Delibera AIPA 9/11/95

Autorità per l’informatica nella pubblica amministrazione
Deliberazione 9 novembre 1995
(in Gazz. Uff., 22 novembre, n. 273)Definizione delle regole tecniche per il mandato informatico

L’Autorità per l’informatica nella pubblica amministrazione

Visto l’art. 2, comma 2, del decreto del Presidente della Repubblica 20 aprile 1994, n. 367, che prevede che l’Autorità definisca <<le regole tecniche … affinchè le evidenze informatiche possano essere validamente impiegate a fini probatori, amministrativi
e contabili>>;
Precisato che per evidenza informatica si intende un messaggio elettronico, composto da dati utente e da codici universali, che viene validamente impiegato a fini probatori, amministrativi e contabili; Vista la proposta all’uopo predisposta dagli uffici;

Delibera

di dettare, a norma dell’art. 2, comma 2, del decreto del Presidente della Repubblica 20 aprile 1994, n. 367, le regole tecniche per il mandato informatico di seguito riportate:

1. Protocollo di trasmissione.

I dati vengono trasmessi di regola, attraverso linee di telecomunicazione: il protocollo di trasmissione adottato è quello
nella norma CCITT X.25 e successive evoluzioni.

2. Regole sintattiche.

Le regole sintattiche di trattamento delle evidenze informatiche
devono conformarsi allo standard UN/EDIFACT mantenuto da UN/ECE, emesso da ISO e ripubblicato da CEN per l’Europa, e pertanto la norma di riferimento è la EN 29735:1992 (ISO 9735) e successive evoluzioni, incluso ISO 9735 Amendment 1:1992 (estensione del repertorio caratteri).

3. Directory UN/EDIFACT.

I messaggi da utilizzare dovranno essere conformi alle specifiche
definite nella directory UNTDID e scelti tra:
i messaggi allo status 2 (messaggi standard) dell’ultima directory pubblicata, altrimenti tra i messaggi allo status 2 di directory precedenti all’ultima pubblicata ma non oltre la Untdid Version S.93.A inclusa, altrimenti tra i messaggi allo status 1 dell’ultima directory o di directory precedenti all’ultima pubblicata, ma non oltre la Untdid Version D.93.A inclusa.

Qualora si renda necessario definire nuovi messaggi si fa riferimento a quanto specificato nel documento <<UN/EDIFACT Message Design Guidelines>>; le strutture di dati dovranno conformarsi, ove possibile, a quelle definite nelle directory UN/EDIFACT di <<segmenti dati>> e <<data element>>. Tali messaggi dovranno essere sottoposti all’Autorità per una verifica e per un’eventuale, successiva, istruttoria per la standardizzazione.

4. Sicurezza dell’interscambio.

4.1 Servizi.

Per quanto attiene la sicurezza dell’interscambio dovranno essere
realizzati i seguenti servizi:

– autenticazione dell’origine;
– non ripudio (invio e ricezione);
– integrità del contenuto;
– integrità della sequenza dei messaggi.I suddetti servizi dovranno essere realizzati in conformità al DRAFT UN/ECE R. 1026 Addendum 1-4 emesso dalle Nazioni Unite nell’aprile 1994, che rappresenta attualmente il documento di riferimento per la realizzazione della sicurezza in UN/EDIFACT.
Qualora le amministrazioni interessate ritengano necessario realizzare anche il servizio di <<Confidenzialità del contenuto>> (Riservatezza), per il quale non è disponibile alla data alcuno standard UN/EDIFACT di riferimento, la sua realizzazione, dovrà avvenire secondo la seguente modalità:

– Realizzazione del servizio per la riservatezza, contestualmente agli altri servizi di sicurezza, nell’ambito dello stesso messaggio.
– I dati oggetto del servizio per la riservatezza sono quelli contenuti in tutti i segmenti del messaggio (Tecnica Header – Trailer).
– Gli elementi di sicurezza necessari alla decrittazione dei segmenti utente sono inseriti in appositi segmenti posti all’inizio del messaggio e prima della parte crittografata.
– Per particolari condizioni, e previa autorizzazione dell’Autorità, è possibile adottare la seguente modalità alternativa:
– Realizzazione del servizio per la riservatezza mediante interscambio EDIFACT. Il messaggio contenente i dati applicativi viene inviato crittografato e l’interscambio avviene utilizzando uno dei meccanismi di comunicazione descritti al punto 5 (Meccanismo di comunicazione).
Le informazioni per la decifratura del messaggio interscambiato sono inviate, tramite messaggio AUTACK, assieme alle altre informazioni necessarie a realizzare i servizi di sicurezza indicati in precedenza.

4.2. Gestione delle chiavi.

Per la gestione delle chiavi sarà necessario individuare i cinque
distinti ruoli appresso riportati:

– utente;
– autorità di certificazione;
– directory;
– generatore della chiave;
– autorità di registrazione.Per quanto riguarda sia le modalità di gestione delle chiavi sia le
competenze da attribuire ai singoli ruoli, saranno specificate
appropriate regole tecniche da parte dell’Autorità.
Nel caso di interscambio tra un numero limitato di entità, e in
attesa delle relative regole tecniche, è consentito l’uso di un
meccanismo bilaterale concordato tra le parti. A tal fine, le modalità di gestione delle chiavi possono essere distinte per:

– Chiavi asimmetriche:

generazione: avviene a cura di ciascuna entità;
distribuzione: ciascuna entità invia la chiave pubblica soddisfacendo i requisiti di autenticità, integrità e non ripudio dell’origine e della destinazione;

– Chiavi simmetriche:
generazione: avviene a cura di una delle entità, o dalle entità in concorso, rispettando le procedure concordate e sottoscritte;
distribuzione: avviene come per le chiavi asimmetriche realizzando, in aggiunta, il soddisfacimento del requisito della confidenzialità.
Le chiavi dovranno essere rinnovate periodicamente e con un
intervallo di tempo concordato tra le amministrazioni interessate
rispettando i requisiti sopra esposti.

5. Meccanismo di comunicazione.

Il meccanismo di comunicazione che dovrà essere utilizzato per lo
scambio delle evidenze informatiche dovrà essere conforme alla norma CCITT X.400 versione 88 (ISO/IEC 10021-1-7:1988) e successive evoluzioni. L’interchange EDIFACT dovrà essere trasferito con approccio P2.
Alternativamente potrà essere utilizzato il protocollo riportato nella norma CCITT X.435 (ISO/IEC 10021-8,9) conosciuto anche con la
denominazione Pedi.

6. Modelli di accordo (Contratto EDI).

Per gli accordi bilaterali si dovrà fare riferimento alla raccomandazione della Commissione della Comunità europea del 19 ottobre 1994, che specifica lo schema contrattuale per la regolamentazione degli aspetti tecnici e legali dell’interscambio tra le parti.
Quando saranno disponibili altre norme che soddisfino le esigenze
relative al mandato informatico l’Autorità provvederà ad emanare le
relative regole tecniche.

Possibly Related Posts: