Punto di Accesso
Nominativo | Funzione | Firma | |
Redatto da | M. Pitacco | Responsabile Tecnico | |
Verificato da | X. Xxxxxx | Direttore Generale | |
Approvato da | X. Xxxxxxxx | Amministratore Unico |
Punto di Accesso
Al Processo Civile Telematico Manuale Operativo
Codice documento: LEX-PCT-0002
STORIA DELLE MODIFICHE APPORTATE
Versione | Data | Descrizione Modifica |
1.0 | 09/01/2007 | Prima emissione |
1.1 | 17/12/2007 | Aggiornamento della carta intestata con dati Lextel Aggiornati |
Indice generale
Introduzione al documento 5
Responsabile del Manuale Operativo 6
Termini e definizioni 7
Premessa 10
Caratteristiche del servizio 12
Soggetto fornitore 12
Oggetto del servizio 12
Fase di Deposito degli Atti 13
Fase di Consultazione dei dati dei Procedimenti 13
Soggetti destinatari del servizio 14
Obblighi e Responsabilità 15
Obblighi del fornitore del servizio tecnico per il Punto d'accesso 15
Obblighi degli Utenti 15
Responsabilità e Limitazioni 16
Clausola risolutiva espressa 17
Informativa Decreto Lgs. n. 196/03 17
Tariffe e condizioni 18
Tariffe 18
Condizioni Generali del contratto relativo al servizio di Punto di Accesso 18
Oggetto del servizio 18
Pagamento del servizio 18
Conclusione del contratto 19
Tempistica 19
Durata del servizio offerto 19
Modificazioni in corso di erogazione 19
Comunicazioni 20
Modalità di autenticazione, registrazione e gestione degli eventi: procedure operative 21
Disponibilità e richiesta del certificato digitale di autenticazione 21
Disponibilità e richiesta del certificato di Firma digitale 21
Accoglienza e registrazione iniziale dell’utente 21
Richiesta di consultazione: riconoscimento dell’utente e accesso al servizio 22
Deposito di un atto 23
Sospensione del servizio per certificato di autenticazione irregolare 24
Registrazione delle transazioni 25
Politiche e procedure di sicurezza 26
Gestione delle operazioni 26
Dati archiviati 26
Procedure di salvataggio dei dati 26
Procedure di Gestione dei Disastri 27
ALLEGATO A 28
Certification Authorities riconosciute 28
Il presente manuale ha lo scopo di descrivere le procedure operative, gli obblighi, le garanzie, le responsabilità e le misure di sicurezza adottate da Lextel S.p.A per l’erogazione del servizio denominato “PUNTO DI ACCESSO AL PROCESSO CIVILE TELEMATICO”.
Le indicazioni di questo documento hanno validità per le attività di Lextel S.p.A. nel ruolo di Gestore del Punto di Accesso, e per i soggetti utilizzatori del servizio.
Il Gestore del Punto di Accesso si riserva di apportare variazioni al presente documento per esigenze tecniche o per modifiche alle procedure intervenute sia a causa di norme di legge o regolamenti, sia per ottimizzazioni del ciclo lavorativo.
Ogni nuova versione del manuale annulla e sostituisce le precedenti versioni.
Il presente documento è denominato “Punto di Accesso al Processo Civile Telematico - Manuale Operativo” ed è caratterizzato dal codice documento: LEX-PCT-0002.
La versione e la data di emissione sono identificabili in calce ad ogni pagina.
Il manuale è pubblicato in formato elettronico sul sito liberamente accessibile del Punto di Accesso, all’indirizzo xxxx://xxx.xxxxxxxxxxxxxxxx.xx
Responsabile del Manuale Operativo
Lextel S.p.A. è responsabile della definizione, pubblicazione ed aggiornamento di questo documento. La persona da contattare per questioni riguardanti questo documento e il servizio in esso descritto è:
Lextel S.p.A.
Responsabile Divisione Tecnica Xxx Xxxxxxx Xxxxxx, 000 00000 - Xxxx
Telefono: x00 00 0000000
Fax : x00 00 00000000
(lunedì – venerdì ore 9-18,30)
Web: xxxx://xxx.xxxxxxxxxxxxxxxx.xx
e-mail: xxxxxxxxxxxx@xxxxxxxxxxxxxxxx.xx
Gestore del Punto di Accesso | E’ l’ente che fornisce l’operatività Punto di accesso nella sua completezza, ovvero tramite software, hardware e middleware. |
Polisweb | PolisWeb è il sottosistema costituito dall'applicazione per la consultazione Web delle informazioni contenute nei registri dei procedimenti (presenti in SICC), e/o nei documenti afferenti ad un procedimento, in ambiente repository documentale. |
PCT | Processo Civile Telematico. |
Cifratura | La trascrizione di una evidenza informatica secondo un codice riservato che la renda inintelligibile ai terzi. Le operazioni di cifratura e decifrazione si effettuano applicando algoritmi standard che prevedono l’utilizzo di chiavi segrete. |
Certificatore Accreditato | È tale, ai sensi dell’art.2, comma 1, lettera c) del DL 10/02, il certificatore accreditato in Italia ovvero in altri Stati membri dell’Unione Europea ai sensi dell’art. 3, paragrafo 2, della direttiva 1999/93/CE nonché ai sensi del TUDA, che emette, pubblica nel registro e revoca Certificati Qualificati operando in conformità alle regole tecniche e secondo quanto prescritto dal TUDA (art. 1, lett. u e z). |
Client | È l’applicativo software, in particolare un browser Web, utilizzato dall’utente che si connette ad un sito di un Web server certificato, con cui vuole instaurare una comunicazione sicura e protetta. |
DN – Distinguished Name | Identificativo del Titolare di un certificato di chiave pubblica; tale codice è unico nell’ambito degli utenti del Certificatore. |
Elenco pubblico dei Certificatori Accreditati | L’elenco pubblico tenuto dal Centro nazionale per l’informatica nella pubblica amministrazione, ai sensi del decreto del Ministro Stanca del 2 luglio 2004. |
Firma Digitale | Un particolare tipo di firma elettronica basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici. |
Certificato Digitale di Autenticazione | E’ l'elemento di rilievo del sistema autenticazione è rilasciato da una Certification Authority al titolare di una smart card. Il certificato di autenticazione è un file rilasciato dall'Ente Certificatore che permette di firmare la propria posta elettronica ovvero di autenticarsi ai siti web in modalità sicura. Attraverso detto certificato diventa possibile, attraverso un complesso codice di crittografia, garantite transazioni sicure sul Web tra Client e Server. |
Lista dei Certificati Revocati e Sospesi o Lista di Revoca/Sospensione - (Certificate Revocation/Suspensi | La lista firmata digitalmente, tenuta e aggiornata dal certificatore, dei certificati che hanno perduto temporaneamente (sospesi) o definitivamente (revocati) la propria validità, in anticipo rispetto alla scadenza prevista. La revoca e la sospensione, che possono essere richieste dai titolari dei certificati, dal Certificatore o da terzi interessati, o disposte su iniziativa del Certificatore, determinano l’inserimento del certificato nella lista dei certificati |
on List o CRL/CSL) | revocati e sospesi. La lista è resa pubblica tramite il Registro dei Certificati del Certificatore. I motivi che possono portare alla revoca o sospensione di un certificato e le modalità di revoca e sospensione sono riportati nei rispettivi Manuali dei Certificatori. |
Marca temporale [digital time stamping] | Il risultato della procedura informatica, con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi. |
Registrazione di un utente, un sottoscrittore, un titolare | La procedura che precede il rilascio di un certificato da parte del Certificatore e che prevede l’acquisizione dei dati identificativi del titolare. |
Registration Authority Officer | Xxxxxxxx incaricato a verificare l’identità e, se applicabile, ogni specifico attributo di un Titolare, nonché ad attivare la procedura di certificazione per conto del Certificatore. |
Revoca di un Certificato | L’operazione mediante la quale il Certificatore annulla in maniera irreversibile, su iniziativa propria o del titolare o di terze parti interessate, la validità del certificato da un dato momento in poi (art. 22, lett. l del DPCM 2004). |
Dispositivo sicuro di firma | Il dispositivo sicuro di firma utilizzato dal Titolare è costituito da una carta di plastica delle dimensioni di una carta di credito in cui è inserito un microprocessore. Il microchip è programmabile, può contenere dati e applicativi e interagire con altre apparecchiature elettroniche e computer tramite un apposito lettore E’ chiamato anche carta a microprocessore o smart card. Rispetta i requisiti di sicurezza richiesti dalla normativa vigente. |
Sospensione di un certificato | L’operazione con cui il Certificatore sospende la validità del certificato per un determinato periodo di tempo (art. 22, lett. m del DPCM 2004). |
Titolare | La persona fisica cui é attribuita la firma elettronica e che ha accesso al dispositivo per la creazione della firma elettronica (art. 1 lett. ff) del TUDA). Detiene una chiave privata per l’apposizione di firme digitali ed è intestataria del certificato che attesta il valore della chiave pubblica ad essa relativa. Il titolare può utilizzare la chiave privata e il certificato per apporre firme digitali come privato, o in base al proprio ruolo all’interno di un’organizzazione pubblica o privata, ovvero in base a poteri di rappresentanza o titoli e abilitazioni professionali. |
SSL | Acronimo di Secure Sockets Layer, è il protocollo che consente di stabilire una comunicazione autenticata e riservata tra le parti comunicanti, client e server. |
Utente | È il soggetto che instaura, generalmente tramite un browser o server Web, una comunicazione SSL con il Web server certificato. |
Web server | È il software che consente di distribuire informazioni su Internet e riceve richieste da parte di un browser Web restituendo i dati richiesti. |
DNS - Domain Name System | Sistema di gestione dei nomi simbolici associati ad indirizzi di siti e domini Internet. Quando un messaggio di posta elettronica (e-mail), o un applicativo di consultazione di siti Internet (browser) punta ad un dominio, il DNS traduce il nome inserito sotto forma di URL (es. xxxx://xxx.xxxxxxxxxxxxxxxx.xx)/ in un indirizzo costituito da una sequenza numerica convenzionale (es. 123.123.23.3). Con il termine DNS si intendono, per estensione, anche le sequenze numeriche convenzionali che identificano i domini. |
PIN - Personal Identification Number | Codice di sicurezza riservato che permette l’attivazione delle funzioni del dispositivo di firma. |
URL - Uniform Resource Locator | Sistema standard di nomenclatura specificante un sito, dominio o altro oggetto (file, gruppo di discussione, ecc.) su Internet. La prima parte dell’URL (http:, ftp:, file:, telnet:, news:) specifica le modalità di accesso (protocollo) all’oggetto. |
SMTP | Simple Mail Transfer Protocol è il protocollo standard per la trasmissione via internet di e-mail. È un protocollo nel quale vengono specificati uno o più destinatari di un messaggio, verificata la loro esistenza, e infine il messaggio viene trasferito. L'SMTP usa il protocollo di trasmissione TCP e, per accedervi, la porta 25. Per associare il server SMTP a un dato nome di dominio si usa un record denominato MX (Mail Exchange). L'SMTP è un protocollo che permette soltanto di inviare messaggi di posta, ma non di richiederli ad un server. |
Si intende per Processo Civile Telematico l’insieme delle attività necessarie a permettere ad un Avvocato di depositare gli atti in formato digitale presso un Ufficio Giudiziario utilizzando il canale telematico ed a ricevere l’attestazione di avvenuta ricezione e protocollazione, vale a dire, il Biglietto di Cancelleria. Ulteriore attività prevista nel Processo Civile Telematico è la consultazione delle informazioni dei procedimenti in cui lo stesso Avvocato risulta costituito come parte.
Gli attori del PCT sono:
▪ Avvocato;
▪ Punto di Accesso;
▪ Gestore Centrale;
▪ Gestore Locale.
Avvocato
E’ l’utente finale del tutto il sistema. E’ l’avvocato che si costituisce come parte in un procedimento.
Punto di Accesso
Il Punto di Accesso è il sistema, attestato e certificato presso il Ministero della Giustizia che gestisce i flussi di informazioni da e verso l’Avvocato. Il presente Manuale Operativo descrive appunto l’insieme di tutte le funzionalità disposte dal Punto di Accesso per il corretto svolgimento del PCT.
Gestore Centrale
Il Gestore Centrale è il sistema con il quale il Punto di Accesso stabilisce il contatto ai fini del PCT. Il Gestore Centrale si preoccupa di ricevere tutti i flussi di informazioni provenienti da un Avvocato destinate ad un determinato Ufficio Giudiziario e preoccuparsi di recapitarle nella giusta forma. Si occupa altresì di recapitare le informazioni di ritorno (da Xxxxxxx Xxxxxxxxxxx ad Avvocato).
Gestore Locale
Il Gestore Locale è parte dell sistema informatico presso un Ufficio Giudiziario. Il Gestore Locale fornisce i servizi di accesso al singolo Ufficio Giudiziario ed i servizi di trasmissione informatica dei documenti con il Gestore Centrale.
Volendo schematizzare la fase di deposito di un atto e la fase di ricezione del biglietto di cancelleria, il tutto si riassume nelle figure che seguono:
Avvocato Punto di
Deposito di un Atto
Accesso
Gestore Centrale
Gestore Locale
Avvocato Punto di
Ricezione del Biglietto di Cancelleria
Accesso
Gestore Centrale
Gestore Locale
Non costituiscono oggetto del presente manuale operativo e pertanto dei servizi prestati dal Punto di Accesso tutte quelle operazioni necessarie a digitalizzare ed a firmare digitalmente l’atto da depositare ed i relativi allegati.
Il servizio di Punto di Accesso viene fornito da Lextel S.p.A. secondo le procedure e le condizioni stabilite nel presente Manuale Operativo.
I dati del fornitore sono riportati nella seguente tabella:
Denominazione Sociale | Lextel S.p.A. – Servizi Telematici per l’Avvocatura |
Sede legale | Via Xxxxxxx Xxxxxx, 400 – 00000 Xxxx |
Rappresentante legale | Xxxx. Xxxxxxxxxxx Xxxxxxxx In qualità di Amministratore Unico |
N° telefono | 00-0000000 |
N° fax | 00-00000000 |
N° Iscrizione Registro Imprese | 05338771008 |
N° partita IVA | 05338771008 |
Sito web | |
Xxxx Xxxxxxxxx | Xxx Xxxxxxx Xxxxxx, 000 – 00000 Xxxx |
Per questioni riguardanti il servizio contattare è possibile contattare il call center al numero x00 00 0000000.
Oggetto del servizio è la gestione tecnica degli strumenti hardware e software, delle interfacce e dei protocolli necessari affinché un utente possa usufruire dei servizi offerti da un Punto di Accesso Lextel per il Processo Civile Telematico.
Ai fini del PCT occorre distinguere due distinte fasi di accesso al sistema:
▪ Per il deposito degli atti;
▪ Per la consultazione dei dati riguardanti i procedimenti.
Per usufruire di questi servizi è necessario instaurare una comunicazione sicura tra il Web Server del PdA ed il client basandosi sul protocollo SSL e garantendo al client l’identità del server comunicante, ovvero del dominio a cui ci si connette, e quindi la riservatezza dei dati trasmessi.
In tal modo l’utente che si connette, tramite un browser Web (client), al Punto di Accesso avrà la certezza dell’identità della parte comunicante, della riservatezza delle transazioni e dell’integrità dei dati.
Un ulteriore servizio offerto dal PdA è legato alla fornitura di una casella di posta elettronica certificata esclusiva per il Processo Civile Telematico che il PdA rilascia all’avvocato e che permetterà a quest’ultimo di poter ricevere gli avvisi di cancelleria e/o inviare e ricevere le notifiche da e verso altri difensori coinvolti nel processo.
La casella di posta elettronica certificata è attestata presso il PdA e ciò significa che l’utilizzo di questa sarà possibile solo attraverso puntuali funzioni applicative predisposte dal PdA stesso.
La fase di deposito degli atti consiste in un flusso di informazioni attivato dall’Avvocato per tramite il Punto di Accesso, avente come destinatario un Ufficio Giudiziario ed in un flusso di informazioni di risposta che segnala l’esito del tentativo di deposito.
Un passaggio intermedio tra lo scambio dei flussi è costituito dall’invio da parte del Gestore Centrale di un messaggio di risposta destinato all’avvocato che attesta in maniera univoca la data e l’ora in cui è stato eseguito il deposito.
Lo scambio dei flussi avviene tramite messaggi basati su protocollo SMTP tra il PdA ed il Gestore Centrale.
Attraverso la stessa tecnica vengono scambiate tra il Gestore Centrale ed il PdA le eventuali “Notifiche Eccezioni".
Inoltre è necessario che l’utente finale (Avvocato), che accede alla fase di deposito degli atti, sia opportunamente dotato di una Casella di Posta Elettronica Certificata ad uso esclusivo del Processo Civile Telematico. Tale casella di posta viene rilasciata dal Punto di Accesso e può essere utilizzata esclusivamente per l’invio dell’atto (atto ed eventuali allegati) e per la ricezione dei cosiddetti Biglietti di Cancelleria i quali attestano l’avvenuta ricezione dei documenti da parte della Cancelleria del Tribunale destinatario.
Fase di Consultazione dei dati dei Procedimenti
La fase di consultazione dei dati relativi ai procedimenti consiste nell’accesso al cosiddetto sistema Polisweb il quale mette a disposizione opportune interfacce di semplice utilizzo per il reperimento di informazioni.
L’accesso è consentito solo a dati di procedimenti in cui l’avvocato è costituito come parte. L’accesso è consentito solo se in possesso di certificato digitale di autenticazione valido.
Soggetti destinatari del servizio
Il servizio di accesso è indirizzato solo a professionisti regolarmente abilitati alla pratica forense. Per la consultazione dei dati si avrà la necessità di essere costituiti come parte in almeno un procedimento civile presso l’Ufficio Giudiziario ai cui dati si intende accedere.
Lextel effettuerà al riguardo le opportune verifiche in fase di richiesta del servizio e potrà negare l’accesso al servizio in caso di falsità, incongruenze e difformità delle informazioni fornite dall’utente al momento della richiesta del servizio.
Obblighi e Responsabilità Obblighi del fornitore del servizio tecnico per il Punto d'accesso Il fornitore del servizio tecnico per il Punto d'accesso è tenuto a:
1. garantire l'identificazione certa della persona che fa richiesta del servizio, inizialmente e ad ogni accesso, tramite certificato digitale di autenticazione;
2. garantire la verifica dei titoli dell'utente ad accedere al servizio attraverso un contatto con l'ordine territoriale competente;
3. garantire la verifica della validità del certificato di autenticazione attraverso la consultazione, ad ogni richiesta di sessione, presso l'Ente Emettitore;
4. garantire l'estrazione del codice fiscale dell'utente dal certificato di autenticazione per l'effettuazione di controlli e per consentire l’accesso in consultazione dei dati;
5. avvalersi di mezzi tecnici idonei a consentire la corretta, completa ed aggiornata consultazione di detto registro;
6. verificare e utilizzare i certificati e le relative informazioni solo per le finalità in relazione alle quali i certificati sono rilasciati e a quelle di fornitura del servizio;
7. garantire la protezione accurata della propria chiave privata mediante dispositivi hardware e software adeguati a garantire i necessari criteri di sicurezza;
8. garantire l’accesso alla consultazione dei dati secondo le regole tecniche stabilite dal Ministero della Giustizia;
9. garantire l'adeguamento del proprio sistema di sicurezza dei dati alle misure minime di sicurezza per il trattamento dei dati personali, Decreto Legislativo 30 giugno 2003, n.196;
10. garantire il rilascio di una casella di posta Elettronica Certificata sul dominio xxxxxxxxxxxxxxxx.xx;
11. garantire la registrazione su appositi Log di sistema di tutte le “transazioni” di deposito degli atti;
12. garantire il rilascio dei biglietti cancelleria al mittente del singolo atto.
L’utente fruitore del servizio Punto d'accesso è tenuto a:
• garantire la correttezza, la completezza e l'attualità delle informazioni fornite al gestore tecnico del Punto d'accesso in merito al proprio diritto all'accesso;
• comunicare tempestivamente entro un massimo di una giornata lavorativa eventuali variazioni
delle condizioni e dei dati sopra forniti;
• disporre di un certificato di firma digitale rilasciato da certificatore qualificato a bordo di smart card;
• disporre di una chiave privata (legata al certificato digitale di autenticazione) rilasciata da
certificatore qualificato consistente in un certificato digitale di autenticazione su smartcard;
• non consentire a terzi l'accesso ai dati attraverso il proprio certificato digitale di autenticazione;
• proteggere e conservare il proprio certificato digitale di autenticazione ed i supporti con la massima accuratezza al fine di garantirne l’integrità e la riservatezza;
• proteggere e conservare il codice di attivazione (PIN) utilizzato per l’abilitazione delle funzionalità del proprio certificato digitale di autenticazione, in luogo sicuro e diverso da quello in cui è custodito il dispositivo stesso;
• Richiedere immediata revoca del certificato di autenticazione in caso di furto o smarrimento del dispositivo (smart card) o possibile compromissione delle segretezza della chiave privata;
• adottare ogni altra misura atta ad impedire la perdita, la compromissione o l'utilizzo improprio il
proprio certificato digitale di autenticazione;
• adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri;
• consultare preventivamente il presente Manuale Operativo e conoscerne i contenuti;
• informare il Gestore del Punto di Accesso delle variazioni dei propri recapiti e degli altri dati necessari per la prestazione del servizio.
Il fornitore del servizio tecnico per il Punto d'accesso in nessun caso risponderà:
1. dell'impossibilità per l'utente di accedere al servizio a causa della non disponibilità di un certificato di autenticazione regolare, non revocato e non sospeso;
2. dell'impossibilità per l'utente di accedere al servizio a causa del mancato aggiornamento della base dati gestita dal Gestore Centrale e/o Gestore Locale o di quella dell'albo dell'Ordine di appartenenza;
3. dell'impossibilità per l'utente di accedere al servizio a causa del mancato inserimento del suo codice fiscale nel fascicolo al momento del deposito, o per un'errata trascrizione di questo;
4. di eventi ad esso non imputabili e di danni da chiunque subiti causati direttamente o indirettamente dal mancato rispetto da parte degli utenti delle regole indicate nel presente documento ovvero dalla mancata assunzione da parte di detti soggetti delle misure di speciale diligenza idonee ad evitare il causare di danni a terzi che si richiedono al fruitore dei servizi d'accesso al servizio, ovvero dallo svolgimento di attività illecite;
5. di qualsiasi inadempimento o comunque di qualsiasi evento dannoso derivanti da atti della Pubblica Autorità, caso fortuito, forza maggiore ovvero da altra causa non imputabile al fornitore del servizio (quali, in via puramente esemplificativa e non esaustiva, mancato o erroneo funzionamento di reti, apparecchiature o strumenti di carattere tecnico al di fuori della sfera di controllo del fornitore del servizio, interruzioni nella fornitura di energia elettrica, terremoti, esplosioni, incendi);
6. dei collegamenti esterni all’applicativo denominato Punto di Accesso;
7. delle informazioni e dei dati informatici contenuti nel sistema informatico remoto, del corretto funzionamento e sulla sicurezza dei macchinari hardware e dei software utilizzati dall’applicativo stesso, del regolare e continuativo funzionamento di linee elettriche e telefoniche nazionali e/o internazionali, di disservizi e/o ritardi dovuti a malfunzionamento o blocco del sistema informativo;
8. Xxxxxx non assume altri obblighi ulteriori rispetto a quelli previsti dalle presenti condizioni generali di contratto e dal presente Manuale Operativo;
9. In particolare, il Gestore del Punto di Accesso non presta alcuna garanzia per danni di qualsiasi natura, diretti od indiretti, derivanti da cause non imputabili a Lextel stessa, se non nei casi di proprio dolo o colpa grave.
Il fornitore del servizio ha facoltà di risolvere il rapporto contrattuale, ai sensi dell’articolo 1456 del codice civile, qualora l'utente sia venuto meno ai propri obblighi espressi nel paragrafo 5.2 ai punti 1, 2, 3, 4 e 5.
Informativa Decreto Lgs. n. 196/03
Lextel S.p.A., titolare del trattamento dei dati forniti dall’Utente mediante la compilazione della Richiesta di cui al punto 6.2 del presente Manuale Operativo, informa lo stesso, ai sensi e per gli effetti di cui all’art. 13 del Decreto Legislativo 30.06.2003, n. 196, che i predetti dati personali saranno trattati, con l’ausilio di archivi cartacei e di strumenti informatici e telematici idonei a garantire la massima sicurezza e riservatezza.
Per “dati forniti” si intendono quelli forniti dall’Utente sulla Richiesta sopra citata.
Il conferimento dei dati indicati nella richiesta è obbligatorio da parte dell’utente ai fini dello svolgimento del servizio e della conclusione del contratto, ed un’eventuale rifiuto o un conferimento parziale comporterà l’impossibilità di concludere il contratto.
I dati forniti verranno trattati al fine di fornire il Servizio previsto nel presente contratto e potranno essere comunicati alle società che forniscono consulenza ed assistenza tecnica al Gestore del Punto di Accesso.
In particolare, Lextel S.p.A. si riserva, su richiesta espressa da parte di terzi aventi causa, di comunicare la documentazione fornita dall’Utente al momento della richiesta di adesione al servizio.
Previo consenso espresso dell’Utente, i dati forniti potranno essere comunicati ad altri soggetti che offrono beni o servizi con i quali Lextel S.p.A. abbia stipulato accordi commerciali, utilizzati per lo svolgimento di ricerche di mercato, per proposte commerciali su prodotti e servizi di Lextel e/o di terzi, per l’invio di materiale pubblicitario e per altre comunicazioni commerciali.
L’Utente può esercitare in qualunque momento i diritti di cui all’art. 7 del Decreto Legislativo 30.06.2003, n. 196 contattando Lextel S.p.A. agli indirizzi indicati al precedente paragrafo 4.1.
La tariffa per la fruizione del servizio offerto dal Punto di Accesso consiste in un canone annuo reso pubblico sul sito xxx.xxxxxxxxxxxxxxxx.xx.
Per ottenere informazioni al riguardo si prega di contattare i riferimenti riportati al paragrafo 4.
Condizioni Generali del contratto relativo al servizio di Punto di Accesso
La presente sezione disciplina e regola il rapporto contrattuale intercorrente tra Lextel S.p.A. ed l’utente del Punto di Accesso, nonché gli obblighi e le modalità di utilizzazione.
La fornitura del servizio di Punto di Accesso da parte di Lextel S.p.A. all’utente è regolata e disciplinata esclusivamente dal presente Manuale Operativo e dalle norme di legge vigenti.
L’utente, prima dell’adesione al servizio, è tenuto a leggere attentamente ed approvare le previsioni del Manuale Operativo.
Oggetto del contratto è la prestazione da parte di Lextel del servizio di gestione tecnica di Punto di Accesso. Al fine di detto servizio, Lextel provvede alla effettuazione delle verifiche e dei controlli stabiliti dal presente Manuale Operativo ed, in caso di esito positivo degli stessi, all’erogazione in favore dell’Utente dell’intero pacchetto di funzionalità.
Il pagamento prevede un canone annuale che permette all’utente di usufruire del servizio per un periodo di 12 mesi esatti, scaduti i quali il servizio viene interrotto qualora non si rinnovi il pagamento della quota per ulteriori 12 mesi.
Il contratto si considera perfezionato nel momento in cui Xxxxxx riceve la richiesta di adesione al servizio confezionabile per mezzo di apposito form reperibile sul sito xxx.xxxxxxxxxxxxxxxx.xx secondo le modalità previste dal presente Manuale Operativo. Lextel S.p.A. non accetterà richieste inviate con modalità diverse da quelle indicate. In caso di informazioni incomplete o inesatte Xxxxxx S.p.A. contatterà il richiedente esponendo il problema riscontrato.
In presenza dei corretti requisiti di accesso ai servizi, ed una volta verificato il pagamento, Lextel
S.p.A. consentirà al richiedente di usufruire del servizio entro un tempo minimo necessario per l'espletamento degli aspetti burocratici connessi.
Il servizio offerto non ha scadenza, salvo il venir meno delle condizioni richieste all'utente (possesso di certificato di autenticazione e presenza nell'albo dell'ordine di appartenenza).
L’unico altro vincolo stabilito dal presente Manuale Operativo è la regolarità del pagamento del canone annuale di adesione.
Qualora per un periodo di tempo indeterminato non venisse riconosciuto dall’Utente il canone di abbonamento, il servizio sarebbe interrotto ma al successivo pagamento il servizio verrebbe regolarmente ripristinato.
Modificazioni in corso di erogazione
Il gestore del servizio Punto di Accesso si riserva il diritto di effettuare modifiche al servizio, a condizioni contrattuali, prezzi, tariffe, alle specifiche tecniche del Servizio (per sopravvenute esigenze tecniche, legislative e gestionali) ed alle previsioni del Manuale Operativo, che saranno efficaci nei confronti dell’Utente dopo 30 giorni dalla comunicazione presso il recapito dell’utente stesso.
L’utente che non accetti le modifiche potrà, nei 30 giorni successivi alla data in cui esse sono state portate a sua conoscenza, recedere dal contratto con effetto immediato.
Dalla data del recesso l’Utente è obbligato a non utilizzare il servizio.
Ogni comunicazione scritta dovrà essere inviata al Contatto per gli utenti finali del Punto di Accesso. L’indirizzo e-mail indicato dal Richiedente ai sensi del presente Manuale Operativo dovrà intendersi come suo indirizzo elettronico ai sensi dell’art. 14, 1° comma del T.U., e tutte le comunicazioni saranno a lui validamente inviate presso lo stesso.
Modalità di autenticazione, registrazione e gestione degli eventi: procedure operative
La procedura per la fruizione dei servizi del Punto di Accesso si compone delle seguenti fasi:
Disponibilità e richiesta del certificato digitale di autenticazione
Disponibilità e richiesta del certificato di Firma digitale
Accoglienza e registrazione iniziale dell’utente
Il soggetto richiedente il servizio dovrà stabilire una connessione con il Web Server del Punto di Accesso all'indirizzo: xxxx://xxx.xxxxxxxxxxxxxxxx.xx.
Nel momento in cui si collega viene richiesto l'inserimento della smartcard con il certificato di autenticazione. Da questo viene estratto il codice fiscale dell'utente.
Al primo collegamento saranno richiesti i dati identificativi del soggetto per verificarne l’appartenenza all’albo professionale e quelli indispensabili per la formalizzazione del contratto e l’emissione del documento contabile rilasciato per il pagamento della quota di adesione al servizio. Qui sarà possibile indicare partita IVA o codice fiscale alternativi a quello del utente qualora l'intestatario della fattura sia diverso dall'utente che accede.
Del certificato digitale di autenticazione sarà quindi verificata la validità nella Lista dei Certificati Revocati e Sospesi del certificatore accreditato emittente.
Al momento della registrazione al soggetto verranno richieste le seguenti informazioni:
• Cognome e Nome;
• Data di Xxxxxxx e Luogo di Nascita;
• Codice Fiscale;
• Indirizzo di Residenza;
• Indirizzo di Domicilio;
• Certificato digitale, relativo alla chiave pubblica, per la cifratura;
• Consiglio dell’Ordine di Appartenenza.
Richiesta di consultazione: riconoscimento dell’utente e accesso al servizio
▪ un utente Avvocato richiede di accedere ai servizi web forniti dal Punto di Accesso collegandosi a xxxx://xxx.xxxxxxxxxxxxxxxx.xx.
▪ il punto di accesso presenta il proprio certificato digitale per poter essere correttamente riconosciuto ed assicurare integrità e non ripudio dei dati;
▪ per l'accesso all'Area Servizi del Punto di Accesso all'Avvocato viene richiesto il Certificato di Autenticazione;
▪ l'Avvocato, utilizzando la propria Smart-card, fornisce al Punto di Accesso il proprio certificato di autenticazione;
▪ il Punto di Accesso verifica le informazioni di autenticazione fornite dall'utente Avvocato. La Verifica Utente accerta l'utente come appartenente agli utenti del Punto di Accesso (quindi dell’Ordine Professionale) e successivamente controlla la validità del Certificato di Autenticazione letto nella Lista dei Certificati Revocati e Sospesi del certificatore accreditato emittente;
▪ l'utente Avvocato, a seguito della corretta autenticazione, viene fatto accedere all'area di consultazione/gestione dei servizi del Punto di Accesso;
▪ Dall'area dei servizi del Punto di Accesso l'Avvocato può richiedere l'accesso alle funzioni di consultazione di PolisWeb, installato presso il Punto di Accesso;
▪ Il Punto di Accesso, a seguito della richiesta dell'Avvocato di accedere alle funzioni di consultazione di PolisWeb, si interfaccia con il Gestore Centrale attraverso un canale protetto SSL per la richiesta di attivazione della sessione utente;
▪ PolisWeb abilita la nuova sessione utente per l'accesso all'area riservata, attraverso le informazioni fornite dal Punto di Accesso;
▪ PolisWeb a seguito dell'attivazione della sessione utente, fornisce e permette al Punto di Accesso di presentare all'utente Avvocato la funzione di consultazione di default dell'area privata di PolisWeb;
▪ La smart-card deve restare inserita per tutta la durata della consultazione e viene verificata ad ogni nuova richiesta nel corso della sessione. Qualora la smart card venisse disinserita l'applicazione ne richiederà nuovamente l'inserimento ed in caso negativo la consultazione non potrà proseguire, in quanto la comunicazione viene crittografata utilizzando la chiave della smartcard;
▪ Al termine della sessione l'utente si disconnette e l'applicazione provvede a terminare la sessione con PolisWeb;
Di seguito viene riportato il diagramma di sequenza della fase di autenticazione:
Il deposito di un atto consiste in flussi (XML) scambiati attraverso messaggi di posta su protocollo SMTP.
I terminali della comunicazione sono l’avvocato da un lato e la Cancelleria dell’Ufficio Giudiziario di competenza dall’altro. Nello scambio del flusso di dati, per verificare la correttezza delle comunicazioni, sono coinvolti: il Punto di Accesso, Il Gestore Centrale ed il Gestore Locale.
Trattandosi di messaggi di Posta Elettronica, le iterazioni tra gli attori del processo civile telematico, avvengono attraverso il protocollo SMTP.
▪ un utente Avvocato procede autonomamente alla preparazione del file contenente l’atto ed eventuali allegati attraverso strumenti che non costituiscono oggetto della fornitura dei servizi del Punto di Accesso;
▪ l’utente procede autonomamente all’apposizione della propria Firma Digitale sul file di cui al punto precedente;
▪ l’utente, previa autenticazione eseguita al Punto di Accesso (xxxx://xxx.xxxxxxxxxxxxxxxx.xx), richiede di eseguire il deposito di un atto.
▪ il Punto di Accesso presenta all’utente la possibilità di eseguire l’upload del file firmato digitalmente che contiene l’atto e gli allegati;
▪ l’avvocato esegue quindi l’upload del file sul Punto di Accesso;
▪ il Punto di Accesso prende in carico il file comunicando all’utente l’esito del controllo formale eseguito su di esso;
▪ il Punto di Accesso provvede ad “imbustare” il file in un messaggio standard SMTP ed in via il messaggio all’indirizzo noto del Gestore Centrale;
▪ il Gestore Centrale provvede a controllare che la provenienza della busta sia da un Punto di Accesso certificato e successivamente provvede a controllare formalmente il contenuto del file. Il Gestore Centrale non entra mai nel merito del contenuto del file.
▪ validati busta e contenuto, il Gestore Centrale provvede ad inviare al Punto di Accesso un attestazione temporale che specifica che l’atto è stato preso in carico dallo stesso Gestore Centrale definendo in che data ed a che ora ciò è avvenuto;
▪ il Gestore Centrale quindi provvede ad inoltrare l’atto al Gestore Locale o Ufficio Giudiziario;
▪ il Gestore Locale riceve l’atto;
▪ il Gestore Locale esegue il controllo dell’atto e dei documenti allegati e quindi invia il l’esito al Gestore Centrale che a sua volta lo girerà al Punto di Accesso;
▪ il Punto di Accesso lo renderà quindi disponibile all’Avvocato per mezzo della posta elettronica certificata.
Di seguito il diagramma di sequenza della fase di deposito:
A v v o c a t o
P d A
G e s t o r e C e n t r a l e
U f f i c i o G i u d i z i a r i o
I n o l t r o A t t o
C o I m
n t r
b u s
m a l e
I n o l t r o A t t o
C o m u n i c a z i o n e E s i t o
o l l o F o r m
t a m e n t o
a l e e
A t t o
r o l l o F o r
o n t
I n o l t r o A t t o
C
A t t e s t a z i o n e T e m p o r a l e
C o m u n i c a z i o n e E s i t o
C o m u n i c a z i o n e E s i t o
Sospensione del servizio per certificato di autenticazione irregolare
Nel caso in cui il certificato di autenticazione risulti irregolare (scaduto, sospeso o revocato) l'accesso al servizio sarà momentaneamente inibito e il problema segnalato all'utente con un messaggio
d'errore. L'inibizione al servizio permarrà sino alla presentazione di un certificato regolare. L’utente verrà invitato a prendere contatto con l’Ente Certificatore emittente il proprio certificato.
Registrazione delle transazioni
Tutte le transazioni tra l'utente e il punto d'accesso sono registrate e tra il punto di accesso ed il gestore centrale, come pure tutte le operazioni di deposito degli atti e tutte le richieste di consultazione a PolisWeb in archivi sicuri e riservati. Le registrazioni sono conservate per il periodo determinato da norme e leggi applicabili. Viene effettuata la registrazione di identificativo utente, operazione, data e ora.
Politiche e procedure di sicurezza
Il sistema di sicurezza implementato sul PdA è articolato su tre livelli:
• un livello fisico che mira a garantire la sicurezza degli ambienti in cui il fornitore del servizio tecnico gestisce il servizio;
• un livello organizzativo-procedurale;
• un livello logico, tramite la predisposizione di misure tecnologiche hardware e software che affrontano i problemi e i rischi connessi con la tipologia del servizio e con l’infrastruttura utilizzata;
Sono predisposte procedure di gestione e sistemi automatici per la registrazione (log) delle operazioni effettuate dal server e delle richieste di accesso, con registrazione del richiedente, dell'operazione richiesta, di data e ora.
Negli archivi gestiti dal gestore tecnico del servizio di accesso a al PCT sono conservati e mantenuti i seguenti dati:
▪ dati di registrazione degli utenti;
▪ associazione tra identificativo dell'utente e certificato di autorizzazione di cui è questi Titolare;
▪ dati di sessione al sistema e ai servizi e altri dati necessari a tracciare le operazioni rilevanti ai fini della sicurezza.
L’accesso ai dati contenuti nei diversi archivi è consentito solo a personale opportunamente abilitato, garantendo la riservatezza e l'integrità dei dati. L'accesso ai dati critici è predisposto in modo da essere possibile solo attraverso l'azione contemporanea di due persone con autorizzazioni distinte.
Procedure di salvataggio dei dati
Il salvataggio dei dati relativi ai sistemi collegati in rete è effettuato giornalmente tramite procedure automatiche di backup.
Periodicamente copia dei supporti contenenti i dati del salvataggio viene archiviata in un armadio di sicurezza, il cui accesso è consentito unicamente a personale opportunamente abilitato. Copia di tali supporti è trasportata in un luogo sicuro esterno alla sede, in modo da averne la disponibilità anche in caso di eventi disastrosi.
Procedure di Gestione dei Disastri
Il fornitore del servizio di gestione tecnica dell'accesso ha adottato le procedure necessarie a garantire la continuità del servizio anche in situazioni di elevata criticità, utilizzando componenti ridondanti o a ripristinarne rapidamente le funzionalità su sistemi di riserva.
In caso di disastro le operazioni verranno riprese usando le copie di backup dei dati e dei sistemi.
Certification Authorities riconosciute
Le Certification Authorities riconosciute sono quelle pubblicate sul sito web del Centro Nazionale per l’Informatica nella Pubblica Amministrazione (CNIPA). Dallo stesso sito sono prelevati i certificati contenenti le chiavi pubbliche di autenticazione che sono installate sul Web Server del Punto di Accesso.