L'articolo 67 comma 5 del decreto del Presidente della Repubblica
n. 207/2010 e successive modificazioni ed integrazioni, prevede che
le SOA (Societa' Organismi di Attestazione) debbano disporre di
attrezzatura informatica conforme al tipo definito dall'Autorita' per
la comunicazione delle informazioni all'Osservatorio.
Le caratteristiche dell'attrezzatura, cosi' come di seguito
definita, e la struttura informatica delle SOA dovranno essere
aggiornate in relazione all'aggiornamento della struttura informatica
dell'Autorita'. Analogamente, le policy di sicurezza delle SOA
dovranno essere, di volta in volta, adeguate ad eventuali mutamenti
delle policy di sicurezza dell'Autorita'.
La comunicazione delle informazioni «da» e «verso» l'Autorita'
avviene nel rispetto del Codice dell'Amministrazione Digitale (CAD)
di cui al decreto legislativo 7 marzo 2005 n. 82 e successive
modifiche ed integrazioni.
Le tecnologie informatiche a supporto della trasmissione
informatica dei documenti, in piena conformita' con le Regole
tecniche e di sicurezza per il funzionamento del Sistema pubblico di
connettivita' previste dall'articolo 71 comma 1-bis del CAD, sono
principalmente:
la cooperazione applicativa, secondo il modello costituito
dall'insieme delle regole e delle specifiche funzionali del
sottosistema logico SPCoop. Nel caso in cui la SOA debba scambiare
informazioni con l'Autorita' attraverso l'utilizzo di servizi (ovvero
non tramite le applicazioni rese disponibili sul portale web
dell'Autorita'), dovranno essere adottati i sistemi previsti da
SPCoop, in conformita' alle direttive tecniche emanate da DigitPA
(oggi AgID - Agenzia per l'Italia Digitale) in relazione alla Porta
di Dominio ed alla busta di eGov;
la posta elettronica certificata (PEC), cosi' come previsto dal
decreto del Presidente della Repubblica 11 febbraio 2005 n. 68
pubblicato nella Gazzetta Ufficiale 28 aprile 2005 n. 97 e dal
decreto ministeriale pubblicato nella Gazzetta Ufficiale del 15
novembre 2005, n. 266 contenente le «Regole tecniche per la
formazione, la trasmissione e la validazione, anche temporale, della
posta elettronica certificata»;
la firma digitale o altro tipo di firma elettronica qualificata
per i legali rappresentanti e i direttori tecnici delle SOA.
La SOA dovra' effettuare la riproduzione su supporti informatici e
la conservazione nel tempo dei documenti e delle informazioni di cui
e' prescritta la conservazione per legge o regolamento in conformita'
al CAD (Capo III - Formazione, gestione e conservazione dei documenti
informatici) e nel rispetto delle regole tecniche stabilite ai sensi
dell'articolo 71 del medesimo CAD.
La SOA dovra' operare nel rispetto della regolamentazione in
materia di privacy e delle misure minime di sicurezza, cosi' come
definito dal decreto legislativo 30 giugno 2003, n. 196 «Codice in
materia di protezione dei dati personali» (c.d. Codice della
Privacy), in vigore dal 1° gennaio 2004. In relazione agli aspetti di
privacy la SOA dovra' inoltre adottare le prescrizioni introdotte dai
seguenti provvedimenti normativi:
legge 6 agosto 2008 n. 133, di conversione, con modificazioni,
del decreto legge 25 giugno 2008 n. 112 «Conversione in legge, con
modificazioni, del decreto legge 25 giugno 2008, n. 112, recante
disposizioni urgenti per lo sviluppo economico, la semplificazione,
la competitivita', la stabilizzazione della finanza pubblica e la
perequazione tributaria»;
decreto legislativo 30 maggio 2008, n. 109, «Attuazione della
Direttiva 2006/24/CE riguardante la conservazione dei dati generati o
trattati nell'ambito della fornitura di servizi di comunicazione
elettronica accessibili al pubblico o di reti pubbliche di
comunicazione e che modifica la direttiva 2002/58/CE».
Dovranno, altresi', essere rispettati i pronunciamenti del Garante
della Privacy, ivi compresi gli adempimenti per gli amministratori di
sistema contenuti in «Misure e accorgimenti prescritti ai titolari
dei trattamenti effettuati con strumenti elettronici relativamente
alle attribuzioni delle funzioni di amministratore di sistema»
pubblicato nella Gazzetta Ufficiale del 24 dicembre 2008, n. 300 -
Serie generale e successive modificazioni ed integrazioni.
Attrezzatura informatica delle SOA
Requisiti di sicurezza delle infrastrutture presso le SOA
La SOA dovra', in sintonia con le politiche di sicurezza
dell'Autorita', definire ed applicare idonee misure di sicurezza
fisica, logica ed organizzativa sulla base di requisiti di sicurezza,
riservatezza, integrita' e disponibilita' di dati, documenti ed
informazioni, oltre alle misure derivanti da una propria analisi dei
rischi informatici.
L'infrastruttura di base, nella quale verranno realizzati i
database, dovra' essere in grado di garantire il funzionamento
continuo delle apparecchiature per quanto riguarda la logica
elaborativa necessaria alla visibilita' dei dati. Dovranno essere
utilizzati, ove necessario, sistemi ridondati in grado di garantire
l'alta affidabilita' e la continuita' nell'utilizzo dei database
anche a fronte dell'indisponibilita' di alcune componenti
dell'infrastruttura di base. Dovranno, inoltre, essere previste
procedure di carattere tecnico e organizzativo in materia di
conservazione e ripristino delle informazioni (backup & restore). In
tale ambito la SOA dovra' disporre, tra l'altro, di un gruppo di
continuita' in grado di alimentare tutte le apparecchiature che si
riterra' opportuno collegare per un tempo sufficiente a terminare le
operazioni di salvataggio e chiusura ordinata del sistema al fine di
evitare la perdita di informazioni.
L'infrastruttura di rete utilizzata dalla SOA dovra' avvalersi di
dispositivi tecnologici (apparecchiature per l'instradamento quali
switch, router, etc.) idonei a garantire le opportune misure di
sicurezza informatica e l'adeguato svolgimento delle attivita' di
pertinenza. In particolare, l'infrastruttura di base e le
apparecchiature che ospitano i database dovranno essere protetti da
opportuni sistemi firewall, in grado di impedire accessi non
autorizzati e di concedere l'utilizzo dei database e delle risorse in
modo controllato. I sistemi della SOA dovranno prevedere misure
idonee a proteggere le informazioni da codice malevolo, virus
informatici o altri software dannosi, come ad esempio malware, worm e
trojan.
Ove applicabile e come prescritto dal gia' richiamato Codice in
materia di protezione dei dati personali con particolare riferimento
al Disciplinare tecnico in materia di misure minime di sicurezza
(allegato B al Codice della Privacy), il trattamento di dati
personali con strumenti elettronici deve essere consentito ai soli
incaricati dotati di credenziali che consentano il superamento di una
procedura di autenticazione specifica.
Per gli incaricati potranno essere individuati «profili di
autorizzazione» di ambito diverso. Detti profili di autorizzazione,
relativi a ciascun incaricato o a classi omogenee di incaricati,
dovranno essere individuati e configurati anteriormente all'inizio
del trattamento e comunque in modo tale da limitare l'accesso ai soli
dati necessari all'effettuazione delle operazioni previste per lo
specifico trattamento.
La SOA dovra' disporre di un collegamento alla rete Internet al
fine di comunicare e/o reperire le informazioni di propria pertinenza
attraverso le funzionalita' rese disponibili sul portale
dell'Autorita'. Tale collegamento dovra' consentire una velocita' di
navigazione di almeno 7 Mbps in download e di almeno 384 Kbps in
upload.
Caratteristiche hardware minime dei sistemi server
Le SOA dovranno disporre di adeguati server, fisici o virtuali,
allo stato dell'arte della tecnologia, secondo l'architettura
autonomamente scelta per realizzare il sistema.
I sistemi server dovranno ricomprendere un sottosistema di
memorizzazione con spazio disco adeguato a mantenere in linea le
informazioni di competenza acquisite nel corso del tempo e con
caratteristiche di alta affidabilita' ed efficienza (es. modalita'
RAID).
Per la gestione dei documenti e delle informazioni il cui
trattamento e' effettuato nell'ambito di un processo di
dematerializzazione, ovvero esclusivamente in formato elettronico, le
SOA si dovranno dotare di dispositivi per la conservazione dei
documenti informatici in accordo con le normative vigenti(CAD - Capo
III - Formazione, gestione e conservazione dei documenti informatici
e regole tecniche stabilite ai sensi dell'articolo 71 dello stesso
Codice).
Caratteristiche software minime
Le SOA dovranno disporre di un database per la gestione di tutte le
informazioni di cui all'art. 8 comma 2 del decreto del Presidente
della Repubblica n. 207/2010.
Il database dovra', inoltre, gestire le informazioni relative alle
istruttorie sulla qualificazione per consentire l'acquisizione di
quanto necessario allo svolgimento dell'attivita' di vigilanza in
capo all'Autorita' (art. 71 del decreto del Presidente della
Repubblica n. 207/2010).
Il software utilizzato dalle SOA per alimentare il database dovra'
essere realizzato in conformita' alle regole in materia di tutela
della privacy e consentire l'accesso agli utenti in relazione al
ruolo svolto nell'ambito del processo di attestazione. Lo stesso
dovra' disporre di funzionalita' per la gestione dei dati del
contratto di attestazione tra la SOA e l'operatore economico, per la
gestione del ciclo di vita della richiesta di attestazione e
dell'attestato rilasciato ed, in definitiva, per la gestione delle
informazioni di cui all'art. 8 comma 2 del decreto del Presidente
della Repubblica n. 207/2010.
Le SOA dovranno comunicare ad AVCP i dati relativi alle imprese
attestande e/o attestate utilizzando una delle seguenti modalita':
attraverso l'interazione con l'applicazione «Attestazioni»,
accessibile dalla sezione dei «Servizi ad accesso riservato» del
portale AVCP;
attraverso l'uso di servizi di cooperazione applicativa secondo le
specifiche pubblicate sul medesimo portale AVCP.
Quanto sopra premesso e considerato si invitano tutte le SOA
autorizzate all'adozione e/o all'aggiornamento nei sensi suesposti
degli standard infrastrutturali e di sicurezza dei propri sistemi
informatici, nell'ottica del perseguimento del migliore
efficientamento del sistema, assegnando per l'aggiornamento il
termine di 60 giorni dalla pubblicazione della presente
determinazione, fermi restando gli obblighi delle SOA di assicurare
la trasmissione dei dati/informazioni di cui all'art. 8, comma 2 e
seguenti, del decreto del Presidente della Repubblica n. 207/2010,
disciplinata dall'Autorita' con il distinto Comunicato afferente il
rilascio in esercizio della procedura «attestazioni».
Il riscontro da parte dell'Autorita' della mancata tempestiva
attuazione di quanto previsto nella presente determinazione
comportera' i necessari e conseguenti provvedimenti a carico delle
SOA inadempienti.
Roma, 6 giugno 2014
Il Presidente: Santoro
---------
Depositato presso la Segreteria del Consiglio in data 9 giugno
2014
Il Segretario: Esposito