Decreto Presidente Consiglio Ministri del 2009 art. 31

PIANO PER LA SICUREZZA
1. Il certificatore definisce un piano per la sicurezza nel quale sono contenuti almeno i seguenti elementi:
a) struttura generale, modalità operativa e struttura logistica;
b) descrizione dell'infrastruttura di sicurezza fisica rilevante ai fini dell'attività di certificatore;
c) allocazione dei servizi e degli uffici negli immobili rilevanti ai fini dell'attività di certificatore;
d) descrizione delle funzioni del personale e sua allocazione ai fini dell'attività di certificatore;
e) attribuzione delle responsabilità;
f) algoritmi crittografici o altri sistemi utilizzati;
g) descrizione delle procedure utilizzate nell'attività di certificatore;
h) descrizione dei dispositivi installati;
i) descrizione dei flussi di dati;
l) procedura di gestione delle copie di sicurezza dei dati;
m) procedura di continuità operativa del servizio di pubblicazione delle liste di revoca e sospensione;
n) analisi dei rischi;
o) descrizione delle contromisure;
p) descrizione delle verifiche e delle ispezioni;
q) descrizione delle misure adottate ai sensi degli articoli 28, comma 1 e 43, comma 2;
r) procedura di gestione dei disastri.
2. Il piano per la sicurezza, sottoscritto dal legale rappresentante del certificatore, è consegnato al CNIPA in busta sigillata o inviato, cifrato ai fini di riservatezza, in base alle indicazioni fornite dal CNIPA.
3. Il piano per la sicurezza si attiene almeno alle misure minime di sicurezza per il trattamento dei dati personali emanate ai sensi dell'art. 33 del decreto legislativo 30 giugno 2003, n. 196.