Decreto Presidente Consiglio Ministri del 24 ottobre 2014 art. 11

di Redazione WikiJus I 13/01/2015 Libera

OBBLIGHI DEI GESTORI DELL'IDENTITÀ DIGITALE

1. I gestori dell'identità digitale, nel rispetto dei regolamenti di cui all'art. 4:
a) utilizzano sistemi affidabili che garantiscono la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo o internazionale;
b) adottano adeguate misure contro la contraffazione, idonee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione delle credenziali di accesso;
c) effettuano un monitoraggio continuo al fine rilevare usi impropri o tentativi di violazione delle credenziali di accesso dell'identità digitale di ciascun utente, procedendo alla sospensione dell'identità digitale in caso di attività sospetta;
d) effettuano, con cadenza almeno annuale, un'analisi dei rischi;
e) definiscono il piano per la sicurezza dei servizi SPID, da trasmettere all'Agenzia, e ne garantiscono l'aggiornamento;
f) allineano le procedure di sicurezza agli standard internazionali, la cui conformità è certificata da un terzo abilitato;
g) conducono, con cadenza almeno semestrale, il «Penetration Test»;
h) garantiscono la continuità operativa dei servizi afferenti allo SPID;
i) effettuano ininterrottamente l'attività di monitoraggio della sicurezza dei sistemi, garantendo la gestione degli incidenti da parte di un'apposita struttura interna;
l) garantiscono la gestione sicura delle componenti riservate delle identità digitali degli utenti, assicurando che le stesse non siano rese disponibili a terzi, ivi compresi i fornitori di servizi stessi, neppure in forma cifrata;
m) garantiscono la disponibilità delle funzioni, l'applicazione dei modelli architetturali e il rispetto delle disposizioni previste dal presente decreto e dai regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4;
n) si sottopongono, con cadenza almeno biennale, ad una verifica di conformità alle disposizioni vigenti da parte di un organismo di valutazione accreditato ai sensi del Regolamento CE 765/2008 del Parlamento Europeo e del Consiglio del 9 luglio 2008. Inviano all'Agenzia l'esito della verifica, redatto dall'organismo di valutazione in lingua inglese, entro tre giorni lavorativi dalla sua ricezione;
o) informano tempestivamente l'Agenzia e il Garante per la protezione dei dati personali su eventuali violazioni di dati personali, secondo le modalità individuate nei regolamenti adottati ai sensi dell'art. 4;
p) adeguano i propri sistemi a seguito degli aggiornamenti emanati dall'Agenzia;
q) inviano all'Agenzia, in forma aggregata, i dati da questa richiesti a fini statistici, che potranno essere resi pubblici.