all’Organo Deliberante le proprie decisioni motivate. L’Organo Deliberante per delega dell’Amministratore Delegato ratifica le decisioni del Responsabile Certificazione Prodotti relative alla concessione all'Organizzazione della Certificazione di prodotto.
4.11.2 Emissione Certificato di Conformità
SIET, nelle verifiche iniziale e di rinnovo, emette un Certificato di Conformità con validità biennale che indica:
• Marchio e riferimenti della Certificazione;
• Numero identificativo del certificato;
• Ragione sociale dell’Organizzazione;
• Unità operativa/e coinvolta/e nella Certificazione (se diversa dall’Organizzazione);
• La dicitura “Conforme all’Art. 24 del Regolamento UE 2014/910 ‘eIDAS’ ed alla Check List di AgID nella versione applicabile”;
• Riferimento al servizio di Conservazione a Norma in conformità all’Art. 29 del Dlgs. 82 del 2005 e s.m.i. nonché allo schema di certificazione descritto nel circolare Accredia [9];
• data del rilascio;
• dicitura “il diritto d’uso del marchio di conformità è soggetto al rispetto delle norme di riferimento, del documento normativo SIET e del contratto la cui osservanza costituisce oggetto di controllo periodico da parte di SIET”.
4.11.3 Mancata emissione del certificato
Nel caso di non concessione della certificazione, vengono comunicate per iscritto all'Organizzazione le ragioni di tale decisione, precisando gli scostamenti, rispetto ai requisiti dello Schema di Certificazione applicabile, che l'Organizzazione si deve impegnare a correggere con le modalità e tempistiche descritte al paragrafo 5.
4.11.4 Iscrizione nel Registro delle Aziende
A seguito del rilascio della certificazione, SIET iscrive l'Organizzazione nel Registro delle Aziende in possesso di Certificazione di prodotto e trasmette tali informazioni agli Organismi (nazionali ed internazionali) competenti a cui tali informazioni sono dovute a termini di norma, legge o sulla base a requisiti contrattuali. Tale registro è aggiornato con frequenza mensile ed è disponibile sul sito web di SIET (xxx.xxxx.xx).
4.12 Sorveglianza
Durante il periodo di validità della certificazione, SIET effettuerà, mediante personale qualificato, un'attività di sorveglianza tramite verifiche ispettive, programmate e preannunciate, in numero minimo di una all'anno. L’attività di sorveglianza biennale regolamentata è gestita come un rinnovo.
A tal proposito il Responsabile del Gruppo di Verifica incaricato da SIET fisserà, di concerto con il Responsabile incaricato dall'Organizzazione di mantenere i rapporti con SIET, le date opportune. SIET si riserva, inoltre, la possibilità di effettuare ulteriori verifiche ispettive di sorveglianza complementari, motivandone la necessità rispetto all’obbligo del mantenimento, da parte dell’Organizzazione, di tutte le condizioni che hanno consentito la certificazione. Verifiche aggiuntive possono essere fatte anche nel caso di ricevimento di notizie di incidenti/gravi irregolarità/segnalazioni o a seguito di richieste esplicite da parte dell’organismo di accreditamento.
SIET, con la sorveglianza, attua anche un appropriato controllo del corretto uso, da parte dell'Organizzazione, del Marchio di Certificazione. Sorveglianze non programmate possono pure essere effettuate qualora SIET venga a conoscenza di carenze nelle condizioni che hanno permesso la concessione della certificazione.
Qualora, a seguito delle sorveglianze (programmate e non), vengano riscontrati scostamenti dai requisiti prefissati, SIET ne informa per iscritto l'Organizzazione, invitandola ad eliminare le carenze riscontrate.
Le aree/ attività del servizio oggetto di valutazione in sorveglianza sono a completa discrezione di SIET. Il Piano della verifica di sorveglianza prevede sempre:
• la valutazione di eventuali avvenute modifiche della Organizzazione e/o del SGSI certificato;
• la verifica della risoluzione di non conformità rilevate nelle verifiche ispettive precedenti e dell’efficacia delle azioni correttive intraprese;
• l’esame dei reclami dei clienti;
• la verifica del rispetto delle condizioni riportate nel presente Regolamento.
In fase di sorveglianza sarà verificata l’esistenza e l’accettabilità dei controlli operativi descritti al paragrafo
4.2. Se l’Organizzazione opera su più siti, SIET in fase di sorveglianza può richiedere a campione di effettuare una verifica di un giorno uomo a rotazione in ogni sito aggiuntivo rispetto a quello centrale.
Le eventuali non conformità rilasciate durante le verifiche di sorveglianza, verranno gestite con le medesime modalità descritte al paragrafo 5. Eventuali gravi violazioni rilevate, potranno comportare la sospensione o la revoca del certificato come indicato nel regolamento generale [1].
Per i certificati di sorveglianza, pur valendo la regola della conferma e dell'invio al Conservatore, via PEC, a fronte di firma digitale e marcatura temporale, non è richiesto che lo stesso Conservatore ne invii copia ad XxXX, se non dietro esplicita richiesta di quest'ultima, in quanto Autorità di Xxxxxxxxx.
Il mancato rispetto degli impegni comporterà la sospensione o la revoca della validità della certificazione come indicato nel regolamento generale [1].
5 AZIONI SPECIFICHE IN CASO DI NON CONFORMITA’ RILEVATE
La gestione delle Non Conformità da parte dell’operatore dell’Organizzazione, deve essere improntata ai requisiti della norma [11].
In caso di Non Conformità rilevata, l’Organizzazione deve:
a. comunicare a SIET il trattamento immediato adottato per interrompere gli effetti della Non Conformità entro e non oltre cinque giorni lavorativi.
b. entro quindici giorni lavorativi dovrà essere comunicata l’analisi delle cause radice, che SIET dovrà analizzare e approvare, nonché la definizione dell’azione correttiva e la pianificazione della sua attuazione.
c. entro e non oltre tre mesi dalla comunicazione, l’azione correttiva dovrà essere attuata e ne dovrà essere verificata l’efficacia.
Ove a fronte della verifica di attuazione ed efficacia del trattamento immediato e dell’azione correttiva, SIET dovesse registrare una nuova Non Conformità, si innescherà nuovamente il processo di risposta precedentemente descritto.
SIET classifica le situazioni di non rispondenza ai requisiti specificati nei documenti di riferimento come rilievi. I rilievi sono classificati come indicato ai paragrafi seguenti.
5.1 Non Conformità maggiori
Carenza nel soddisfare uno o più requisiti della norma di riferimento (UNI CEI ISO IEC 27001 [11]; ETSI EN 319_401 [20], check list di AgID) tali da poter inficiare il processo di conservazione o l’integrità, disponibilità e riservatezza delle informazioni soggette a conservazione. L’emissione di non conformità maggiori comporta l’interruzione dell’iter di certificazione o sorveglianza fino a che l’Organizzazione non abbia provveduto ad intraprendere efficaci azioni correttive per eliminare le carenze riscontrate. La presenza di una o più Non Conformità maggiori preclude l’emissione del certificato di conformità e non consente la trasmissione ad AgID del rapporto ai fini dell’Accreditamento rilasciato dalla stessa Agenzia. Le azioni correttive dovranno essere necessariamente accettate e verificate nella loro efficacia da SIET.
SIET si riserva in qualsiasi momento e in relazione alla tipologia e gravità degli eventi, di adottare le azioni del caso che possono comportare:
a. l’effettuazione di una verifica ispettiva supplementare e/o con breve preavviso;
b. nel caso di carenze esclusivamente riconducibili alla documentazione rilevante prevista dalla
norma di riferimento, una regolarizzazione di detta documentazione che dovrà essere inoltrata a SIET entro una data prefissata;
c. sospensione/revoca della certificazione (come da regolamento generale [1]).
Per le Non Conformità maggiori registrate in fase di sorveglianza, SIET segnalerà tale evento ad AgID, inviando direttamente una copia del Rapporto di Verifica, con le modalità di firma e invio utilizzate per l’invio dello stesso rapporto all’Organizzazione.
5.2 Non Conformità minori
Carenza relativa ad un requisito specificato che non mette in discussione l’efficacia e la conformità globale del/i servizio/i oggetto di verifica. L’emissione di una non conformità importante comporta per l’Organizzazione l’obbligo ad intraprendere efficaci azioni correttive per eliminare le carenze riscontrate. Tali azioni correttive dovranno essere necessariamente accettate da SIET che ne valuterà l’efficacia nel corso della successiva verifica ispettiva. Una o più non conformità minori non bloccano la sequenza certificativa, ma comportano una variazione al giudizio finale espresso dal gruppo di ispezione.
5.3 Osservazioni
Si intende una evidenza, avendo come riferimento il documento normativo di riferimento o le Regole particolari, dell’opportunità di introdurre modifiche a prodotti o processi per meglio adeguare la conformità ai requisiti/elementi richiesti dallo schema di Certificazione. Per tali rilievi non derivano conseguenze né sui prodotti/servizi certificati, né sulla conformità delle attività sottoposte a certificazione dell’Organizzazione. Una o più osservazioni non comportano alcuna variazione al giudizio finale espresso dal gruppo di ispezione, né intervento di azione correttiva da parte dell'Organizzazione.
6 VALIDITA' DELLA CERTIFICAZIONE
6.1 Durata della Certificazione
La validità del Certificato è confermata annualmente sulla base delle verifiche di mantenimento effettuate sulla base di quanto indicato ai paragrafi 4.12 e 4.11.2.
6.2 Condizioni di validità della certificazione
La validità della Certificazione è subordinata al mantenimento da parte dell'Organizzazione delle condizioni che ne hanno determinato la concessione. Tale mantenimento è oggetto di sorveglianza da parte di SIET secondo le modalità definite nei paragrafi 4.12 e 4.11.2 del presente regolamento.
Eventuali variazioni delle condizioni Organizzazione che hanno determinato la concessione della certificazione devono essere tempestivamente comunicate a SIET.
L' Organizzazione che desideri modificare le condizioni ( caratteristiche tecniche del prodotto/servizio, processo di produzione, mezzi di produzione e prova) che hanno portato al rilascio della certificazione deve farne richiesta a SIET, che provvede ad istruire una pratica per le azioni del caso, come indicato nel regolamento generale di certificazione [1].
6.3 Modifiche alle condizioni di certificazione
Le modifiche alle condizioni di certificazione possono riguardare:
• Modifiche delle norme di riferimento;
• Modifiche alle Condizioni Generali di Contratto;
• Modifiche al presente Regolamento di Certificazione;
• Modifiche al Tariffario.
Nel caso venissero apportate variazioni alle norme di riferimento (ad esempio nuova revisione), SIET ne darà comunicazione all’Organizzazione certificata, la quale ha la facoltà di adeguarsi alle nuove prescrizioni, entro il termine che Le verrà indicato, o di rinunciare alla certificazione. Nel caso di mantenimento della certificazione, SIET verificherà la conformità alle nuove prescrizioni. Le spese per le eventuali visite sono a carico dell’Organizzazione.
Nel caso vi siano modifiche alle Condizioni Generali di Contratto, queste saranno comunicate all’Organizzazione che ha facoltà di accettarle o rinunciare alla certificazione dandone comunicazione a SIET.
Nel caso venissero apportate variazioni alle prescrizioni contenute nel presente Regolamento, queste saranno comunicate all’Organizzazione che ha facoltà di accettarle o rinunciare alla certificazione dandone comunicazione a SIET.
Nel caso vi siano modifiche alle condizioni economiche relative alla certificazione, queste saranno comunicate all’Organizzazione che ha facoltà di accettarle o rinunciare alla certificazione dandone comunicazione a SIET.
6.4 Rinnovo della Certificazione
Nel contratto è specificata la durata dell’accordo, il contratto si intende tacitamente rinnovato alla scadenza se non perviene comunicazione contraria a mezzo di raccomandata r/r da una delle parti con almeno 90 giorni di preavviso rispetto al termine finale.
L'Organizzazione può chiedere la risoluzione del contratto quando ricorrano le condizioni previste nel presente Regolamento generale [1].
6.5 Modifiche al campo di applicazione della certificazione
L’Organizzazione certificata, ha facoltà di chiedere modifiche al campo di applicazione della certificazione.
Tali modifiche possono riguardare:
• modifiche della Ragione sociale;
• estensione a altre unità produttive;
• estensione ad altri prodotti e/o processi facenti riferimento allo stesso documento tecnico di riferimento.
Le modalità per richiedere la modifica del campo di applicazione sono le medesime indicate per la presentazione della richiesta di certificazione.
7 PUBBLICITÀ ED USO DEL MARCHIO DI CERTIFICAZIONE
In aggiunta alle regole generali già illustrate nel Regolamento generale di certificazione [1], si illustrano di seguito le regole di pubblicità e di utilizzo del logo.
L’utilizzo del logo non è soggetto a preventiva autorizzazione da parte di SIET; tuttavia il rispetto delle regole di cui al presente documento, nonché a quelle delle Condizioni Generali di Contratto è oggetto di verifica in occasione delle verifiche ispettive di sorveglianza e rinnovo.
Eventuali discordanze a tali regole possono comportare l’emissione di non conformità.
Il logo messo a disposizione dell’Organizzazione in possesso di certificazione di prodotto / servizio è il seguente.
TIPO | CONDIZIONI PER L’USO | LOGO |
Marchio SIET | Va utilizzato per le comunicazioni riguardanti la certificazione su etichette e/o imballi primari dei prodotti. E’ ammesso l’utilizzo anche su fatture, DDT, carta intestata, pubblicità, siti internet etc. L’Organizzazione è tenuta a provvedere di inserire negli appositi campi i riferimenti al documento normativo e al numero di certificato ottenuto. | |
SERVIZIO CERTIFICATO | ||
CERT. N.0000000000000 | ||
Marchio ACCREDIA | L’utilizzo del Marchio ACCREDIA è riservato alle Organizzazioni in possesso di certificazione di prodotto / processo / servizio / filiera in ambito volontario accreditato ACCREDIA ed è facoltativo. • E’ utilizzabile solo congiuntamente ad uno (o più) logo SIET sopra riportati (se relativi a certificazioni in ambito accreditato) e posto in posizione comunque adiacente a questi ultimi, come indicato di seguito. • Nel caso di certificazione di servizi, è consentita l’apposizione del Marchio ACCREDIA, abbinato a quello di SIET (o soluzione equivalente rappresentata dalla dicitura riportata di seguito) strumentali utilizzati per la fornitura del servizio, con l’aggiunta della dizione “servizio certificato”. • L’abbinamento del marchio ACCREDIA e del logo SIET o della dicitura equivalente su documenti tecnici, cataloghi e materiale pubblicitario deve essere posto esclusivamente in corrispondenza dei prodotti/servizi rientranti nello scopo di accreditamento. • Il Marchio ACCREDIA non deve essere utilizzato in modo da lasciar intendere che ACCREDIA abbia certificato o approvato la certificazione di prodotto / processo / servizio / filiera in ambito volontario di un’Organizzazione certificata da SIET, o in altra maniera comunque fuorviante. | |
POSIZIONE E DIMENSIONI MARCHIO ACCREDIA E LOGO SIET | ||
L’Organizzazione dichiara di avere attentamente letto e di approvare il presente "Regolamento di certificazione dei Conservatori a norma, secondo le disposizioni dell’agenzia per l’Italia digitale”.
Data:_____________________
__________________________________ Firma del legale rappresentante* e Timbro:
Ai sensi e per gli effetti delle norme di cui agli artt. 1341 e 1342 Cod. Civ. l’Organizzazione approva espressamente i xxx.xx n. 4.12 (Sorveglianza) e 5 (AZIONI SPECIFICHE IN CASO DI NON CONFORMITA’ RILEVATE) del presente Regolamento.
Data:_____________________
* Firma per esteso e leggibile
__________________________________ Firma del legale rappresentante* e Timbro: