                               Art. 35 
 
 
                       Piano per la sicurezza 
 
  1. Il certificatore definisce un piano per la sicurezza  nel  quale
sono contenuti almeno i seguenti elementi: 
  a) struttura generale, modalita' operativa e struttura logistica; 
  b) descrizione dell'infrastruttura di sicurezza fisica rilevante ai
fini dell'attivita' di certificatore; 
  c) allocazione dei servizi e degli uffici negli immobili  rilevanti
ai fini dell'attivita' di certificatore; 
  d) descrizione delle funzioni del personale e  sua  allocazione  ai
fini dell'attivita' di certificatore; 
  e) attribuzione delle responsabilita'; 
  f) algoritmi crittografici o altri sistemi utilizzati; 
  g)  descrizione  delle  procedure  utilizzate   nell'attivita'   di
certificatore; 
  h) descrizione dei dispositivi installati; 
  i) descrizione dei flussi di dati; 
  l) procedura di gestione delle copie di sicurezza dei dati; 
  m) procedura di continuita' operativa del servizio di pubblicazione
delle liste di revoca e sospensione; 
  n) analisi dei rischi; 
  o) descrizione delle contromisure; 
  p) descrizione delle verifiche e delle ispezioni; 
  q) descrizione delle misure adottate ai sensi  degli  articoli  32,
comma 1, e 47, comma 2; 
  r) procedura di gestione dei disastri; 
  s) descrizione della procedura di cui all'art. 8, comma 3,  ponendo
in rilievo le modalita' di conservazione e  protezione  dei  supporti
contenenti le chiavi esportate; 
  t) misure di sicurezza per la protezione dei dispositivi  di  firma
remota, ivi comprese le modalita' di custodia; 
  u) limitatamente a quanto previsto all'art. 11, comma 3,  modalita'
con cui e' assicurato il controllo  esclusivo  delle  chiavi  private
custodite sui dispositivi di firma remota; 
  v) le misure procedurali e tecniche applicate  per  la  distruzione
dei dispositivi HSM e delle chiavi che contengono  incaso  di  guasto
del  dispositivo  HSM   che   non   consente   l'applicazione   delle
funzionalita' di sicurezza certificate implementate  dai  dispositivi
medesimi. 
  2. Quanto previsto dalle lettere t) e u) del comma  1  puo'  essere
oggetto di dichiarazioni separate  da  parte  del  certificatore,  ad
integrazione del piano per la sicurezza. 
  3. L'Agenzia, a seguito  dell'analisi  di  quanto  dichiarato  alle
lettere t) e u)  del  comma  1,  puo'  imporre  al  certificatore  di
inserire  nei  certificati  qualificati  afferenti  la  firma  remota
limitazioni d'uso e di valore. 
  4.  Il  piano   per   la   sicurezza,   sottoscritto   dal   legale
rappresentante  del  certificatore,  ovvero  dal  responsabile  della
sicurezza da questo delegato,  e'  consegnato  all'Agenzia  in  busta
sigillata o cifrato, al fine di garantirne la riservatezza,  in  base
alle indicazioni fornite dall'Agenzia. 
  5. Il piano per la sicurezza si attiene alle  misure  di  sicurezza
previste dal Titolo V della Parte I del decreto legislativo 30 giugno
2003, n. 196.