Il documento di riferimento

Gli aspetti tecnici e procedurali necessari per progettare, sviluppare, testare e gestire in modo sicuro un’applicazione regionale sono stati definiti nel “Disciplinare tecnico in materia di sicurezza delle applicazioni informatiche nella Giunta della Regione Emilia-Romagna”, approvato con Determinazione n. 2651 del 2007 (.pdf, 1.5Mb).

Il Disciplinare è uno strumento utile per chi si occupa di:

• progettare un’applicazione;
• sviluppare un'applicazione;
• acquistare un’applicazione;
• valutare/scegliere fornitori di servizi di sviluppo applicazioni;
• testare la sicurezza di applicazioni;
• adeguare un’applicazione ai criteri di sicurezza previsti dalla normativa vigente;
• installare, gestire o manutenere un’applicazione.

Caratteristiche di un’applicazione sicura

Chi ha responsabilità sulle suddette attività, deve considerare le minacce di sicurezza e le contromisure disponibili relativamente a dati e informazioni trattate dall’applicazione, secondo le indicazioni fornite nel Disciplinare. Tali indicazioni si basano sul fondamento che un'applicazione è sicura quando è in grado di preservare confidenzialità , integrità e disponibilità delle risorse, assicurando costantemente:

• l’identificazione dell’utente che accede alle risorse;
• la limitazione degli accessi alle risorse;
• la comunicazione sicura con l’esterno;
• la conservazione sicura dei dati.

Misure minime di sicurezza

Un paragrafo importante del Disciplinare riguarda le Misure minime di sicurezza previste dal Codice in materia di protezione dei dati personali (D. Lgs. 196/03). Ogni applicazione utilizzata per il trattamento di dati personali, deve infatti rispettare le seguenti misure di sicurezza:

• utilizzo di una procedura di autenticazione che permetta l'identificazione dell'incaricato attraverso opportune credenziali di autenticazione;
• utilizzo di una parola chiave, quando prevista dal sistema di autenticazione, composta da almeno otto caratteri;
• possibilità di modifica della parola chiave, quando prevista dal sistema di autenticazione, da parte dell'incaricato al primo utilizzo e, successivamente, almeno ogni sei mesi;
• possibilità di disattivazione delle credenziali di autenticazione non utilizzate da almeno sei mesi, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica;
• esistenza di meccanismi di autorizzazione per la separazione dei privilegi degli incaricati in base a diversi profili autorizzativi;
• esistenza di meccanismi di backup che consentano il salvataggio dei dati con frequenza almeno settimanale .

Un caso particolare: trattamento di dati sensibili

Nel caso l'applicazione sia utilizzata per il trattamento di dati sensibili e/o giudiziari, deve inoltre rispettare le seguenti misure di sicurezza:

• possibilità di modifica della parola chiave quando prevista dal sistema di autenticazione, da parte dell'incaricato al primo utilizzo e, successivamente, almeno ogni tre mesi;
• esistenza di meccanismi di ripristino dei dati che permettano la ricostruzione degli stessi, in caso di danneggiamento, in tempi non superiori ai sette giorni;
• utilizzo di tecniche di cifratura o codici identificativi, tali da rendere temporaneamente inintelligibili i dati sensibili e/o giudiziari anche a chi è autorizzato ad accedervi e da permettere l'identificazione degli interessati solo in caso di necessità.

Menu della sezione

Per Tutti

• Accessibilità
• Usabilità
• Sicurezza
• Motori di ricerca
• Qualità
• Statistiche di accesso ai siti
• Web 2.0

Approfondimenti

• Privacy

Link esterni

• Disciplinare tecnico in materia di sicurezza delle applicazioni informatiche (.pdf 1,5Mb).
  Determinazione n. 2651 del 2007
• D. Lgs. n. 196/2003
  Codice in materia di protezione dei dati personali