Decreto Presidente Consiglio Ministri del 22 febbraio 2013 art. 35

PIANO PER LA SICUREZZA

1. Il certificatore definisce un piano per la sicurezza nel quale sono contenuti almeno i seguenti elementi:
a) struttura generale, modalità operativa e struttura logistica;
b) descrizione dell'infrastruttura di sicurezza fisica rilevante ai fini dell'attività di certificatore;
c) allocazione dei servizi e degli uffici negli immobili rilevanti ai fini dell'attività di certificatore;
d) descrizione delle funzioni del personale e sua allocazione ai fini dell'attività di certificatore;
e) attribuzione delle responsabilità;
f) algoritmi crittografici o altri sistemi utilizzati;
g) descrizione delle procedure utilizzate nell'attività di certificatore;
h) descrizione dei dispositivi installati;
i) descrizione dei flussi di dati;
l) procedura di gestione delle copie di sicurezza dei dati;
m) procedura di continuità operativa del servizio di pubblicazione delle liste di revoca e sospensione;
n) analisi dei rischi;
o) descrizione delle contromisure;
p) descrizione delle verifiche e delle ispezioni;
q) descrizione delle misure adottate ai sensi degli articoli 32, comma 1, e 47, comma 2;
r) procedura di gestione dei disastri;
s) descrizione della procedura di cui all'art. 8, comma 3, ponendo in rilievo le modalità di conservazione e protezione dei supporti contenenti le chiavi esportate;
t) misure di sicurezza per la protezione dei dispositivi di firma remota, ivi comprese le modalità di custodia;
u) limitatamente a quanto previsto all'art. 11, comma 3, modalità con cui è assicurato il controllo esclusivo delle chiavi private custodite sui dispositivi di firma remota;
v) le misure procedurali e tecniche applicate per la distruzione dei dispositivi HSM e delle chiavi che contengono in caso di guasto del dispositivo HSM che non consente l'applicazione delle funzionalità di sicurezza certificate implementate dai dispositivi medesimi.
2. Quanto previsto dalle lettere t) e u) del comma 1 può essere oggetto di dichiarazioni separate da parte del certificatore, ad integrazione del piano per la sicurezza.
3. L'Agenzia, a seguito dell'analisi di quanto dichiarato alle lettere t) e u) del comma 1, può imporre al certificatore di inserire nei certificati qualificati afferenti la firma remota limitazioni d'uso e di valore.
4. Il piano per la sicurezza, sottoscritto dal legale rappresentante del certificatore, ovvero dal responsabile della sicurezza da questo delegato, è consegnato all'Agenzia in busta sigillata o cifrato, al fine di garantirne la riservatezza, in base alle indicazioni fornite dall'Agenzia.
5. Il piano per la sicurezza si attiene alle misure di sicurezza previste dal Titolo V della Parte I del decreto legislativo 30 giugno 2003, n. 196.