Parte di provvedimento in formato grafico
Disciplinare Tecnico - Allegato 2
Data:18/06/2025
Sommario
1. Premessa
2. Modalita' di integrazione dei servizi ANPR con le applicazioni
CNN
3. Modalita' di identificazione/autenticazione/profilazione degli
utenti
4. Modalita' di tracciamento dell'utilizzo del servizio da parte
dell'utenza
5. Misure per la sicurezza delle informazioni
5.1. Struttura logistica e infrastruttura di protezione logica e
fisica
5.1.1. Protezione fisica
5.1.2. Protezione logica
5.2. Componenti e architettura del sistema
5.2.1. Componenti hardware
5.2.2. Componenti di rete e connettivita'
5.2.3. Monitoraggio del sistema
5.3. Procedura di gestione delle copie di sicurezza dei dati
5.4. Procedura di gestione dei disastri
5.5. Analisi dei rischi e contromisure
5.6. Modalita' di verifica dell'applicazione del piano di sicurezza
1. Premessa
Il presente disciplinare tecnico descrive:
• le modalita' di integrazione dei servizi ANPR con le applicazioni
rese disponibili ai Notai dal CNN;
• le modalita' di identificazione/autenticazione/profilazione degli
utenti che accedono al servizio;
• le modalita' di tracciamento dell'utilizzo del servizio da parte
dell'utenza;
• le misure di sicurezza applicate dal CNN per la gestione del
servizio ANPR;
per la consultazione del "Servizio Certificazioni Anagrafiche".
La gestione tecnico-informatica e' affidata alla societa' Notartel
S.p.A - S.B. Societa' Informatica del Notariato del Consiglio
Nazionale del Notariato.
2. Modalita' di integrazione dei servizi ANPR con le applicazioni CNN
La modalita' di integrazione tra servizi ANPR e applicazione resa dal
CNN, all'interno del portale Rete Unitaria del Notariato (RUN),
prevede:
• L'implementazione di pattern di sicurezza prescritti dalle linee
guida sull'interoperabilita' tecnica definiti da AGID detti:
INTEGRITY_REST_02 e AUDIT_REST_02 e ricompresi sulla piattaforma
PDND.
• La creazione di un token per fruire dei servizi indicati,
utilizzando la chiave pubblica corrispondente a quella privata
indicata nel client censito sulla piattaforma PDND.
In figura schema concettuale di funzionamento di interrogazione API e
schema di principio della architettura generale:
Parte di provvedimento in formato grafico
3. Modalita' di identificazione/autenticazione/profilazione degli
utenti
Gli utenti sono notai iscritti al ruolo di cui all'art.24 della legge
n. 89 del 1913 il cui stato di servizio e' eventualmente
interrogabile attraverso Albo Unico online, di cui e' disponibile
l'interrogazione web sul sito www.notariato.it oppure attraverso API
dedicate.
Il notaio e' accreditato alla RUN (Rete Unitaria del Notariato)
attraverso un processo di registrazione standard. I servizi
disponibili nella RUN sono accessibili ai notai come supporto
nell'esercizio della professione notarile.
Le credenziali fornite ai notai vengono rilasciate e gestite
attraverso un sistema di Identity and Access Management (IAM). Questo
sistema e' stato implementato per la gestione degli accessi e delle
identita' degli utenti, assicurando che l'accesso alle applicazioni e
ai servizi sia controllato e monitorato.
Il sistema IAM garantisce che l'utente autenticato sia effettivamente
la persona identificata durante il processo di onboarding iniziale,
assicurando che solo utenti correttamente profilati e autorizzati
possano accedere ai servizi e alle risorse richiesti.
All'interno della RUN e' resa disponibile una sezione dedicata
all'accesso ai servizi ANPR, in cui e' richiesta
un'autenticazione/identificazione con livello di garanzia almeno
"sostanziale", in conformita' al Regolamento (UE) n. 910/2014
(eIDAS).
Tale identificazione puo' avvenire mediante SPID, CIE o altri
strumenti di identificazione elettronica riconosciuti conformi e
notificati ai sensi del regolamento eIDAS, garantendo un livello di
sicurezza equivalente.
In sintesi, l'accesso ai servizi ANPR tramite la RUN avviene
attraverso:
• una prima autenticazione alla RUN, con mantenimento della sessione
mediante cookie;
• una seconda autenticazione, conforme al livello di garanzia
"sostanziale" di cui al Regolamento eIDAS, per l'accesso al servizio
specifico ANPR.
Il servizio di interrogazione dell'ANPR e' classificato nelle Access
Control List del sistema IAM per tutti gli aspetti di controllo e
monitoraggio
4. Modalita' di tracciamento dell'utilizzo del servizio da parte
dell'utenza
La tracciabilita' delle operazioni effettuate sulla interfaccia
applicativa della RUN e' gestita dal sistema di logging applicativo.
Su questo sistema vengono monitorate le seguenti attivita':
• Autenticazione e Accesso: ogni accesso dell'utente viene
registrato con relativo esito (successo o fallimento).
Il tracciamento copre l'autenticazione e le operazioni eseguite dagli
utenti, includendo:
• Data e ora dell'evento;
• Identificazione Utente (username, ID sessione);
I log applicativi sono conservati per 36 mesi nel sistema di Log
Management centralizzato, che garantisce la sicurezza, il
monitoraggio e la conformita' alle policy di sicurezza.
5. Misure per la sicurezza delle informazioni
Il sistema tecnologico della Notartel e' conforme alle regole e alle
disposizioni in materia di scurezza informatica: in particolare la
societa' e' certificata ISO 27000.
Di seguito riportate, per macro punti, le caratteristiche salienti
dei sistemi di sicurezza informatica e fisica.
5.1. Struttura logistica e infrastruttura di protezione logica e
fisica
Le apparecchiature per l'esercizio dei servizi applicativi sono
fisicamente ubicate presso i datacenter Notartel nelle sedi in Roma
in Via Gravina 4 e in Via Flaminia 160 e in replica nel "SuperNap"
(sito di Disaster Recovery) in Via Marche, 8/10, 27010 Siziano PV.
5.1.1. Protezione fisica
I perimetri fisici di sicurezza riguardano gli edifici di Via
Flaminia e di via Gravina situati in Roma (sedi della Societa') e
le parti del data center del provider di disaster recovery.
I perimetri sono sorvegliati per mezzo di apposite telecamere
collegate a sistemi di video sorveglianza.
Tutte le porte perimetrali sono controllate da appositi sensori
antintrusione e possono essere aperte per mezzo di appositi badge
in dotazione al personale autorizzato. Relativamente alle aree
dei data center eventuali ospiti, fornitori o comunque persone
estranee possono accedere solo se accompagnate, per tutta la
durata della loro presenza, da personale Notartel autorizzato e
comunque dotate di badge.
Le sale server sono dotate di:
• sistemi di rilevazione incendi e fumo;
• sistemi di estinzione automatica degli incendi;
• sistemi antintrusione costituiti da porte e finestre di
sicurezza;
• sistemi di allarme, antieffrazione e antintrusione.
La gestione degli apparati e' assicurata dal sistema di
monitoraggio Notartel.
N.B.: La sicurezza perimetrale degli ambienti di disaster
recovery e' affidata a SUPERNAP ITALIA azienda a cui e' stato
affidato il contratto di housing per il sito di Disaster
Recovery.
5.1.2. Protezione logica
L'infrastruttura dei sistemi per le interfacce applicative per i
servizi di consultazione dell'ANPR e' collocata all'interno della
rete di Front-End della RUN protetta da Firewall e da
bilanciatore di carico. Attraverso regole FW ad hoc il servizio
puo' raggiungere le parti in Back-End.
La disponibilita' logica delle funzioni e dei dati e' garantita
da un sistema di accesso ridondato in tutte le sue componenti.
I sistemi operativi e i DBMS mantengono file di log con gli
accessi per le verifiche periodiche ed eventuali ispezioni.
5.2. Componenti e architettura del sistema
5.2.1. Componenti hardware
Le componenti computazionali hardware sono implementate con sistemi
server blade di produttori primari e virtualizzate tramite
soluzioni di maggior diffusione e affidabilita'.
5.2.2. Componenti di rete e connettivita'
I componenti di rete sono elencati in maniera sintetica appena di
seguito:
• connettivita' ridondata per ogni sistema in rete;
• infrastruttura di networking ridondata;
• connettivita' esterna Internet su Authonomous System (AS)
attraverso tre Provider con ridondanza su percorsi fisici
differenti con banda a 1Gbps;
• cablaggio strutturato in cat.6E ridondato (fino a 10Gbps);
• apparati di connettivita' LAN Switch in Load Balancing e High
Availability;
• LAN Front-End protetta da Firewall (IPS) e Bilanciatori (DMZ).
5.2.3. Monitoraggio del sistema
Calendari di verifica settimanale provvedono ai principali
controlli:
• il backup dei log;
• l'analisi delle performance e dell'utilizzo del sistema;
• il monitoraggio della disponibilita' del sistema;
• il monitoraggio degli aggiornamenti di sicurezza del sistema.
5.3. Procedura di gestione delle copie di sicurezza dei dati
E' previsto il backup per tutti i dati presenti sul server, secondo
la seguente modalita':
1. quotidianamente viene effettuato un backup completo di tutti i
dati del sistema;
2. il database archivia i log delle transazioni in tre siti su
supporti fisici differenti;
3. tramite i backup effettuati giornalmente ed i log transazionali
e' sempre possibile ripristinare l'intero sistema all'ultima
transazione;
4. il database e' costantemente replicato su un sistema in standby
rapidamente ripristinabile;
5. tutti i componenti dell'infrastruttura sono ridondati e ne viene
effettuato un backup giornalmente, tramite due sistemi di backup
indipendenti;
6. i sistemi di backup sono replicati su dispositivi posti in
ambienti separati.
5.4. Procedura di gestione dei disastri
Le procedure di gestione dei disastri sono parte integrante delle
misure adottate da Notartel per la certificazione ISO 27001 (copia
dei certificati e' disponibile sul sito internet di Notartel).
5.5. Analisi dei rischi e contromisure
Notartel dispone di un gruppo interno di specialisti sulla sicurezza
delle informazioni che si occupano del monitoraggio dei sistemi e
della gestione degli incidenti di sicurezza oltre la valutazione dei
rischi e la revisione dell'efficacia dei controlli e delle
contromisure adottati.
Notartel applica una valutazione ragionata del livello di sicurezza
della propria infrastruttura relativamente ai suoi aspetti
tecnologici e fisici; ha operato la scelta dei propri Datacenter in
conformita' con le prescrizioni e le best practicies ISO27001,
ISO27017 e ISO27018 in materia di sicurezza delle informazioni.
La struttura tecnologica viene analizzata rispetto ai fattori di
rischio e sottoposta a tutti gli interventi correttivi necessari per
garantirne il livello di sicurezza.
5.6. Modalita' di verifica dell'applicazione del piano di sicurezza
Le modalita' di verifica dell'applicazione del Piano della Sicurezza
sono parte integrante delle misure adottate da Notartel per le
certificazioni ISO 27001, ISO 27017 e ISO 27018 (copia dei
certificati e' disponibile sul sito internet di Notartel).