Allegato 2
ALLEGATO C
MISURE DI SICUREZZA
1. Premessa
Il presente allegato descrive le caratteristiche
dell'infrastruttura e le misure adottate per garantire riservatezza,
integrita' e disponibilita' dei dati trattati, nonche' la sicurezza
dell'accesso ai servizi, il tracciamento delle operazioni effettuate
e per assicurare che il trattamento dei dati sia effettuato in
conformita' alle finalita' del trattamento e ai principi di
indispensabilita' e necessita', di proporzionalita', pertinenza e non
eccedenza dei dati personali trattati e nel rispetto delle
disposizioni del Codice in materia di protezione dei dati personali
di cui al decreto legislativo 30 giugno 2003, n. 196 e alle
disposizioni del Regolamento (UE) 2016/679.
L'infrastruttura e' progettata, realizzata e gestita mettendo in
atto misure tecniche e organizzative adeguate per soddisfare le norme
citate (privacy by design), e per garantire che siano trattati, per
impostazione predefinita, solo i dati personali necessari per ogni
specifica finalita' del trattamento (privacy by default).
2. Definizioni
a) ASL: Azienda Sanitaria Locale, unita' territoriale che presta
l'assistenza sanitaria ai cittadini;
b) SAR: Sistema di Accoglienza Regionale, attraverso il quale gli
operatori sanitari invocano i servizi del sistema ANA;
c) SAA: Sistema di Accoglienza della ASL, attraverso il quale gli
operatori sanitari invocano i servizi del sistema ANA.
3. Modalita' di fruizione
I servizi dell'ANA sono resi disponibili in modalita' applicazione
web oppure in modalita' cooperativa tramite web services.
4. Accesso ai servizi
Le possibilita' di accesso ai servizi da parte delle varie
tipologie di utenti sono riassunte nella seguente tabella, che
esplicita gli utenti che possono accedere al sistema ANA attraverso
sistemi software con interfacce web o web services per il tramite di
sistemi regionali (SAR) o di sistemi delle aziende ASL (SAA).
Nelle more della definizione del quadro di garanzie e regole delle
identita' SPID ad uso professionale, e' ammesso l'utilizzo di
identita' SPID ad uso personale escludendo l'uso di dati personali
attinenti alla sfera privata del soggetto (es. e-mail e numero di
cellulare personali, domicilio privato) forniti ai Service Provider.
Nell'ottica del riutilizzo, il sistema ANA riutilizza
l'infrastruttura per l'assegnazione degli strumenti di sicurezza del
Sistema TS, in quanto gia' esistente e gia' conosciuta agli utenti
(maggiori dettagli nel par.6).
=====================================================================
| ID| Utente | Modalita' |Autenticazione| Note |
+====+================+============+==============+=================+
| | | | |L'operatore |
| | | | |sanitario si |
| | | | |connette al |
| | | | |sistema regionale|
| | | | |che a sua volta |
| | | | |invoca il |
| | | | |servizio ANA |
| | | | |tramite client |
| | | | |applicativo. |
| | | | |L'autenticazione |
| | | | |tra SAR e ANA |
| | | | |avviene tramite |
| | | | |certificato di |
| | | | |autenticazione |
| | | | |rilasciato dal |
| | | | |Sistema TS. |
| |Operatore | | |Il codice fiscale|
| |sanitario che | |Autenticazione|dell'operatore |
| 1 |accede tramite |Web service |al sistema |viene trasmesso |
| |sistema | |regionale: 2 |mediante |
| |regionale(SAR) | |fattori, CNS, |asserzione SAML |
| | | |CIE, SPID |firmata |
| | | |livello 2 |digitalmente |
| | | | |dalla regione. Il|
| | | | |sistema regionale|
| | | | |deve garantire i |
| | | | |requisiti di |
| | | | |sicurezza |
| | | | |adottati dal |
| | | | |sistema ANA in |
| | | | |termini di |
| | | | |autenticazione |
| | | | |forte, nel |
| | | | |tracciato viene |
| | | | |dichiarata la |
| | | | |tipologia di |
| | | | |autenticazione: 2|
| | | | |fattori, CNS, |
| | | | |CIE, SPID livello|
| | | | |2. |
+----+----------------+------------+--------------+-----------------+
| | | | |L'operatore |
| | | | |sanitario si |
| | | | |connette al |
| | | | |sistema aziendale|
| | | | |della ASL che a |
| | | | |sua volta invoca |
| | | | |il servizio ANA |
| | | | |tramite client |
| | | | |applicativo. |
| | | | |L'autenticazione |
| | | | |tra SAA e ANA |
| |Operatore | |Autenticazione|avviene tramite |
| |sanitario che | |al sistema |certificato di |
| |accede tramite | |aziendale: 2 |autenticazione |
| 2 |sistema |Web service |fattori, CNS, |rilasciato dal |
| |aziendale della | |CIE, SPID |Sistema TS. Il |
| |ASL (SAA) | |livello 2 |codice fiscale |
| | | | |dell'operatore |
| | | | |viene trasmesso |
| | | | |mediante |
| | | | |asserzione SAML |
| | | | |firmata |
| | | | |digitalmente |
| | | | |dalla ASL. Il |
| | | | |sistema aziendale|
| | | | |deve garantire i |
| | | | |requisiti di |
| | | | |sicurezza |
| | | | |adottati dal |
| | | | |sistema ANA in |
| | | | |termini di |
| | | | |autenticazione |
| | | | |forte, nel |
| | | | |tracciato viene |
| | | | |dichiarata la |
| | | | |tipologia di |
| | | | |autenticazione: 2|
| | | | |fattori, CNS, |
| | | | |CIE, SPID livello|
| | | | |2. |
+----+----------------+------------+--------------+-----------------+
| | | | |L'operatore |
| | | | |sanitario invoca |
| | | | |il servizio |
| | | | |tramite |
| | | |TS-CNS, CNS, |interfaccia |
| | | |CIE, SPID |web.TS-CNS e |
| | | |livello 2, in |credenziali di |
| |Operatore |Applicazione|alternativa 2 |autenticazione a |
|3 |sanitario |web |fattori |2 fattori |
| | | | |rilasciate dal |
| | | | |Sistema TS, o in |
| | | | |alternativa SPID |
| | | | |livello 2 |
| | | | |rilasciato dagli |
| | | | |Identity Provider|
| | | | |accreditati, CIE |
| | | | |rilasciata dal |
| | | | |Ministero |
| | | | |dell'interno. |
+----+----------------+------------+--------------+-----------------+
| | | | |Il cittadino |
| | | | |invoca il |
| | | | |servizio tramite |
| | | | |interfaccia web. |
| | | | |TS-CNS rilasciata|
| 4 |Cittadino |Applicazione|TS-CNS, CNS, |dal Sistema TS, |
| | |web |SPID livello |SPID livello 2 |
| | | |2, CIE |rilasciato dagli |
| | | | |Identity Provider|
| | | | |accreditati, CIE |
| | | | |rilasciata dal |
| | | | |Ministero |
| | | | |dell'interno |
+----+----------------+------------+--------------+-----------------+
| | | | |Altri enti della |
| | | | |Pubblica |
| | | | |Amministrazione |
| |Utenti della | | |alimentano l'ANA |
| |Pubblica | | |per allineare |
| |Amministrazione:| |Certificato |banche dati a |
|5 |Ministero della |Web service |client |supporto del |
| |salute, ANPR, | | |sistema. |
| |Anagrafe | | |Certificato di |
| |Tributaria | | |autenticazione |
| | | | |rilasciato dal |
| | | | |Sistema TS. Il |
| | | | |colloquio e' |
| | | | |System-to-System.|
+----+----------------+------------+--------------+-----------------+
Tabella 1 - Modalita' di accesso
4.1 Accesso tramite sistema regionale o sistema della ASL
La modalita' 1 riportata in tabella 1 si rivolge alle regioni, alle
province autonome di Trento e Bolzano, al Ministero della salute per
quanto riguarda gli assistiti SASN, che sono gli intermediari SAR che
colloquiano con il sistema ANA e che permettono l'accesso
all'operatore sanitario. L'operatore sanitario (utente finale) si
autentica con il sistema regionale con credenziali e modalita'
stabilite dalla regione, ma che devono garantire i requisiti di
sicurezza adottati dal sistema ANA in termini di autenticazione a due
fattori; a sua volta la regione si autentica e coopera con il sistema
ANA. Il passaggio dell'utente finale viene realizzato mediante
asserzione SAML firmata dalla regione. Il certificato di firma viene
rilasciato dall'infrastruttura del Sistema TS (par. 6).
Analoghe considerazioni si possono fare per la modalita' 2, nella
quale il sistema regionale SAR viene sostituito da un sistema
aziendale SAA.
I SAR ovvero, per i casi di subentro di ANA, le ASL ovvero i SASN,
per ogni operazione su ANA, attraverso i servizi descritti dalle
specifiche tecniche pubblicate nella sezione dedicata del portale
ANA, rendono disponibile ad ANA un'asserzione firmata con la quale
dichiarano che l'operazione e' stata eseguita da un operatore
conosciuto dai medesimi SAR, ovvero ASL, ovvero SASN, oppure
utilizzando un operatore virtuale come indicato nelle specifiche
tecniche. Tale modalita' risulta conforme alle specifiche sulla
autenticazione a due o piu' fattori previste dal CAD.
4.2 Accesso tramite applicazione web
La modalita' 3 riportata in tabella 1 si rivolge al singolo
operatore sanitario che accede ad una applicazione web resa
disponibile dal sistema ANA utilizzando la propria TS-CNS, una CNS
oppure SPID livello 2, oppure CIE oppure un metodo di autenticazione
a 2 fattori rilasciato dall'infrastruttura del Sistema TS (par. 6).
4.3 Accesso del cittadino
In riferimento all'articolo 9 del presente decreto, la modalita' 4
riportata in tabella 1 si rivolge al cittadino che puo' accedere ai
propri dati personali mediante applicazione web e metodo di
autenticazione TSCNS, CNS, SPID livello 2, CIE.
4.4 Accesso delle Pubbliche Amministrazioni
Altre Pubbliche Amministrazioni alimentano l'ANA per l'allineamento
di banche dati a supporto del sistema. In particolare, ANPR comunica
i soggetti facenti parte della popolazione residente, Anagrafe
Tributaria comunica i soggetti non presenti in ANPR, il Ministero
della salute comunica gli assistiti SASN, i medici fiduciari SASN,
l'anagrafica dei punti nascita. Questi colloqui sono generalmente
system-to-system ed avvengono tramite utenze di servizio in mutua
autenticazione con certificato client.
In casi particolari, laddove sia necessario una verifica puntuale
di un operatore finalizzata al corretto allineamento dei dati, sara'
possibile rilasciare credenziali per l'autenticazione a due fattori
oppure con PIN ai singoli operatori delle Pubbliche Amministrazioni
indicate.
5. Infrastruttura di sicurezza
Al fine di garantire le adeguate misure di sicurezza, il Sistema
ANA si e' dotato delle seguenti componenti:
- infrastruttura di Identity & Access Management per
l'identificazione dell'utente, la gestione dei profili
autorizzativi,la verifica dei diritti di accesso, il tracciamento
delle operazioni; nell'ottica del riutilizzo tale infrastruttura e'
la stessa del Sistema TS in quanto gia' esistente e gia' conosciuta
agli utenti;
- amministratori di sicurezza delle ASL: sono gli operatori che
censiscono gli utenti e distribuiscono gli strumenti di sicurezza;
anche in questo caso si utilizzano gli amministratori di sicurezza
del Sistema TS gia' presenti e operativi sul territorio delle singole
ASL;
- Certification Authority;
- sistema di monitoraggio dei servizi;
- sistema di log analysis;
- sistemi di sicurezza per la protezione delle informazioni e dei
servizi;
- piano di continuita' operativa;
- sistema di Disaster Recovery;
- sistemi e servizi di backup per il salvataggio dei dati e delle
applicazioni;
- infrastruttura per la registrazione degli accessi ai sistemi e
alla base dati.
Nei seguenti paragrafi sono descritte le misure di sicurezza e le
procedure che utilizzano i vari componenti.
6. Registrazione degli utenti ed assegnazione degli strumenti di
sicurezza
L'infrastruttura di Identity e Access Management censisce
direttamente le utenze, accogliendo flussi di autenticazione e di
autorizzazione, per l'assegnazione dei certificati client di
autenticazione, delle credenziali di autenticazione a 2 fattori e
delle risorse autorizzative.
L'autenticazione delle regioni e delle ASL verso il sistema avviene
attraverso certificato client con mutua autenticazione. Il
certificato viene emesso dalla Certification Authority con un sistema
di crittografia asimmetrica a chiave pubblica/privata. Il sistema
effettua la gestione completa del certificato di autenticazione:
assegnazione, rinnovo alla scadenza, revoca. La gestione e la
conservazione del certificato client sono di esclusiva
responsabilita' del soggetto cui e' stato assegnato.
L'autenticazione degli operatori sanitari avviene tramite TS-CNS
oppure CNS oppure autenticazione a 2 fattori oppure con PIN. La
TS-CNS e' prodotta e consegnata dal Sistema TS a tutti i cittadini
che sono assistiti del SSN. La tessera e' dotata di chip che contiene
il certificato di autenticazione personale. Prima del primo utilizzo
come dispositivo di autenticazione, la tessera deve essere attivata
presso il Card Management System della regione di riferimento. Per
l'autenticazione e' possibile anche utilizzare una CNS distribuita
dai sistemi regionali. Un ulteriore metodo di autenticazione per gli
operatori sanitari e' costituito dalla modalita' a 2 fattori, che si
compone di credenziali di autenticazione e codice OTP con durata
limitata nel tempo. Un altro metodo di autenticazione e'
l'autenticazione di base (ID utente e password) con codice PIN come
fattore di autenticazione. L'assegnazione delle credenziali agli
utenti del sistema ANA e' effettuata dagli amministratori di
sicurezza del Sistema TS presenti in ciascuna ASL, con le modalita'
gia' in uso nel Sistema TS. La registrazione degli operatori sanitari
si effettua presso la ASL di riferimento che consegna le credenziali.
Il codice OTP viene inviato all'utente secondo il metodo scelto tra i
piu' diffusi (per es. email, SMS, App), e ha durata limitata nel
tempo.
La gestione dei profili di autorizzazione e' effettuata sempre
dagli amministratori di sicurezza delle ASL. A tutti gli operatori
sanitari che devono essere autorizzati viene assegnata una risorsa di
autorizzazione creata e dedicata appositamente ai singoli servizi
descritti nel presente decreto.
Anche gli amministratori di sicurezza si autenticano alle funzioni
a loro dedicate con metodi di autenticazione forte (TS-CNS,
autenticazione a 2 fattori).
La gestione degli amministratori di sicurezza delle ASL e'
effettuata dall'amministratore centrale della sicurezza.
L'Amministratore centrale della sicurezza e' nominato tra gli
incaricati del trattamento.
I cittadini si autenticano con metodi di autenticazione forte:
TS-CNS, CNS, SPID livello 2, CIE. Ogni cittadino assistito dal SSN e'
dotato di TS-CNS; le credenziali SPID si ottengono presso gli
Identity Provider accreditati. La CIE viene rilasciata dal Ministero
dell'interno.
7. Registrazione degli accessi e tempi di conservazione
Il sistema registra gli accessi ai servizi e l'esito
dell'operazione, e inserisce i dati dell'accesso in un archivio
dedicato. Per ciascuna transazione effettuata saranno registrati i
seguenti dati minimi relativi all'accesso e all'esito
dell'operazione. Nel caso di utente che accede tramite sistema
regionale SAR o sistema aziendale SAA: identificativo della regione
che si autentica, codice fiscale dell'operatore sanitario, ruolo
dell'operatore, data-ora-minuti-secondi-millisecondi dell'accesso,
operazione richiesta, esito dell'operazione, identificativo della
transazione. Nel caso di utente che accede tramite credenziali
rilasciate dal sistema TS: codice fiscale dell'operatore sanitario,
ruolo dell'operatore, data-ora-minutisecondi-millisecondi
dell'accesso, operazione richiesta, esito dell'operazione,
identificativo della transazione. Nel caso di cittadino: codice
fiscale del cittadino, data-ora-minuti-secondi-millisecondi
dell'accesso, operazione richiesta, esito dell'operazione,
identificativo della transazione. In considerazione di eventuali
richieste dell'Autorita' Giudiziaria che possono avvenire anche a
distanza di anni dall'evento, i log degli accessi cosi' descritti
sono conservati per almeno ventiquattro mesi.
8. Infrastruttura fisica
L'infrastruttura fisica e' realizzata dal Ministero dell'economia e
delle finanze attraverso l'utilizzo dell'infrastruttura del Sistema
Tessera sanitaria in attuazione di quanto disposto dal presente
decreto.
I locali sono sottoposti a videosorveglianza continua e sono
protetti da qualsiasi intervento di personale esterno, ad esclusione
degli accessi di personale preventivamente autorizzato necessari alle
attivita' di manutenzione e gestione tecnica dei sistemi e degli
apparati.
L'accesso ai locali avviene secondo una documentata procedura,
prestabilita dal Titolare del trattamento, che prevede
l'identificazione delle persone che accedono e la registrazione degli
orari di ingresso ed uscita di tali persone.
9. Canali di comunicazione
Tutte le comunicazioni sono scambiate in modalita' sicura mediante
protocollo TLS in versione minima 1.2, al fine di garantire la
riservatezza dei dati. I protocolli di comunicazione TLS, gli
algoritmi e gli altri elementi che determinano la sicurezza del
canale di trasmissione protetto sono continuamente adeguati in
relazione allo stato dell'arte dell'evoluzione tecnologica, in
particolare per il TLS non sono negoziati gli algoritmi crittografici
piu' datati (es. MD5).
Le regioni e le Pubbliche Amministrazioni comunicano a scelta su
rete SPC ovvero su rete Internet. Tutte le altre comunicazioni
avvengono su rete Internet.
10. Sistema di monitoraggio dei servizi
Per il monitoraggio dei servizi, il Ministero dell'economia e delle
finanze si avvale di specifici sistemi di verifica del funzionamento
dei sistemi (cosiddette "sonde" di monitoraggio) e di uno specifico
sistema di reportistica. Il sistema di reportistica offre funzioni
per visualizzare i dati aggregati come il numero di transazioni
effettuate e i relativi esiti. L'aggregazione puo' essere fatta per
regione o per ASL che effettua la transazione. La finalita' e' di
fornire il monitoraggio dell'andamento del progetto, sia per la fase
di subentro che per la fase a regime.
11. Sistema di log analysis
Il Ministero dell'economia e delle finanze adotta un sistema di log
analysis per l'analisi periodica delle informazioni registrate nei
log, in grado di individuare, sulla base di regole predefinite e
formalizzate e attraverso l'utilizzo di indicatori di anomalie
(alert), eventi potenzialmente anomali che possano configurare
trattamenti illeciti.
Sulla base di quanto monitorato dal sistema di log analysis,
vengono generati, periodicamente, report sintetici sullo stato di
sicurezza del sistema (es. accessi ai dati, rilevamento delle
anomalie, etc.).
12. Protezione da attacchi informatici
Per proteggere i sistemi dagli attacchi informatici al fine di
eliminare le vulnerabilita', si utilizzano le seguenti tecnologie o
procedure.
a) Aggiornamenti periodici dei sistemi operativi e dei software
di sistema, hardening delle macchine.
b) Adozione di una infrastruttura di sistemi firewall e sistemi
IPS (Intrusion Prevention System) che consentono la rilevazione
dell'esecuzione di codice non previsto e l'esecuzione di azioni in
tempo reale quali il blocco del traffico proveniente da un indirizzo
IP attaccante.
c) Esecuzione di WAPT (Web Application Penetration Test), per la
verifica della presenza di eventuali vulnerabilita' sul codice
sorgente.
d) Adozione del captcha sull'applicazione web e di sistemi di
rate-limit sui web services che limitano il numero di transazioni
nell'unita' di tempo, al fine di mitigare il rischio di accesso
automatizzato alle applicazioni che genererebbe un traffico
finalizzato alla saturazione dei sistemi e quindi al successivo
blocco del servizio.
13. Continuita' operativa, disaster recovery e backup
Per il sistema ANA viene definito il piano di continuita' operativa
che esplicitera' le procedure relative ai sistemi ed ai servizi di
backup e di Disaster Recovery. Nel piano sono riportati i criteri per
il calcolo dei tempi di ripristino. Il piano e' aggiornato
periodicamente per adeguarlo allo stato dell'arte della tecnologia
disponibile.
14. Accesso ai sistemi
L'infrastruttura dispone di sistemi di tracciamento degli accessi
ai sistemi informatici di supporto come sistemi operativi, server web
e altre infrastrutture a supporto dei servizi.
Per ogni accesso ai sistemi operativi, ai sistemi di rete, al
software di base e ai sistemi complessi (anche da parte degli
amministratori di sistema), il sistema di tracciamento registra (su
appositi log) le seguenti informazioni: identificativo univoco
dell'utenza che accede, data e ora di login, logout e login falliti,
postazione di lavoro utilizzata per l'accesso (IP client). I log
prodotti dai sistemi di tracciamento infrastrutturali sono soggetti a
monitoraggio costante allo scopo di individuare eventuali anomalie
inerenti alla sicurezza (accessi anomali, operazioni anomale, ecc.) e
di valutare l'efficacia delle misure implementate. I log di accesso
degli Amministratori di sistema e degli incaricati sono protetti da
eventuali tentativi di alterazione e dispongono di un sistema di
verifica della loro integrita'. I log relativi agli accessi e alle
operazioni effettuate sui sistemi operativi, sulla rete, sul software
di base e sui sistemi complessi sono conservati per dodici mesi.
15. Accesso alla base dati
L'infrastruttura dispone di un sistema di tracciamento degli
accessi alla base dati.
L'accesso alla base dati avviene tramite utenze nominali o
riconducibili ad una persona fisica (escluse le utenze di servizio).
Il sistema di tracciamento registra (su appositi log) le seguenti
informazioni: identificativo univoco dell'utenza che accede, data e
ora di login, logout e login falliti, postazione di lavoro utilizzata
per l'accesso (IP client), tipo di operazione eseguita sui dati (ad
esclusione delle risposte alle query). I log relativi agli accessi
alla base dati sono conservati per dodici mesi.
La base dati dell'ANA e' sottoposta ad un audit interno di
sicurezza con cadenza annuale, al fine di verificare l'adeguatezza
delle misure di sicurezza.
16. Esattezza, univocita' e sicurezza dei dati nella cooperazione con
le banche dati regionali
Fermo restando che alle regioni e alle ASL non e' consentito
effettuare variazioni o inserimento di dati anagrafici primari
dell'assistito compreso il codice fiscale, garantiti dalla
interoperabilita' tra ANPR e ANA, sono previste misure volte a
garantire l'esattezza, l'univocita' e la sicurezza dei dati
dell'assistenza sanitaria sia nella fase di inizializzazione dei dati
dell'ANA a partire dalle banche dati degli assistiti gia' istituite a
livello regionale, sia nella successiva fase di cooperazione.
In particolare, per quanto riguarda l'esattezza, l'ANA permette
l'allineamento della banca dati regionale con la seguente modalita':
la ASL comunica i dati sanitari all'ANA per tramite della regione
laddove e' stata validata ai sensi dell'articolo 3, comma 2, del
presente decreto; l'ANA recepisce i dati e invia una risposta di
avvenuta registrazione degli stessi; la regione a questo punto puo'
procede all'allineamento, avendo avuto la garanzia che l'ANA e' gia'
stata aggiornata. Tale schema limita fortemente il rischio di
disallineamento.
Per quanto riguarda l'univocita', l'ANA rilascia un identificativo
univoco per ciascuna transazione, che resta associato ai dati oggetto
di inserimento o variazione; la regione o la ASL, facendo riferimento
a tale identificativo univoco, ha la garanzia dell'allineamento con
quelli registrati nell'ANA. La regione o la ASL puo' in qualunque
momento verificare l'allineamento con l'ANA per il tramite del codice
univoco della transazione, senza la necessita' di far circolare i
dati dell'assistito.
Per quanto riguarda la sicurezza, sia nella fase di
inizializzazione sia nella fase di cooperazione vengono adottate le
misure di sicurezza previste nel presente allegato, in particolare ai
paragrafi 4.4, 6, 7, 9.