Questo sito utilizza i cookie, anche di terze parti, per il monitoraggio degli accessi.
Per saperne di più, conoscere i cookie utilizzati ed eventualmente disabilitarli, accedi alla pagina Privacy.
Se prosegui nella navigazione di questo sito acconsenti all’utilizzo dei cookie.

Decreto Presidente Consiglio Ministri del 24 ottobre 2014 art. 11


OBBLIGHI DEI GESTORI DELL'IDENTITÀ DIGITALE

1. I gestori dell'identità digitale, nel rispetto dei regolamenti di cui all'art. 4:
a) utilizzano sistemi affidabili che garantiscono la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo o internazionale;
b) adottano adeguate misure contro la contraffazione, idonee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione delle credenziali di accesso;
c) effettuano un monitoraggio continuo al fine rilevare usi impropri o tentativi di violazione delle credenziali di accesso dell'identità digitale di ciascun utente, procedendo alla sospensione dell'identità digitale in caso di attività sospetta;
d) effettuano, con cadenza almeno annuale, un'analisi dei rischi;
e) definiscono il piano per la sicurezza dei servizi SPID, da trasmettere all'Agenzia, e ne garantiscono l'aggiornamento;
f) allineano le procedure di sicurezza agli standard internazionali, la cui conformità è certificata da un terzo abilitato;
g) conducono, con cadenza almeno semestrale, il «Penetration Test»;
h) garantiscono la continuità operativa dei servizi afferenti allo SPID;
i) effettuano ininterrottamente l'attività di monitoraggio della sicurezza dei sistemi, garantendo la gestione degli incidenti da parte di un'apposita struttura interna;
l) garantiscono la gestione sicura delle componenti riservate delle identità digitali degli utenti, assicurando che le stesse non siano rese disponibili a terzi, ivi compresi i fornitori di servizi stessi, neppure in forma cifrata;
m) garantiscono la disponibilità delle funzioni, l'applicazione dei modelli architetturali e il rispetto delle disposizioni previste dal presente decreto e dai regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4;
n) si sottopongono, con cadenza almeno biennale, ad una verifica di conformità alle disposizioni vigenti da parte di un organismo di valutazione accreditato ai sensi del Regolamento CE 765/2008 del Parlamento Europeo e del Consiglio del 9 luglio 2008. Inviano all'Agenzia l'esito della verifica, redatto dall'organismo di valutazione in lingua inglese, entro tre giorni lavorativi dalla sua ricezione;
o) informano tempestivamente l'Agenzia e il Garante per la protezione dei dati personali su eventuali violazioni di dati personali, secondo le modalità individuate nei regolamenti adottati ai sensi dell'art. 4;
p) adeguano i propri sistemi a seguito degli aggiornamenti emanati dall'Agenzia;
q) inviano all'Agenzia, in forma aggregata, i dati da questa richiesti a fini statistici, che potranno essere resi pubblici.

Documenti collegati

Percorsi argomentali

Aggiungi un commento


Se vuoi aggiornamenti su "Decreto Presidente Consiglio Ministri del 24 ottobre 2014 art. 11"

inserisci la tua e-mail nel box qui sotto