Firma Digitale

Home/Firma Digitale
GDPR: General Data Protection Regulation2019-08-06T14:33:06+02:00

A partire dal 25 maggio 2018 è diventato obbligatorio in tutti gli Stati membri della UE il Regolamento 2016/679, noto anche come GDPR (General Data Protection Regulation), che prevede prescrizioni, con riguardo al trattamento e alla libera circolazione dei dati personali delle persone fisiche.

INTERVISTA A GUIDO ALLEGREZZA SUL REGOLAMENTO GDPR

Trust Technologies è un Qualified Trusted Service Provider: opera cioè, in conformità al regolamento UE 910/2014 (eIDAS), per i servizi di Firma Digitale, Marca Temporale e Posta Elettronica Certificata, ma anche Fatturazione Elettronica e Rilascio di Certificati SSL per la protezione dei siti Web. Abbiamo chiesto a Guido Allegrezza, Responsabile della Compliance di Trust Technologies, come la società abbia affrontato e gestito il nuovo scenario normativo.

IL GDPR PER UN FORNITORE DI SERVIZI

Trust Technologies pensa che la sicurezza sia un sistema sempre operativo e funzionante e non un insieme di regole cui adempiere compilando check-list o emettendo documenti che poi nessuno legge. Prepararsi e varare gli interventi di attuazione del GDPR è stata una nuova opportunità di riflessione e di crescita.

GDPR: COMPLESSITA’

Nel mondo dei Qualified Trust Service Provider, gli schemi di riferimento tecnico e normativo sono talmente complessi e collegati fra loro che una modifica in un senso porta necessariamente con sé impatti sulle altre parti del sistema.

GDPR: CONCETTO DI ACCOUNTABILITY

L’elemento centrale che la nuova regolamentazione privacy europea introduce è il concetto di “accountability”, ovvero la capacità di dimostrare la conformità al Regolamento e l’adozione delle misure di sicurezza individuate con un approccio “risk based”, in relazione ai diritti e alla libertà dei cittadini dell’UE.

ADEGUAMENTO AL GDPR

Forti della nostra abitudine a lavorare in termini di compliance tecnica e normativa, abbiamo impostato e varato il nostro programma di adeguamento al GDPR con un approccio sistematico.  Sono stati coinvolti gli aspetti legali, organizzativi, procedurali e tecnologici. Abbiamo rivisto i nostri processi operativi per individuare e delineare i trattamenti dei dati personali e le loro finalità, verificare il livello di rischio legato alle attività in corso (un processo che svolgiamo ogni anno nell’ambito della certificazione ISO27001). E ancora, abbiamo rivisitato gli aspetti organizzativi per assicurare il corretto funzionamento di un sistema di gestione per la protezione dei dati (ruoli, responsabilità, misure di sicurezza relative agli aspetti fisici, tecnici, organizzativi e legali).

GDPR: NOVITA’

Vi sono altri aspetti di novità che introduce il GDPR e che rafforzano e consolidano la disciplina fondata sul Codice Privacy:

Privacy by default e by design

Non si deve effettuare un trattamento di dati personali fintanto che l’intero sistema di protezione non sia già stato definito e messo in atto. Ciò vuol dire che l’approccio al trattamento dei rischi in materia di privacy deve essere parte del processo di progettazione di un sistema o di un applicativo.

Privacy impact assessment

Quando un trattamento può presentare un rischio elevato, per i diritti e le libertà delle persone fisiche, prima di attuarlo è necessario valutarne l’impatto sulla protezione dei dati considerandone tutti gli aspetti di rilievo al fine di mettere in campo le misure necessarie ad affrontare i rischi derivanti e verificando, in sostanza, se esso è conforme alla normativa.

Data Protection Officer

È una figura che deve essere nominata quando i trattamenti sono svolti da un soggetto pubblico, oppure su larga scala, o riguardano categorie particolari di dati (compresi quelli relativi a condanne e reati). Il suo è un ruolo di terzietà, consulenza e rappresentanza, dedicato a verificare e mantenere nel tempo l’attuazione del Regolamento.

Data Breach Management

È un sistema di regole e di procedure per assicurare l’applicazione delle procedure previste: dalla segnalazione, alla risoluzione, alla corretta gestione di eventuali violazioni dei dati personali (data breach) in caso di distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trasmessi, conservati o trattati.

Diritti dei cittadini

Il Regolamento estende e rinforza i diritti dell’interessato, stabilendo diritti fondamentali come quello all’accesso ai dati trattati e alle informazioni connesse, all’oblio e alla loro consegna. Si tratta in gran parte di diritti connessi con lo sviluppo delle piattaforme social, ma che hanno impatti anche sui servizi più tradizionali.

CODICE PRIVACY NON PIU’ APPLICABILE

Infine, dobbiamo ricordare che il GDPR prevede spazi di manovra da parte del Legislatore nazionale. In Italia, il Governo avrebbe dovuto adottare entro il 21 maggio 2018 i decreti legislativi necessari ad armonizzare la normativa italiana al GDPR. Ad oggi, la delega non è stata ancora esercitata ed il termine per l’adozione del decreto è slittato al prossimo 21 agosto 2018, con la conseguenza che l’intero Codice privacy, per la parte in contrasto col GDPR, non può più essere applicato dopo lo scorso 25 maggio 2018”.

Firma Digitale Smart Card – Una complessità a cui puoi rinunciare!2019-08-06T14:36:25+02:00

KIT FIRMA DIGITALE

La Smart Card è stata a lungo il dispositivo più diffuso sul quale ospitare un certificato per la Firma Digitale. La sua iniziale diffusione è stata senz’altro favorita dalla mancanza di altri strumenti più ‘pratici’ per apporre la firma digitale.
Oggi come ieri, per fare una Firma Digitale con la Smart Card non solo devi ricordarti di avere sempre con te la smart card con a bordo la tua firma digitale, ma hai necessità di accendere il tuo PC e collegare il lettore di smart card. Sei veramente sicuro che tutto ciò sia pratico e non sostituibile?
Una tecnologia migliorativa, introdotta successivamente, è stata quella del Token USB. Il Token somiglia molto alla classica chiavetta USB. È un dispositivo che può ospitare un certificato digitale con il vantaggio che può essere collegato direttamente al PC e quindi non necessita di un lettore addizionale, come per la Smart Card.
Anche questa tecnologia introduce qualche scomodità, perché per fare la Firma Digitale è pur sempre necessario portare con sè sempre un dispositivo (il Token) e avere il proprio PC. Ancora una volta non è possibile il suo uso in mobilità, dato che la maggior parte dei dispositivi mobili attuali (tablet) spesso non supportano la tecnologia USB o cavi USB OTG.

 

FIRMA DIGITALE: COME FUNZIONA

L’innovazione di Trust Technologies ha da tempo portato sul mercato l’esperienza di Firma Digitale più innovativa. Innanzitutto è stata eliminata la necessità di “avere sempre qualcosa con sè” sul quale è ospitato il certificato digitale. Il Certificato Digitale si trova presso l’infrastruttura tecnologica di Trust Technologies. Una sicurezza certificata ISO 27001:2013, garantita dall’accreditamento di Trust Technologies come Qualified Trust Service Provider e dalla conformità della firma digitale al regolamento eIDAS (910/2014).
CAMBIA IL PARADIGMA DI ‘USO SEMPLICE’ DI UN SERVIZIO
La Firma digitale di Trust Technologies ti consente di apporre la firma digitale direttamente da un qualsiasi dispositivo mobile, cellulare, smartphone o tablet, dei principali sistemi operativi mobile: Apple iOS e Android.
Il tuo dispositivo mobile, tablet o smartphone, è l’equivalente della tua ‘penna’, del tuo token o della tua smart card. È il sistema attraverso il quale apporre la tua firma senza avere la scomodità di uno strumento aggiuntivo!
D’altro canto il telefono cellulare è qualcosa che ci accompagna ovunque senza che qualcuno ce lo debba ricordare…!
FIRMA DIGITALE ON LINE
FIRMA SICURA MOBILE è la Firma Digitale che puoi fare direttamente con il tuo dispositivo mobile Android o Apple, scaricando l’App TRUST SIGNER dai rispettivi Store, Google Play o App Store. Naturalmente, facciamo attenzione! Non potremo utilizzare l’App senza che prima sia stato attivato il nostro Certificato Digitale, che si può facilmente acquistare sul negozio on line di Trust Technologies.

FIRMA DIGITALE: APPROFONDIMENTO

Se sei interessato ad approfondire i fondamenti tecnici e normativi sul CERTIFICATO DIGITALE per Firma Digitale Remota, ti consigliamo i seguenti siti per cominciare:

 

 

  • EIDAS – NORMATIVA EUROPEA PER LE FIRME ELETTRONICHE
    La normativa Europea che contempla il Certificato Digitale Remoto e definisce le modalità con le quali la Firma Digitale attuata con un Certificato Digitale Remoto è interoperabile con i sistemi europei, ovvero è valida all’interno di tutta la U.E.
    http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32014R0910
Firma Digitale: quale scegliere?2019-08-06T14:40:36+02:00

Se hai una firma digitale o, hai intenzione di averne una, ti troverai prima o poi di fronte alla scelta di apporre la firma in modalità PADES o in modalità CADES. Anche la nostra App TRUST SIGNER te lo chiederà.

Proviamo a capire che cosa significa.

Chiariamo innanzitutto che con un CERTIFICATO DIGITALE puoi applicare sia una FIRMA DIGITALE PADES che una FIRMA DIGITALE CADES, indipendentemente dal fatto che stia facendo una FIRMA DIGITALE con SMART CARD, una FIRMA DIGITALE con TOKEN, o una FIRMA DIGITALE con CERTIFICATO REMOTO o per FIRMA DIGITALE REMOTA, come FIRMA SICURA MOBILE.

Questi due termini indicano il formato con cui l’applicazione di firma (e non il certificato che hai acquistato) “impacchetta” i dati della tua FIRMA nel documento elettronico. Sono standard europei adottati e riconosciuti ovviamente anche in Italia.

Nella quasi totalità dei casi, il file che andiamo a firmare è un documento, ovvero un file in formato PDF. In questo caso è possibile applicare sia la FIRMA CADES che la FIRMA PADES.

FIRMA DIGITALE DI UN DOCUMENTO PDF in formato CAdES

La firma CADES consente di firmare qualsiasi tipo di file, per esempio un file word o un file powerpoint e dunque anche un file PDF.

Un documento firmato CADES si riconosce perché il file ha l’estensione ‘.p7m’

(es. ‘miodocumento.pdf.p7m’).

Per leggere un documento firmato in modalità CADES, occorre installare specifici software, tra quelli indicati dalle varie Certification Authorities, o in alternativa, collegarsi a viewer online. I viewer software necessitano però di essere aggiornati con le ‘route’ dei Certificati pubblici, operazione necessaria per evitare che la verifica di validità della firma apposta dia risultati inesatti.

FIRMA DIGITALE PADES

Le cose sono molto più semplici se il documento è firmato in modalità PADES. La modalità di imbustamento di un DOCUMENTO PADES è tale che non viene modificata l’estensione originale, che rimane quindi sempre .PDF. Addirittura a vista, un documento PDF firmato digitalmente PADES non si distingue da un PDF non firmato.

Il file può essere aperto con un qualsiasi PDF viewer standard, ad esempio Adobe PDF Reader, e le informazioni sulla validità del certificato possono essere facilmente verificate.

Secondo il sito ufficiale di AgID, “le attuali versioni di Acrobat XI e DC, consentono di verificare le firme digitali basate su certificati di firma rilasciati da tutti i certificatori accreditati stabiliti nell’Unione europea”.

firma digitale pades e cades

PADES E CADES: VALORE LEGALE

Sia il formato CADES (CMS Advanced Electronic Signatures) che il formato PADES (PDF Advanced Electronic Signatures) sono formati regolati da standard ETSI e quindi la loro validità è riconosciuta in Italia e in tutta la UE.

I Qualified Trusted Service Provider (Prestatori di Servizi Fiduciari Qualificati) che emettono le firme digitali sono conformi al Regolamento europeo EIDAS per le FIRMA ELETTRONICA AVANZATA e sono accreditati presso l’elenco pubblico tenuto dall’Agenzia per l’Italia Digitale. Trust Technologies è un QTSP accreditato EIDAS, sia per la FIRMA DIGITALE che per la MARCATURA TEMPORALE (TIME STAMPING).

FIRMA DIGITALE PUBBLICA AMMINISTRAZIONE: MI DICONO CHE LA FIRMA PADES NON è CORRETTA!

Entrambi i formati, dicevamo, attestano con certezza l’integrità, l’autenticità e la non ripudiabilità del documento su cui è apposta la firma. Raramente la firma di un documento PDF ti sarà richiesta in formato CADES. Non dovrebbe succedere ma, stante il fatto che il formato CAdES (p7m) è stato introdotto per primo e ha trovato inizialmente una larga diffusione, soprattutto nella Pubblica Amministrazione, potrebbe essere richiesta necessariamente la firma con estensione ‘p7m’.

Al di là della tipologia di firma, occorre essere consapevoli che un file in formato PDF potrebbe contenere delle caratteristiche che non ne permettono di stabilire l’integrità. È quindi preferibile, prima di procedere alla Firma digitale, salvare il file nel formato “conforme a ISO19005-1 (PDF/A)”, opzione normalmente disponibile in tutti gli editor di PDF.

Per ulteriori approfondimenti visita la pagina dedicata alla firma digitale, sul sito AgID:

http://www.agid.gov.it/firma-digitale

TI Trust Technologies è Qualified Trust Service Provider2019-08-01T15:40:29+02:00

TI Trust Technologies è Qualified Trust Service Provider

IMQ, ente accreditato da Accredia per la valutazione di conformità EiDAS e ETSI EN 319 403, per la valutazione dei Prestatori di servizi fiduciari e dei servizi da essi forniti, ha di recente certificato TI TRUST TECHNOLOGIES come Qualified Trust Service Provider per il servizio di Validazione Temporale elettronica: con il riconoscimento dell’Agenzia per l’Italia Digitale, TI Trust Technologies può erogare servizi che hanno pieno valore legale in tutto il territorio dell’UE.

Per leggere il comunicato integrale, pubblicato sul sito di IMQ, collegati al seguente link: http://www.imq.it/it/news_media/news/News_362_Digitale.

Torna in cima