Decreto Presidente Consiglio Ministri del 24 ottobre 2014 art. 6


LIVELLI DI SICUREZZA DELLE IDENTITÀ DIGITALI

1. Lo SPID è basato su tre livelli di sicurezza di autenticazione informatica:
a) nel primo livello, corrispondente al Level of Assurance LoA2 dello standard ISO/IEC DIS 29115, il gestore dell'identità digitale rende disponibili sistemi di autenticazione informatica a un fattore, quale la password, secondo quanto previsto dal presente decreto e dai regolamenti di cui all'art. 4;
b) nel secondo livello, corrispondente al Level of Assurance LoA3 dello standard ISO/IEC DIS 29115, il gestore dell'identità digitale rende disponibili sistemi di autenticazione informatica a due fattori, non basati necessariamente su certificati digitali, le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all'Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo, secondo quanto previsto dal presente decreto e dai regolamenti di cui all'art. 4;
c) nel terzo livello, corrispondente al Level of Assurance LoA4 dello standard ISO/IEC DIS 29115, il gestore dell'identità digitale rende disponibili sistemi di autenticazione informatica a due fattori basati su certificati digitali, le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all'Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo, secondo quanto previsto dal presente decreto e dai regolamenti di cui all'art. 4.
2. L'Agenzia valuta e autorizza l'uso degli strumenti e delle tecnologie di autenticazione informatica consentiti per ciascun livello, nonché i criteri per la valutazione dei sistemi di autenticazione informatica e la loro assegnazione al relativo livello di sicurezza. In tale ambito, i gestori dell'identità digitale rendono pubbliche le decisioni dell'Agenzia con le modalità indicate dalla stessa.
3. I gestori dell'identità digitale garantiscono che l'autenticazione informatica avvenga attraverso software e soluzioni tecniche che non richiedono ai fornitori di servizi di dotarsi di dispositivi, fissi o mobili, proprietari. Sono consentite soluzioni tecniche che prevedono il caricamento del software necessario per effettuare l'autenticazione informatica.
4. I fornitori di servizi non possono discriminare l'accesso ai propri servizi sulla base del gestore di identità che l'ha fornita.
5. I fornitori di servizi scelgono il livello di sicurezza necessario per accedere ai propri servizi.

Documenti collegati

Percorsi argomentali

Aggiungi un commento


Se vuoi aggiornamenti su "Decreto Presidente Consiglio Ministri del 24 ottobre 2014 art. 6"

Iscriviti alla Newsletter di WikiJus!

Iscriviti