> Date: Tue, 21 Apr 2009 15:19:08 +0200 > From: [email protected] > To: [email protected] > Subject: [ml] HSM per PEC > > Ciao a tutti, > > sto ragionando sulla possibilit? di realizzare un'infrastruttura PEC con > OpenPEC etc. > > E'tra l'altro prevista l'adozione di Hardware Secuity Module per la firma e > l'apposizione della marca temporale, e OpenPEC integra gi? al suo interno le > API per dialogare con questi apparati. > > Una delle specifiche del CNIPA parla di "soluzioni hardware dedicate o in > outsourcing per apparati che rispondano alle specifiche CEN: CWA 14169 oppure > E3/HIGH(ITSEC) o EAL4 (ISO/IEC 15408) o superiori." > > Si fa cenno, in alternativa, a "livelli di valutazione [della sicurezza] > internazionalmente riconosciuti" o a " "i dispositivi previsti dalla > normativa in materia di firma digitale". > > Qualcuno mi sa dare indicazioni su: > > - Quali vendor offrano soluzioni compliant con queste specifiche > > - In che modo le certificazioni sopra citate siano equivalenti alle > FIPS-[1,2,4] che invece compaiono quasi sempre nei datasheet dei pi? diffusi > HSM (AEP Keyper, nCipher etc) > > - Dove posso trovare informazioni sufficientemente chiare per capire di cosa > si tratti > > - Eventuali soluzioni adottate dai gestori PEC gi? accreditati > > Grazie > > > > Mariano >
Forse anche io leggermente OT, per? spero che possa essere d'aiuto a molti e, soprattutto, ad innescare un po di discussione sull'argomento. Dall'emissione della legge n. 2 del 28/01/2009 la PEC di fatto non ? pi? "obbligatoria". Infatti la legge, modificata a seguito di un interpello alla comunit? europea che ne poneva in discussione le caratteristiche di interoperabilit? con il resto del mondo, cita testualmente: "6. Le imprese costituite in forma societaria sono tenute a indicare il proprio indirizzo di posta elettronica certificata nella domanda di iscrizione al registro delle imprese o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrita' del contenuto delle stesse, garantendo l'interoperabilita' con analoghi sistemi internazionali." Notare il corsivo ... Quindi, ed esiste gi? qualche precedente che ? stato "accettato" dalla rispettiva CCIAA, l'importante ? fare uso di certificati digitali che siano stati emessi da una CA accreditata e di fare uso di un sistema di posta elettronica fornito da un provider come molti altri, libero, aruba, gmail ... La certezza della data e dell'ora la devono far rispettare i provider del servizio di e-mail. Non l'end-user. Ci sono diverse interessanti discussioni su varie testate on-line. Per esempio puntoinformatico, oppure i seguente linki: http://www.pubblicaamministrazione.net/leggi-e-norme/news/1608/eegrave-legge-liberalizzata-la-pec.html http://portal.forumpa.it/story/46412/posta-elettronica-certificata-obbligo-di-legge-o-no#comment-1523 su cui si pu? dare un'occhiata. Spero di aver dato un interessante spunto di riflessione. Ciao a tutti Alessandro Invite your mail contacts to join your friends list with Windows Live Spaces. It's easy! Try it! Get news, entertainment and everything you care about at Live.com. Check it out! _________________________________________________________________ News, entertainment and everything you care about at Live.com. Get it now! http://www.live.com/getstarted.aspx
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
