Cnipa gestione carte per l’accesso ai servizi caS


MODALITÀ DI DEFINIZIONE DELLA FORNITURA



Scaricare 268.04 Kb.
Pagina6/32
28.03.2019
Dimensione del file268.04 Kb.
1   2   3   4   5   6   7   8   9   ...   32

3MODALITÀ DI DEFINIZIONE DELLA FORNITURA


La fornitura di CAS consiste, come minimo, nella fornitura dei dispositivi di autenticazione: carte plastiche con microchip, “chiavette” USB o altro ancora, secondo la tecnologia utilizzata.
Le CAS, in generale, non saranno richieste “nude” e indifferenziate: esse dovranno normalmente essere associate agli utenti finali (titolari) ed opportunamente “personalizzate”, ossia predisposte in modo da essere effettivamente pronte all’uso. La personalizzazione delle CAS può essere articolata nelle seguenti operazioni, la cui applicabilità dipende dal tipo specifico di dispositivo utilizzato:

  • personalizzazione grafica (es. stampa di soggetti grafici comuni di sfondo, stampa di dati anagrafici, di una fotografia, di un codice a barre, ecc);

  • personalizzazione elettrica (es. scrittura sul chip di dati personali, installazione o generazione on-chip di chiavi crittografiche, installazione di certificati, installazione di software eseguibile laddove il dispositivo sia anche dotato di memoria di massa, ecc);

  • personalizzazione magnetica (se il dispositivo è anche dotato di banda magnetica).

La personalizzazione delle CAS si basa sui dati anagrafici forniti dall’Ammi­nistra­zione e può avvenire in modo accentrato o decentrato, e può riguardare lotti di carte oppure singole carte, secondo le necessità dell’Amministrazione. In generale l’Amministrazione svolgerà il ruolo di “ente emettitore” delle CAS, non solo quello di acquirente. Pertanto, di seguito parliamo di “Amministrazione emittente”. Generalmente, una fornitura di CAS prevede:



  • una emissione iniziale per un certo numero di utenti prestabiliti, dei quali siano già stati acquisiti i dati anagrafici (e gli altri dati eventualmente necessari per la personaliz­zazione);

  • una o più emissioni successive, per quegli utenti dei quali non siano ancora stati acquisiti i dati necessari.

L’emissione iniziale verrà normalmente realizzata mediante invio al fornitore di un elenco (o “lotto”) di dati anagrafici cosicché il fornitore possa personalizzare tutte le carte del lotto utilizzando un impianto ottimizzato per le lavorazioni massive. Questo presuppone che il lotto iniziale comprenda un numero sufficiente di dispositivi (almeno qualche migliaio) e che la consegna debba essere garantita in tempi relativamente brevi; diversamente, utilizzare un impianto di personalizzazione massiva può risultare antieconomico.

Le emissioni successive potranno avvenire nello stesso modo oppure in modo diverso, in base alla tecnologia impiegata e alle esigenze dell’Amministrazione (tempo massimo di consegna, frequenza di richiesta carte, ecc).
In tutti i casi, sarà necessario stabilire le modalità tecniche per la richiesta delle carte; si dovrà quindi definire un “tracciato record” per i dati anagrafici necessari alla personalizzazione delle CAS, nonché una modalità di comunicazione sicura tra l’Amministrazione ed il fornitore.
Sarà richiesta al fornitore anche la messa a disposizione di un sistema di gestione delle CAS, dotato di opportune interfacce (interattive e/o applicative). Tale sistema, solitamente chiamato “card management system” nel caso in cui le CAS siano delle carte plastiche con microchip, consente all’Amministrazione perlomeno di svolgere le principali operazioni di gestione dello “stato” del dispositivo. Queste operazioni comprendono solitamente:


  • la revoca, ossia il blocco permanente della possibilità di utilizzare la CAS (operazione normalmente necessaria in casi come lo smarrimento o furto del dispositivo, il suo danneggiamento, la perdita del diritto dell’utente ad utilizzarlo, la perdita di validità delle informazioni memorizzate sul dispositivo in fase di personalizzazione, ecc);

  • la sospensione, ossia il blocco temporaneo della possibilità di utilizzare la CAS;

  • la attivazione, ossia il ripristino della possibilità di utilizzare una CAS sospesa.

La possibilità di revocare una CAS sarà generalmente sempre richiesta dall’Amministrazione, mentre la possibilità di sospendere (e dunque di riattivare) può non essere sempre necessaria. Si deve comunque ricordare che, nel caso in cui la CAS contenga anche una chiave di firma digitale, è necessario soddisfare i requisiti di legge relativi alla firma digitale; in tal caso è dunque obbligatorio gestire sia la revoca che la sospensione.


Opzionalmente, il suddetto sistema di gestione può anche costituire lo strumento col quale l’Amministrazione trasmette al fornitore una richiesta di emissione CAS, ossia i dati necessari per la personalizzazione di una o più CAS. Nel caso di forniture complesse e di rilevanti dimensioni, l’Amministrazione può eventualmente richiedere che il suddetto sistema consenta una vera e propria “gestione degli ordini”.
Nel caso in cui sia prevista la fornitura di diversi tipi di CAS e/o la loro personalizzazione secondo diversi “profili”, la modalità tecnica di richiesta delle carte deve consentire all’Amministrazione di specificare il tipo di dispositivo desiderato ed il profilo di personalizzazione da applicare.
Un esempio tipico di CAS con caratteristiche variabili è rappresentato dalla Carta Nazionale dei Servizi; questa può infatti essere di tipo “cittadino” oppure di tipo “operatore sanitario”; può opzionalmente avere a bordo un certificato per la firma digitale; può eventualmente contenere anche i dati sanitari del titolare (dati “Netlink”), dati bancari, ecc. L’Amministrazione emittente deve quindi poter specificare tutte queste opzioni in fase di richiesta.
Nel caso in cui la CAS debba contenere uno più certificati di chiave pubblica, la personalizzazione delle CAS richiede l’emissione dei certificati da parte di un Certificatore, eventualmente accreditato (secondo il tipo di certificato considerato e le norme di legge ad esso appli­cabili). A valle dell’emissione, sarà poi necessaria anche la gestione dei certificati (sospensione, riattivazione, revoca, validazione, ecc). Per tali componenti della fornitura CAS, se previste, si può fare riferimento alle specifiche CDF (per es. “Certificazione della Firma Digitale”).
A valle della richiesta di produzione (se necessaria) e personalizzazione delle CAS, queste devono essere consegnate agli utenti finali. Tale consegna può essere fatta direttamente dal fornitore (in base alle informazioni fornite dall’Amministrazione) oppure dall’Amministrazione. In entrambi i casi, il fornitore deve gestire anche l’operazione di spedizione (singola o massiva) delle CAS con le modalità richieste dall’Amministrazione emittente (per es. accompa­gnate da stampati, software, dispositivi accessori, ecc). I dati necessari per la spedizione delle CAS possono essere forniti dall’Amministrazione emittente attraverso il sistema di gestione.
Ogni spedizione implica la possibilità che la consegna al destinatario risulti a volte impossibile (es. nel caso di indirizzi errati o non più validi). Pertanto, l’Amministrazione emittente che richiede al fornitore il servizio di spedizione delle CAS può anche essere interessata ad un servizio di gestione dei resi (es. raccolta e stoccaggio).
Quando l’uso della CAS richiede la conoscenza di codici riservati (es. il PIN ed il PUK nel caso delle smart card), la fornitura deve evidentemente prevedere anche la generazione, installazione sul dispositivo (se necessaria) e consegna di tali codici agli utenti finali con modalità sicure.
Nel caso in cui per l’uso delle CAS sia necessario l’utilizzo di ulteriori dispositivi e/o prodotti software, l’Amministrazione può eventualmente richiedere anche queste forniture opzionali (un caso tipico è rappresentato dai lettori di smart card) attraverso il sistema di gestione.
Tra le forniture integrative che l’Amministrazione può eventualmente richiedere, si può anche prevedere un ambiente di test (“testbed”) atto a dimostrare l’effettivo funzionamento della CAS (non solo a fini di autenticazione, se è previsto che il dispositivo possa essere usato anche per altri scopi) ed eventualmente la sua conformità a norme tecniche di riferimento (algoritmi, comandi, ecc). In tal caso, l’Amministrazione deve specificare in che modo desidera avere a disposizione il testbed (licenza limitata/illimitata, trasferimento di proprietà, ecc). Secondo i casi, può essere opportuno considerare il testbed come una fornitura separata, e quindi applicare la pertinente Classe Di Fornitura (es. FPD oppure SSI).
L’amministrazione emittente può anche avere necessità di un servizio di reportistica relativa all’andamento della fornitura (es. quante CAS sono state emesse alla data) e ai livelli di servizio realizzati dal fornitore (es. la percentuale di CAS consegnate entro i tempi previsti, ecc). Il servizio di reportistica può eventualmente appoggiarsi al sistema di gestione delle CAS, quantomeno come strumento di accesso alle informazioni da parte dell’Amministrazione.
Al fornitore può anche essere richiesta la realizzazione e gestione di un sito web o “portale”, per diverse ragioni: per dare informazioni ed assistenza tecnica agli utenti finali e/o agli operatori dell’Amministrazione emittente, per agevolare lo svolgimento delle operazioni di gestione delle CAS da parte dell’Amministrazione e/o dell’eventuale call center (cfr. più oltre), per rendere disponibili gli eventuali software necessari per l’utilizzo delle CAS, per erogare servizi utili agli utenti. Per questa componente della fornitura CAS, si rimanda alle pertinenti Classi Di Fornitura (per es. WEB, INT, ecc).
Infine, l’Amministrazione emittente può anche avere necessità di un servizio di helpdesk preposto all’erogazione di informazioni e assistenza tecnica, nonché allo svolgimento di operazioni di gestione delle CAS per conto dell’Amministrazione. Il servizio di help desk si baserà tipicamente su un “call center” predisposto dal fornitore e tenuto in esercizio nel rispetto di opportuni livello di servizio. Per questa componente della fornitura CAS, si rimanda alla specifica Classe Di Fornitura relativa ai servizi di assistenza (ASS).
Riepilogando, la fornitura di CAS consiste come minimo ne:

  • la fornitura dei dispositivi di autenticazione (componenti hardware) e degli annessi software indispensabili per il loro utilizzo da parte degli utenti finali;

  • la personalizzazione dei dispositivi (grafica, elettrica, magnetica, ecc.);

  • la messa a disposizione di un sistema di gestione (attivazione, sospensione, revoca).

Opzionalmente, la fornitura di CAS può anche includere una combinazione dei seguenti servizi aggiuntivi:



  • ulteriori funzionalità del sistema di gestione (es. richiesta delle CAS);

  • emissione e gestione di certificati e servizi accessori (es. validazione on-line);

  • spedizione delle CAS ed eventuale gestione dei resi;

  • generazione e distribuzione dei codici riservati (es. PIN e PUK);

  • fornitura di un testbed per le verifiche funzionali e di conformità delle CAS;

  • fornitura di accessori hardware destinati agli utenti (es. lettori di smart card);

  • fornitura di prodotti software destinati agli utenti (es. driver, applicazioni, ecc);

  • generazione di reportistica (andamento fornitura e livelli di servizio);

  • realizzazione e gestione di un sito web dedicato al progetto (per informazioni, software, gestione CAS, servizi al cittadino, ecc);

  • help desk (per informazioni, assistenza tecnica, gestione CAS, ecc).

Per coprire tutte le esigenze del proprio progetto di dispiegamento delle CAS, l’Amministrazione può aver necessità di ulteriori prodotti e servizi che ricadono nell’ambito di altre Classi Di Fornitura, quali ad esempio:



  • formazione e addestramento (FOR);

  • prodotti hardware e software complementari (FPD);

  • consulenza (CON), ad es. per l’integrazione delle CAS con i servizi on-line dell’Amministrazione.



Condividi con i tuoi amici:
1   2   3   4   5   6   7   8   9   ...   32


©astratto.info 2019
invia messaggio

    Pagina principale