Allegato 2
DISCIPLINARE TECNICO
Sistema TS: servizi telematici
Ricetta bianca elettronica
Autenticazione forte
Indice
1. Introduzione
2. Servizi per la comunicazione dei dati delle ricette bianche
elettroniche
2.1. Accesso ai servizi in autenticazione forte
3. Modalita' di autenticazione
4. Misure di sicurezza
4.1. Infrastruttura fisica
4.2. Registrazione degli utenti ed assegnazione degli strumenti
di sicurezza
4.3. Canali di comunicazione
4.4. Sistema di monitoraggio del servizio
4.5. Protezione da attacchi informatici
4.6. Sistemi e servizi di backup e disaster recovery
4.7. Sistema di log analysis applicativo
4.8. Accesso ai sistemi
1. Introduzione.
Il presente documento descrive le modalita' tecniche di
evoluzione verso un'autenticazione forte, tra cui e' compresa anche
l'autenticazione a 2 o piu' fattori, necessaria per le seguenti
operazioni:
la trasmissione al Sistema TS da parte dei medici dei dati
relativi alle prescrizioni su ricetta bianca elettronica;
la trasmissione al Sistema TS da parte delle farmacie e
parafarmacie dei dati relativi alle erogazioni di farmaci prescritti
su ricetta bianca elettronica.
Le specifiche tecniche dei servizi e le informazioni a supporto
dello sviluppo degli stessi, per entrambi gli argomenti trattati,
sono pubblicati nel portale del Sistema TS www.sistemats.it - nel
caso dovessero insorgere necessita' informatiche che prevedono la
modifica sia della definizione dei campi dei tracciati tecnici sia
dei valori da trasmettere ma che non cambiano la logica del
trattamento descritto in questo documento, verranno apportate
modifiche unicamente alle specifiche tecniche pubblicate nel portale
del Sistema TS.
2. Servizi per la comunicazione dei dati delle ricette bianche
elettroniche.
2.1. Accesso ai servizi in autenticazione forte.
Le possibilita' di accesso ai servizi da parte degli attori
coinvolti nel processo sono riassunte nella seguente tabella:
====================================================================
| | |Modalita'| | |
|ID | Utente | | Autenticazione | Note |
+===+============+=========+========================+==============+
| | | | |Il medico |
| | | | |utilizza una |
| | | | |applicazione |
| | | | |web del |
| | | | |Sistema TS. Le|
| | | | |credenziali di|
| | | | |autenticazione|
| | | | |sono |
| | | | |rilasciate dal|
| | | | |Sistema TS. |
| | | | |Nel caso di |
| | | | |SPID, le |
| | | | |credenziali |
| | | | |sono |
| | | | |distribuite |
| | | |Autenticazione di base |dagli Identity|
| | | |(ID utente e password) |Provider |
| | | |con codice PIN come |previsti. Nel |
| | | |fattore di |caso di CIE, |
| | | |autenticazione. |l'Identity |
| | | |Autenticazione forte con|Provider e' il|
| | | |SPID/SPID |Ministero |
| 1 | Medico | Web |professionale/CIE/TS-CNS|dell'interno. |
+---+------------+---------+------------------------+--------------+
| | | |TS-CNS oppure CNS oppure|Il medico |
| | | |autenticazione di base |invoca il |
| | | |(ID utente e password) |servizio |
| | | |con codice PIN come |tramite |
| | | |fattore di |software |
| | | |autenticazione. |gestionale. |
| | | |Autenticazione forte (2 |Credenziali di|
| | | |o piu' fattori, |autenticazione|
| | | Web |certificato client in |rilasciate dal|
| 2 | Medico | service |mutua autenticazione) |Sistema TS. |
+---+------------+---------+------------------------+--------------+
| | | | |L'operatore |
| | | | |della farmacia|
| | | | |o della |
| | | | |parafarmacia |
| | | | |utilizza una |
| | | | |applicazione |
| | | | |web del |
| | | | |Sistema TS. Le|
| | | | |credenziali di|
| | | | |autenticazione|
| | | | |sono |
| | | | |rilasciate dal|
| | | | |Sistema TS. |
| | | | |Nel caso di |
| | | | |SPID, le |
| | | | |credenziali |
| | | | |sono |
| | | | |distribuite |
| | | |Autenticazione di base |dagli Identity|
| | | |(ID utente e password) |Provider |
| | | |con codice PIN come |previsti. Nel |
| | | |fattore di |caso di CIE, |
| | | |autenticazione. |l'Identity |
| | | |Autenticazione forte con|Provider e' il|
| | Farmacia, | |SPID/SPID |Ministero |
| 3 |parafarmacia| Web |professionale/CIE/TS-CNS|dell'interno. |
+---+------------+---------+------------------------+--------------+
| | | | |L'operatore |
| | | | |della farmacia|
| | | | |o della |
| | | | |parafarmacia |
| | | | |invoca il |
| | | | |servizio |
| | | | |tramite |
| | | |Autenticazione di base |software |
| | | |(ID utente e password) |gestionale o |
| | | |con codice PIN come |sistema |
| | | |fattore di |regionale. Le |
| | | |autenticazione. |credenziali di|
| | | |Autenticazione forte (2 |autenticazione|
| | | |o piu' fattori, |sono |
| | Farmacia, | Web |certificato client in |rilasciate dal|
| 4 |parafarmacia| service |mutua autenticazione) |Sistema TS. |
+---+------------+---------+------------------------+--------------+
La trasmissione dei dati da parte degli utenti 1, 2, 3 e 4 di cui
sopra sono da intendersi come collegamento diretto al Sistema TS
(c.d. Sistema di accoglienza centrale - SAC).
Le regioni e le Province autonome di Trento e Bolzano che
intendono utilizzare il loro Sistema di accoglienza regionale (SAR)
per assolvere agli obblighi di trasmissione dati da parte degli
utenti 1 e/o 2 e/o 3 e/o 4 si pongono come intermediari nel colloquio
con il Sistema TS (SAC). Gli utenti 1 e/o 2 e/o 3 e/o 4 si
autenticano al SAR con credenziali e modalita' stabilite dalla
regione e provincia autonoma; a sua volta la regione o provincia
autonoma si autentica e coopera con il Sistema TS attraverso i
servizi descritti nel presente documento. Il colloquio tra sistema
regionale e Sistema TS avviene in mutua autenticazione con
certificato client. Il sistema regionale deve garantire i requisiti
minimi di sicurezza adottati dal Sistema TS in termini di
autenticazione forte. Le regioni e province autonome possono
autenticarsi al SAC sia in basic authentication con codice PIN come
fattore di autenticazione che in mutua autenticazione con certificato
client.
E' prevista l'evoluzione della basic authentication con pincode
verso un'autenticazione forte (2 o piu' fattori, SPID/SPID
professionale/CIE/TSCNS, certificato client mutua autenticazione
etc).
3. Modalita' di autenticazione.
Per l'accesso al Sistema TS, i medici, le farmacie e le
parafarmacie devono essere stati preventivamente abilitati secondo
procedure standard. Le credenziali di autenticazione, prodotte dal
Sistema TS e contenenti utente, password da cambiare al primo accesso
e pin code, vengono distribuite da un amministratore di sistema
(profilo amministratore). Tali credenziali permettono al Sistema TS
di riconoscere l'utente con procedure di basic authentication.
E' prevista l'evoluzione della basic authentication con pincode
verso un'autenticazione forte (2 o piu' fattori, SPID/SPID
professionale/CIE/TS-CNS, certificato client mutua autenticazione
etc).
Nel caso specifico dell'evoluzione dell'autenticazione per le
funzionalita' fruite tramite web application del Sistema TS e'
possibile accedere nel seguente modo: autenticazione SPID/SPID
professionale/CIE/TS-CNS tramite cui l'utente sara' indirizzato in
base al codice fiscale al profilo riconosciuto e abilitato da Sistema
TS.
Per quanto riguarda farmacie e parafarmacie, la soluzione prevede
che una farmacia/parafarmacia esegua l'accesso utilizzando lo SPID
professionale ovvero nelle more della definizione del quadro di
garanzie e regole delle identita' SPID ad uso professionale anche ai
sensi dell'art. 64, comma 2-duodecies, del CAD, e' ammesso l'utilizzo
di identita' SPID ad uso personale escludendo l'uso di dati personali
attinenti alla sfera privata del soggetto (quali, ad esempio, e-mail
personali, numeri di cellulare personali, domicilio privato, etc.)
forniti dai gestori dell'identita' digitale (Identity Provider).
L'identita' digitale del titolare, puo' essere utilizzata allo
stesso modo in cui attualmente l'utenza della farmacia/parafarmacia
e' legata al codice fiscale del titolare. Pertanto, il titolare deve
provvedere all'accesso per tutte le farmacie a lui associate. E'
possibile richiedere l'accesso «delegato» attraverso cui i dipendenti
di una farmacia/parafarmacia sono incaricati dal titolare ad eseguire
l'accesso per conto della farmacia stessa, ma utilizzando la propria
identita' digitale.
Nel caso specifico dell'evoluzione dell'autenticazione dei web
services e' previsto un periodo transitorio in cui sara' comunque
ancora supportata l'autenticazione di base con pincode
contemporaneamente alla nuova soluzione. La durata del transitorio
dipende dalla velocita' di adeguamento dei software degli utenti e
dell'acquisizione dei dati di contatto dagli utenti.
Nel caso di sistema regionale che agisce come intermediario tra
l'utente e il SAC, il sistema regionale si autentica al SAC in mutua
autenticazione con certificato client. Il sistema regionale deve
utilizzare un SAML profile su WS-Security che contiene gli attributi
qualificanti del soggetto che si e' autenticato al sistema regionale:
codice identificativo del soggetto e livello di autenticazione. Tale
profilo e' inviato nelle transazioni che il sistema regionale
effettua verso il SAC. Il sistema regionale puo' richiedere in
alternativa l'adozione del modello di interoperabilita' ModiPA.
Nel caso di utente che si connette direttamente al SAC
utilizzando i web services tramite client applicativo (senza
intermediazione del sistema regionale), e' necessario prevedere
preliminarmente l'acquisizione dei dati di contatto dagli utenti:
indirizzo e-mail in quanto attualmente non presenti nel SAC.
L'acquisizione puo' avvenire nei seguenti modi:
attraverso una apposita applicazione web del Sistema TS, che
prevede la possibilita' di inserire l'e-mail in autonomia per
l'utente, dopo una autenticazione con SPID - SPID professionale o CIE
o TS-CNS;
tramite forniture massive da parte del soggetto/ente che
consegna le credenziali all'utente (la ASL di riferimento o comunque
il soggetto di riferimento).
L'autenticazione a due fattori viene realizzata nel seguente
modo:
e' requisito preliminare che l'utente abbia certificato il
canale utilizzato per l'autenticazione forte (e-mail o app), come
indicato nel precedente capoverso;
l'utente si autentica attraverso l'invocazione di un apposito
servizio del SAC che genera un identificativo univoco della sessione
di lavoro (session id) e lo invia attraverso il canale utilizzato per
l'autenticazione forte tramite e-mail o app; in alternativa
l'identificativo univoco puo' essere ottenuto attraverso una apposita
funzionalita' web del Sistema TS;
l'utente utilizza l'identificativo ricevuto al punto precedente
come token autorizzativo della transazione per le chiamate ai servizi
interessati; quindi si autentica ai servizi esattamente nello stesso
modo utilizzato finora (basic authentication + pincode), aggiungendo
in pi l'identificativo della transazione che e' stato ottenuto
tramite il secondo fattore;
l'identificativo della transazione e' utilizzabile per un
determinato periodo temporale, scelto in modo da bilanciare le
esigenze di sicurezza e l'operativita' degli utenti (una durata per
esempio di una giornata lavorativa).
Attraverso tali modalita' sono soddisfatti i requisiti di
sicurezza richiesti considerando il contesto di riferimento, che
richiede di:
velocizzare le tempistiche di attuazione;
minimizzare gli impatti sull'attuale sistema considerando anche
la numerosita' della platea di utenti coinvolti e del numero di
transazioni giornaliere;
limitare le modifiche necessarie ai software gestionali
attualmente utilizzati.
In aggiunta viene resa disponibile per l'autenticazione per i
singoli utenti che si connettono direttamente al SAC utilizzando i
web services tramite client applicativo, una mutua autenticazione con
certificato client che identifica l'utenza che esegue le operazioni.
In questo caso, vista la numerosita' degli utenti, la soluzione
presuppone la progettazione e implementazione di un processo di
accreditamento e approvvigionamento (provisioning) dei certificati
accessibile tramite autenticazione forte. In tal senso, il
provisioning dei certificati avviene tramite una apposita
funzionalita' del Sistema TS.
Tutte le chiamate ai web service avvengono tramite protocollo
HTTPS (almeno TLS 1.2).
4. Misure di sicurezza.
4.1. Infrastruttura fisica.
L'infrastruttura fisica e' realizzata dal Ministero dell'economia
e delle finanze attraverso l'utilizzo dell'infrastruttura del Sistema
tessera sanitaria in attuazione di quanto disposto dall'ordinanza di
cui al titolo del presente documento.
I locali sono sottoposti a videosorveglianza continua e sono
protetti da qualsiasi intervento di personale esterno, ad esclusione
degli accessi di personale preventivamente autorizzato necessari alle
attivita' di manutenzione e gestione tecnica dei sistemi e degli
apparati.
L'accesso ai locali avviene secondo una documentata procedura,
prestabilita dal titolare del trattamento, che prevede
l'identificazione delle persone che accedono e la registrazione degli
orari di ingresso ed uscita di tali persone.
4.2. Registrazione degli utenti ed assegnazione degli strumenti di
sicurezza.
E' presente una infrastruttura di Identity e Access Management
che censisce direttamente le utenze, accogliendo flussi di
autenticazione e di autorizzazione, per l'assegnazione dei
certificati client di autenticazione, delle credenziali di
autenticazione e delle risorse autorizzative.
L'autenticazione dei medici, delle farmacie e delle parafarmacie
avviene attraverso le credenziali rilasciate dal Sistema TS; le
regioni e le province autonome possono accedere attraverso le
credenziali rilasciate dal Sistema TS oppure tramite certificato
client.
In particolare, per le parafarmacie il rilascio delle credenziali
del Sistema TS avviene secondo le modalita' di cui al decreto del
Ministero dell'economia e delle finanze del 19 ottobre 2020 e
successive modificazioni, concernente la trasmissione dei dati delle
spese sanitarie a carico dei cittadini.
4.3. Canali di comunicazione.
Le comunicazioni sono scambiate in modalita' sicura su rete
internet, mediante protocollo TLS in versione minima 1.2, al fine di
garantire la riservatezza dei dati. I protocolli di comunicazione
TLS, gli algoritmi e gli altri elementi che determinano la sicurezza
del canale di trasmissione protetto sono continuamente adeguati in
relazione allo stato dell'arte dell'evoluzione tecnologica, in
particolare per il TLS non sono negoziati gli algoritmi crittografici
pi datati (es. MD5).
4.4. Sistema di monitoraggio del servizio.
Per il monitoraggio dei servizi, il Ministero dell'economia e
delle finanze si avvale di uno specifico sistema di reportistica. Il
sistema di reportistica offre funzioni per visualizzare i dati
aggregati come il numero di transazioni effettuate e i relativi
esiti. L'aggregazione puo' essere fatta per regione o per tipologia
di utente che effettua la transazione. La finalita' e' di fornire il
monitoraggio dell'andamento del progetto sia nella fase di avvio che
nella fase a regime.
4.5. Protezione da attacchi informatici.
Per proteggere i sistemi dagli attacchi informatici al fine di
eliminare le vulnerabilita', si utilizzano le seguenti tecnologie o
procedure:
a) aggiornamenti periodici dei sistemi operativi e dei software
di sistema, hardening delle macchine;
b) adozione di una infrastruttura di sistemi firewall e sistemi
IPS (Intrusion Prevention System) che consentono la rilevazione
dell'esecuzione di codice non previsto e l'esecuzione di azioni in
tempo reale quali il blocco del traffico proveniente da un indirizzo
IP attaccante;
c) esecuzione di WAPT (Web Application Penetration Test), per
la verifica della presenza di eventuali vulnerabilita' sul codice
sorgente.
4.6. Sistemi e servizi di backup e disaster recovery.
E' previsto il backup dei sistemi.
E' previsto il disaster recovery dei sistemi, che comprende anche
il disaster recovery dei dati.
4.7. Sistema di log analysis applicativo.
Non e' previsto un sistema di log analysis applicativo, non e'
prevista la registrazione dei dati applicativi.
4.8. Accesso ai sistemi.
L'infrastruttura dispone di sistemi di tracciamento degli accessi
ai sistemi informatici di supporto come base dati, server web e
infrastrutture a supporto del servizio.
L'accesso alla base dati avviene tramite utenze nominali o
riconducibili ad una persona fisica (escluse le utenze di servizio).
Il sistema di tracciamento registra (su appositi log) le seguenti
informazioni: identificativo univoco dell'utenza che accede, data e
ora di login, logout e login falliti, postazione di lavoro utilizzata
per l'accesso (IP client), tipo di operazione eseguita sui dati (ad
esclusione delle risposte alle query).
Per ogni accesso ai sistemi operativi, ai sistemi di rete, al
software di base e ai sistemi complessi, il sistema di tracciamento
registra (su appositi log) le seguenti informazioni: identificativo
univoco dell'utenza che accede, data e ora di login, logout e login
falliti, postazione di lavoro utilizzata per l'accesso (IP client).
I log prodotti dai sistemi di tracciamento infrastrutturali sono
soggetti a monitoraggio costante allo scopo di individuare eventuali
anomalie inerenti alla sicurezza (accessi anomali, operazioni
anomale, ecc.) e di valutare l'efficacia delle misure implementate.
I log di accesso degli amministratori di sistema e degli
incaricati sono protetti da eventuali tentativi di alterazione e
dispongono di un sistema di verifica della loro integrita'.
I log relativi agli accessi e alle operazioni effettuate sui
sistemi operativi, sulla rete, sul software di base e sui sistemi
complessi sono conservati per dodici mesi.