Allegato A «Principali garanzie e misure di sicurezza» 1. Introduzione Il presente allegato descrive le principali garanzie e misure di sicurezza dell'ANIS, in conformita' all'art. 62-quinquies, comma 5, del CAD. Per le predette finalita', l'ANIS e' dotata di: un sistema di Identity & Access Management per l'identificazione dell'utente e della postazione, la gestione dei profili autorizzativi, la verifica dei diritti di accesso, il tracciamento delle operazioni; un sistema di tracciamento e di conservazione dei dati di accesso alle componenti applicative e di sistema; sistemi di sicurezza per la protezione delle informazioni e dei servizi erogati dalla base dati; un sistema di log analysis per l'analisi periodica dei file di log, in grado di individuare, sulla base di regole predefinite e formalizzate eventi potenzialmente anomali e di segnalarli al Ministero tramite funzionalita' di alert; una Certification Authority; sistemi e servizi di backup per il salvataggio dei dati e delle applicazioni; sistemi e servizi di Disaster Recovery. Il piano di continuita' operativa esplicitera' le procedure relative ai sistemi ed ai servizi di backup e di Disaster Recovery. 2. Infrastruttura fisica L'infrastruttura di ANIS e' installata nei locali individuati dal Ministero aventi specifici requisiti di sicurezza che garantiscano la continuita' di servizio tramite soluzioni di alta affidabilita' (HA) e un rigido controllo dell'accesso anche fisico in ambienti ad accesso limitato e sottoposti a videosorveglianza continua. Qualsiasi altra operazione manuale e' consentita solo a personale autorizzato dal Ministero. 3. Protezione da attacchi informatici Al fine di protezione dei sistemi operativi da attacchi informatici, eliminando le vulnerabilita', si utilizzano: a) in fase di configurazione, procedure di hardening finalizzate a limitare l'operativita' alle sole funzionalita' necessarie per il corretto funzionamento dei servizi; b) in fase di messa in esercizio, oltre che ad intervalli prefissati o in presenza di eventi significativi, processi di vulnerability assessment and mitigation nei software utilizzati e nelle applicazioni dei sistemi operativi; c) piattaforma di sistemi firewall e sonde anti-intrusione; d) ogni altra soluzione tecnologica aggiuntiva che sia utile all'innalzamento del livello di sicurezza e protezione del sistema. 4. Accesso L'accesso all'ANIS avviene in condizioni di pieno isolamento operativo e di esclusivita', in conformita' ai principi di esattezza, disponibilita', accessibilita', integrita' e riservatezza dei dati, dei sistemi e delle infrastrutture di cui all'art. 51 del CAD. I sistemi di sicurezza garantiscono che l'infrastruttura di produzione sia logicamente distinta da altre infrastrutture, anche di competenza di soggetti terzi di cui il Ministero si avvalga ai sensi dell'art. 8, comma 2, e che l'accesso alla stessa avvenga in modo sicuro, controllato, e costantemente tracciato, esclusivamente da parte di personale autorizzato dal Ministero, e con il tracciamento degli accessi e di qualsiasi attivita' eseguita. L'ANIS invia e riceve le comunicazioni in modalita' sicura, su rete di comunicazione SPC ovvero, tramite internet, mediante protocollo Transport Layer Security (TLS) per garantire la riservatezza dei dati su reti pubbliche. 4.1. Accesso degli aventi diritto ai sensi dell'art. 7 L'accesso degli aventi diritto ai sensi dell'articolo avviene esclusivamente mediante uno degli strumenti di autenticazione indicati nell'art. 7. 4.2. Accesso delle istituzioni della formazione superiore, delle pubbliche amministrazioni e degli organismi che erogano pubblici servizi per alimentazione e consultazione Fermo restando quanto previsto dall'art. 10, l'accesso delle istituzioni della formazione superiore, delle pubbliche amministrazioni e degli organismi che erogano pubblici servizi, rivolto all'alimentazione dell'ANIS, avverra' nell'osservanza dei rispettivi compiti istituzionali e della normativa in materia di protezione dei dati personali nonche' delle regole tecniche del sistema pubblico di connettivita'. Il conseguente allineamento dell'ANIS con le altre banche di dati di interesse nazionale, regionale, provinciale e locale avverra' in conformita' alle linee guida adottate dall'AgID in materia di interoperabilita'. L'accesso dei medesimi soggetti di cui al periodo precedente rivolto alla consultazione dell'ANIS avverra' nel rispetto di quanto previsto all'art. 50-ter del CAD e, in particolare, nei limiti di garanzia e di sicurezza previsti al comma 2 del citato articolo.