2009/4/21 Mariano Cunietti <[email protected]> > > Ciao a tutti, > > sto ragionando sulla possibilit? di realizzare un'infrastruttura PEC con > OpenPEC etc. > > E'tra l'altro prevista l'adozione di Hardware Secuity Module per la firma e > l'apposizione della marca temporale, e OpenPEC integra gi? al suo interno le > API per dialogare con questi apparati. > > Una delle specifiche del CNIPA parla di "soluzioni hardware dedicate o in > outsourcing per apparati che rispondano alle specifiche CEN: CWA 14169 oppure > E3/HIGH(ITSEC) o EAL4 (ISO/IEC 15408) o superiori." > > Si fa cenno, in alternativa, a "livelli di valutazione [della sicurezza] > internazionalmente riconosciuti" o a " "i dispositivi previsti dalla > normativa in materia di firma digitale". > > Qualcuno mi sa dare indicazioni su: > > - Quali vendor offrano soluzioni compliant con queste specifiche > > - In che modo le certificazioni sopra citate siano equivalenti alle > FIPS-[1,2,4] che invece compaiono quasi sempre nei datasheet dei pi? diffusi > HSM (AEP Keyper, nCipher etc) > > - Dove posso trovare informazioni sufficientemente chiare per capire > di cosa si tratti > > - Eventuali soluzioni adottate dai gestori PEC gi? accreditati > > Grazie > > > > Mariano
Ciao Mariano, intervengo leggermente OT e fuori dalle tue richieste NON per darti un consiglio tecnico quanto "legale": ben venga l'idea di realizzare un'infrastruttura PEC, ma... sai già che una cosa del genere NON avrebbe alcun valore legale in Italia, vero? Nel senso: se la realizzi per studio, per tua conoscenza, per smanettare ok... ma se pensi che poi potrai inviare PEC con valore legale, sei in errore... :) Perchè abbia valore legale, bisogna accreditarsi presso il CNIPA come gestore PEC (dopo aver seguito tutte specifiche tecniche/amministrative stabilite dalla legge). Peccato che... uno dei vincoli per ottenere tale accredito sia, oltre all'essere una società di capitale, l'aver un capitale sociale interamente versato di almeno 1 milione di euro... :( Non proprio alla portata delle PMI italiane, direi... ... se poi nelle tue intenzioni c'è la realizzazione di questa infrastruttura per conto di una società che mira proprio ad accreditarsi come gestore e non ha questo genere di problemi economici, allora scusa l'OT... :) Giovanni Barbieri ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
