ART. 24 (Requisiti di sicurezza - art. 26 del regolamento) 1. L'architettura dei servizi di consultazione aderisce al modello MVC (Model View Controller) e prevede il disaccoppiamento del front-end, localizzato sul punto di accesso o sul portale dei servizi telematici, dal back-end, localizzato sul gestore dei servizi telematici, incaricato di esporre i servizi sottoforma di web service (http/SOAP). 2. Il portale dei servizi telematici espone, attraverso un apposito servizio proxy, i web service forniti dal gestore dei servizi telematici, a beneficio dei punti di accesso e di applicazioni esterne. 3. I punti di accesso realizzano autonomamente la parte di front-end, che deve essere localizzata all'interno della intranet del PdA stesso e non deve essere accessibile direttamente dall'esterno. 4. I punti di accesso possono a loro volta esporre i web service forniti dal gestore dei servizi telematici, a beneficio di applicazioni esterne. 5. Il protocollo di trasporto tra il punto di accesso e il proxy e' HTTPS; la serializzazione dei messaggi e' nel formato XML/SOAP. 6. Le funzionalita' fornite dai web service realizzati, nonche' le relative regole di invocazione, sono descritte tramite i WSDL pubblicati sull'area pubblica del portale dei servizi telematici. 7. L'accesso ai servizi di consultazione avviene previa identificazione informatica su di un punto di accesso o sul portale dei servizi telematici, secondo le specifiche di cui all'articolo 6; a seguito di tale identificazione, il punto di accesso o il portale dei servizi telematici attribuiscono all'utente un ruolo di consultazione, a seconda del registro di cancelleria; eseguita tale operazione, viene trasmesso al proxy di cui al comma 2 il codice fiscale del soggetto che effettua l'accesso (nell'header http) e il ruolo di consultazione stesso (nel messaggio SOAP); il proxy verifica che il soggetto sia presente nel ReGIndE e in caso trattasi di un avvocato che lo status non sia "radiato" o "cancellato"; qualora la verifica abbia esito positivo, trasmette la richiesta al web service del gestore dei servizi telematici. 8. In base al ruolo di consultazione di cui al comma precedente, il sistema fornisce le autorizzazioni all'accesso rispetto alle informazioni anagrafiche contenute nei sistemi di gestione dei registri o sulla base dell'atto di delega previsto dal regolamento. 9. In fase di richiesta di attivazione, il punto di accesso puo' adottare meccanismi di identificazione basati sulla gestione federata delle identita' digitali (modello GFID), secondo le specifiche di DigitPA; in questo caso, il responsabile per i sistemi informativi automatizzati, valutata la soluzione proposta e opportunamente descritta nel piano della sicurezza, approva il meccanismo di identificazione che soddisfa il livello di sicurezza richiesto. 10. Fuori dai casi previsti ai commi 1 e 9, l'architettura dei servizi di consultazione prevede in via residuale che il punto di accesso o il portale dei servizi telematici effettuino, a seguito dell'identificazione di cui al comma 7, un link diretto dalle proprie pagine alla pagina principale del sito web che rende disponibili i servizi su canale sicuro (HTTPS); in questo caso i dati identificativi del soggetto vengono inseriti nell'header HTTP della richiesta. 11. I servizi di consultazione attivi sono elencati, per singolo ufficio, nel catalogo dei servizi telematici, di cui all'articolo 5, comma 5. 12. L'elenco dei punti di accesso autorizzati e' pubblicato nell'area pubblica del portale dei servizi telematici e nel catalogo dei servizi telematici, di cui all'articolo 5, comma 5. 13. Il punto di accesso si dota di un piano della sicurezza, depositato al responsabile per i sistemi informativi automatizzati unitamente all'istanza di iscrizione all'elenco pubblico dei punti di accesso, che prevede la trattazione, esaustiva e dettagliata, dei seguenti argomenti: a) struttura logistica e operativa dell'organizzazione; b) ripartizione e definizione delle responsabilita' del personale addetto; c) descrizione dei dispositivi installati; d) descrizione dell'infrastruttura di protezione, per ciascun immobile interessato (e rilevante ai fini della sicurezza); e) descrizione delle procedure di registrazione delle utenze; f) descrizione relativa all'implementazione dei meccanismi di identificazione informatica; g) qualora il PdA integri la gestione delle caselle di PEC dei propri utenti, descrizione delle modalita' di integrazione; h) procedura di gestione delle copie di sicurezza dei dati; i) procedura di gestione dei disastri; j) analisi dei rischi e contromisure previste; 14. Ai fini dell'iscrizione nel suddetto elenco, il responsabile per i sistemi informativi automatizzati verifica il piano della sicurezza di cui al comma precedente e puo' disporre apposite verifiche in loco, in particolare per accertare il rispetto delle prescrizioni di sicurezza riportate nel presente provvedimento. 15. Il punto di accesso abilita i propri iscritti unicamente a usufruire dei servizi esplicitamente autorizzati dal responsabile per i sistemi informativi automatizzati e riportati nel catalogo dei servizi telematici. 16. Il punto di accesso si dota di una casella di posta elettronica certificata, che comunica al responsabile per i sistemi informativi automatizzati, da utilizzarsi per inviare e ricevere comunicazioni con il Ministero della giustizia.