                               ART. 24 
 
         (Requisiti di sicurezza - art. 26 del regolamento) 
 
  1. L'architettura dei servizi di consultazione aderisce al  modello
MVC  (Model  View  Controller)  e  prevede  il  disaccoppiamento  del
front-end, localizzato sul punto di accesso o sul portale dei servizi
telematici,  dal  back-end,  localizzato  sul  gestore  dei   servizi
telematici, incaricato di esporre i servizi sottoforma di web service
(http/SOAP). 
  2. Il portale dei servizi telematici espone, attraverso un apposito
servizio proxy,  i  web  service  forniti  dal  gestore  dei  servizi
telematici, a beneficio  dei  punti  di  accesso  e  di  applicazioni
esterne. 
  3.  I  punti  di  accesso  realizzano  autonomamente  la  parte  di
front-end, che deve essere localizzata all'interno della intranet del
PdA stesso e non deve essere accessibile direttamente dall'esterno. 
  4. I punti di accesso possono a loro volta esporre  i  web  service
forniti  dal  gestore  dei  servizi  telematici,   a   beneficio   di
applicazioni esterne. 
  5. Il protocollo di trasporto tra il punto di accesso e il proxy e'
HTTPS; la serializzazione dei messaggi e' nel formato XML/SOAP. 
  6. Le funzionalita' fornite dai web service realizzati, nonche'  le
relative  regole  di  invocazione,  sono  descritte  tramite  i  WSDL
pubblicati sull'area pubblica del portale dei servizi telematici. 
  7.  L'accesso  ai   servizi   di   consultazione   avviene   previa
identificazione informatica su di un punto di accesso o  sul  portale
dei servizi telematici, secondo le specifiche di cui all'articolo  6;
a seguito di tale identificazione, il punto di accesso o  il  portale
dei  servizi  telematici  attribuiscono  all'utente   un   ruolo   di
consultazione, a seconda del registro di cancelleria;  eseguita  tale
operazione, viene trasmesso al proxy di cui  al  comma  2  il  codice
fiscale del soggetto che effettua l'accesso (nell'header http)  e  il
ruolo di consultazione stesso (nel messaggio SOAP); il proxy verifica
che il soggetto sia presente nel ReGIndE e in  caso  trattasi  di  un
avvocato che lo status non sia "radiato" o "cancellato";  qualora  la
verifica abbia esito positivo, trasmette la richiesta al web  service
del gestore dei servizi telematici. 
  8. In base al ruolo di consultazione di cui al comma precedente, il
sistema  fornisce  le  autorizzazioni   all'accesso   rispetto   alle
informazioni  anagrafiche  contenute  nei  sistemi  di  gestione  dei
registri o sulla base dell'atto di delega previsto dal regolamento. 
  9. In fase di richiesta di attivazione, il punto  di  accesso  puo'
adottare meccanismi di identificazione basati sulla gestione federata
delle identita' digitali (modello GFID),  secondo  le  specifiche  di
DigitPA; in questo caso, il responsabile per  i  sistemi  informativi
automatizzati,  valutata  la  soluzione  proposta  e   opportunamente
descritta  nel  piano  della  sicurezza,  approva  il  meccanismo  di
identificazione che soddisfa il livello di sicurezza richiesto. 
  10. Fuori dai casi previsti ai commi  1  e  9,  l'architettura  dei
servizi di consultazione prevede in via residuale  che  il  punto  di
accesso o il portale dei servizi  telematici  effettuino,  a  seguito
dell'identificazione di cui al comma 7, un link diretto dalle proprie
pagine alla pagina principale del sito web che  rende  disponibili  i
servizi  su  canale  sicuro  (HTTPS);   in   questo   caso   i   dati
identificativi del soggetto vengono inseriti nell'header  HTTP  della
richiesta. 
  11. I servizi di consultazione attivi sono  elencati,  per  singolo
ufficio, nel catalogo dei servizi telematici, di cui all'articolo  5,
comma 5. 
  12.  L'elenco  dei  punti  di  accesso  autorizzati  e'  pubblicato
nell'area pubblica del portale dei servizi telematici e nel  catalogo
dei servizi telematici, di cui all'articolo 5, comma 5. 
  13. Il punto di accesso  si  dota  di  un  piano  della  sicurezza,
depositato al responsabile per i  sistemi  informativi  automatizzati
unitamente all'istanza di iscrizione all'elenco pubblico dei punti di
accesso, che prevede la trattazione,  esaustiva  e  dettagliata,  dei
seguenti argomenti: 
    a) struttura logistica e operativa dell'organizzazione; 
    b) ripartizione e definizione delle responsabilita' del personale
addetto; 
    c) descrizione dei dispositivi installati; 
    d) descrizione dell'infrastruttura  di  protezione,  per  ciascun
immobile interessato (e rilevante ai fini della sicurezza); 
    e) descrizione delle procedure di registrazione delle utenze; 
    f) descrizione relativa  all'implementazione  dei  meccanismi  di
identificazione informatica; 
    g) qualora il PdA integri la gestione delle caselle  di  PEC  dei
propri utenti, descrizione delle modalita' di integrazione; 
    h) procedura di gestione delle copie di sicurezza dei dati; 
    i) procedura di gestione dei disastri; 
    j) analisi dei rischi e contromisure previste; 
  14. Ai fini dell'iscrizione nel suddetto  elenco,  il  responsabile
per i sistemi  informativi  automatizzati  verifica  il  piano  della
sicurezza di  cui  al  comma  precedente  e  puo'  disporre  apposite
verifiche in loco, in particolare per  accertare  il  rispetto  delle
prescrizioni di sicurezza riportate nel presente provvedimento. 
  15. Il punto di accesso abilita  i  propri  iscritti  unicamente  a
usufruire dei servizi esplicitamente autorizzati dal responsabile per
i sistemi informativi automatizzati  e  riportati  nel  catalogo  dei
servizi telematici. 
  16. Il punto di accesso si dota di una casella di posta elettronica
certificata, che comunica al responsabile per i  sistemi  informativi
automatizzati, da utilizzarsi per inviare  e  ricevere  comunicazioni
con il Ministero della giustizia.