best practice L’approccio e gli strumenti per attuare la ... · Silvia Loffi Seminario Ancitel :...
Transcript of best practice L’approccio e gli strumenti per attuare la ... · Silvia Loffi Seminario Ancitel :...
1
1
Information Copyright © InfoCert 2011
Silvia Loffi
Seminario Ancitel : La conservazione delle memorie digitali:quadro normativo e best practice
L’approccio e gli strumenti per attuare la conservazione a norma per la PAL
2
Information Copyright © InfoCert 2011
Presentazione di InfoCert e le proposte della Business Consulting Services
Agenda
La soluzione di conservazione a norma per la PAL: modelli e case study
2
3
Information Copyright © InfoCert 2011
Highligth su InfoCert
� 550.000 caselle PEC
� 116 Milioni di messaggi PEC nel 2010
� 4 Milioni di Protocolli annui
� 250 Milioni di documenti conservati a norma
� 4.1 Milioni di certificati di Firma Digitale
VOLUMI GESTITI
� Coordinamento del Comitato Tecnico di Assocertificatori per la firma digitale
� Partecipazione al Comitato Tecnico di Assocertificatori per la PEC
� Membership ETSI (European Telecommunication Standards Institute), con una importante partecipazione nel comitato ESI (Electronic Signature Initiative)
� Partecipazione allo Specialist Task Force 298 ETSI: “Profiles for ETSI TS 101 733 and TS 101 903 Electronic Signatures Formats” che ha prodotto due profili applicativi degli standard Europei CAdES e XAdES
� Partecipazione allo Specialist Task Force 318 ETSI: “Electronic Signatures Applied to Registered Emails: formats and policies”, che ha definito uno standard Europeo per la Posta Elettronica Certificata
� Partecipazione allo Specialist Task Force 401 ETSI "Long Term preservation of Digital Information" che sta definendo una specificazione per la conservazione sicura dei documenti digitali
� Partecipazione allo Specialist Task Force 402 ETSI “REM Interchange: e-mail Interchange between Registered E-Mail (REM) systems based on different transmission protocols”
� Partecipazione al Gruppo di Lavoro sul Documento Elettronico di ABI Lab.
� Partecipazione allo Specialist Task Force 364 ETSI: “Advanced Electronic Signatures for PDF” con l’obiettivo di definire lo standard Europeo PAdES.
PRESIDIO DELLA NORMATIVA
� 20 M€ Fatturato 2010
� 25 M€ Fatturato 2011 (stime al 3Q11)
� 8 M€ di cui Fatturato si CCIAA 2011 (stime al 3Q11)
� 25.M€ Capitale Sociale
Economics
Primo Ente Certificatore per la firma digitale in
Italia, leader di mercato per i processi di
conservazione sostitutiva dei documenti a
norma di legge e per i servizi di Posta
Elettronica Certificata
� Firma Digitale
� Posta Elettronica Certificata
� Gestione Documentale
� Conservazione Sostitutiva
� Consulting
Soluzioni
4
Information Copyright © InfoCert 2011
STRUMENTI PER UN ORGANIZZAZIONE DIGITALE
FIRMA DIGITALE
Strumenti InfoCert per processi Paperless
• Firma Digitale su Token USB: Per la sottoscrizione a valore legale
• Firma Remota con o senza OTP: per la sottoscrizione online a valore legale senza dispositivi
• Firma Automatica (Massiva): per la sottoscrizione automatica dei documenti
MARCATURA TEMPORALE – DATA CERTA
• Attribuzione ad uno o più documenti una data e un’ora certe
• L’Ente Certificatore garantisce l’esattezza dell’informazione temporale riportata sulla documentazione
CONSERVAZIONE SOSTITUTIVA
• Garantisce nel tempo l’integrità, la leggibilità e l’autenticità dei documenti conservati
• L’esibizione di un documento informatico conservato in modalità sostitutiva è opponibile ai terzi
DOCUMENT / WORKFLOW MANAGEMENT
• Gestione elettronica delle pratiche tra sedi distaccate, back-office e operatori sul territorio
• Flussi configurabili in grado di dematerializzare i processi documentali e di business
POSTA ELETTRONICA CERTIFICATA
• Servizi utili alla realizzazione di comunicazioni digitali con piena validità legale
• Ricevute di accettazione e consegna opponibili ai terzi
3
5
Information Copyright © InfoCert 2011
Perché InfoCert
� Leader nella progettazionee innovazione di servizi esoluzioni paperless
� Leader nella Compliancenormativa delle propriesoluzioni
� Leader nella ottimizzazionedei processi paperless enella customizzazione dellesoluzioni sui processi dibusiness del cliente
Consulting Service
I Consulting Services InfoCert supportano il Cliente in tutte le fasi, dall’assessment iniziale alle fasi di auditing con particolare attenzione alla
consulenza normativa per la definzione di processi e implementazione di soluzioni compliant
ASSESSMENT & FEASIBILITY� Ridefiniamo le esigenze e
identifichiamo le azioni di cambiamento
� Eseguiamo valutazioni preventive di sostenibilità e rischi di una soluzione
REQUIREMENTS & ANALYTICS DESIGN� Riprogettiamo i processi aziendali per
il corretto sviluppo e implementazione della soluzione paperless
� Progettiamo e realizziamo strumenti di raccolta e sintesi dei dati operativi
COMPLIANCE NORMATIVA� Mettiamo il cliente al riparo da rischi
derivanti dalle responsabilità amministrative di particolari tipologie documentali
TRAINING & CHANGE� Supportiamo il cambiamento per
garantire il successo delle soluzioni implementate
SOLUTION AUDITING� Supportiamo i ns clienti nella verifica
che i propri investimenti abbiano introdotto l’innovazione e i benefici attesi
Fattori distintivi dei ConsultingServices di InfoCert
Infocert è in grado di fornireservizi professionali basati sucompetenze tecnologiche,normative, organizzative e diprocesso, per lo sviluppo eimplementazione di soluzionipaperless.
I Consulting Services InfoCert garantiscono al cliente l’efficacia delle soluzioni, implementate, ilrispetto della normativa e la minimizzazione del rischio
Con il supporto dei Consulting Services InfoCert garantisce l’innovazione e la continuaevoluzione dei prodotti e servizi di InfoCert grazie al continuo lavoro di analisi, miglioramento ecustomizzazione delle soluzioni presso i nostri clienti
6
Information Copyright © InfoCert 2011
PEC
Gestione
Documentale
Conservazione
Firma
Digitale
ProtocolloMarcatura
Temporale
E-Form
Ciclo di vita del documento
• PEC/ MAIL con
documento (doc,ppt, pdf
ecc..)
• FAX
• Cartaceo
• Form on line
RicezioneDocumentazione
E protocollo
Elaborazione contenuti
informativicompilazione
Coinvolgimento Uffici, Ruoli, Smistamento documento
Verificavalutazione
approvazione
Inoltro documentazione
Chiusuraattività
Archiviazione e conservazione
CANALI
Tempi di assegnazione e validazione pratiche crescenti con l’aumentare delle aree organizzative interessate alla gestione soprattutto se il formato documentale è cartaceo
I documenti vanno mantenuti e gestiti per future letture, revisioni, condivisioni. La presenza di documenti cartacei complica questa gestione
La conservazione di documenti rilevanti ai fini aziendali può comportare un costo in termini di tempo (efficienza) e soprattutto di spazio
Nell’iter del ciclo di vita del documento è probabile che lo stesso venga richiesto da diverse fonti. La mancanza di uno strumento di trasmissione sicura può allungare i tempi di invio
conservazione in formato elettronico e a norma di documenti quali contratti,ordini, polizze, convocazioni ufficiali,fatture, libri contabili e tanto altro ancora. che garantisce integrità, leggibilità e autenticità dei documenti nel tempo
comunicazioni importanti, spesso riservate e con necessità di valore legale assoluto attestante non solo data e ora d’invio e ricezione dei messaggi, ma anche il loro esatto contenuto
gestione di informazioni e documenti digitali nel loro intero ciclo di vita: formazione, modifica, gestione, condivisione, archiviazione
controllo assoluto e in tempo reale di processi, progetti e pratiche
CRITICITÀLa protocollazione e registrazione provoca tempi lunghi di gestione soprattutto se le pratiche sono in formato misto (cartaceo e digitale)
OPPORTUNITA’
STRUMENTI
INBOUND TRATTAMENTO OUTBOUND
Protocollo informatico realizzato nel pieno rispetto della normativa. Può acquisire documenti sia cartacei che digitali e registrarne il protocollo
4
7
Information Copyright © InfoCert 2011
LegalForm
100%Paperless
100% Paper…
Percezione
Interna: bassa, recepita maggiormente
dalle poche aree coinvolte
Utenti : molto bassa, possono iniziare a
comunicare via PEC e sottoporre
documenti digitali.
Percezione
Interna: buona, molte le aree coinvolte
Utenti : buona, scoprono nuove possibilità di
comunicare con la PA e percepiscono la rapidità di
risposta
Percezione
Interna: ottima, molte le aree coinvolte
Utenti: ottima, hanno consolidato un nuovo
rapporto con la PA ed utilizzano principalmente o
esclusivamente gli strumenti web
Fase 2: Automazione Processi
Fase 3: Remotizzazione Rapporto
Fase 1: Adozione strumenti base
PEC
Conservazione
Firma
Integrazione Sistemi Trattamento
Workflow
Integrazione Servizi Remoti
Ute
nti
Dip
ende
nti
Integrazione Sistemi: gli strumenti
di base integrati nei sistemi
consentono di snellire i processi e
renderli digitali.
Workflow: i processi diventano
completamente digitali, carta tempi
e costi molto ridotti rispetto alla
fase 1.
Legalform: espone sul portale le
tipologie documentali a supporto
dei processi e attiva in automatico il
workflow interno.
Integrazione Servizi Remoti: la
firma digitale consente di
concludere la maggior parte delle
operazioni notificate via PEC.
PEC: comunicazioni interne
/esterne con partner fornitori
FIRMA: prime tipologie
documentali paperless
CONSERVAZIONE: conservazione
delle tipologie documentali
paperless (e anche libri, registri…)
Bac
k -
En
d e
ffic
ency
Fro
nt -
En
d e
ffic
ency
Percorso Evolutivo Organizzazione Paperless
8
Information Copyright © InfoCert 2011
La soluzione di conservazione a norma per la PAL: modelli e case study
Agenda
Presentazione di InfoCert e le proposte della Business Consulting Services
5
9
Information Copyright © InfoCert 2011
Articolo 5 – Il Responsabile della Conservazione
2. Il responsabile del procedimento di conservazione sostitutiva può delegare, in tutto o in parte,
lo svolgimento delle proprie attività ad una o più persone che, per competenza ed esperienza,
garantiscano la corretta esecuzione delle operazioni ad esse delegate.
3. Il procedimento di conservazione sostitutiva può essere affidato, in tutto o in parte, ad altri
soggetti, pubblici o privati, i quali sono tenuti ad osservare quanto previsto dalla presente
deliberazione.
Modelli di responsabilità di attivazione del sistema di conservazione
10
Information Copyright © InfoCert 2011
Azienda
Inte
rno
Est
ern
o
Full outsourcing
NominaNomina DelegheDeleghe
Art 5 co. 3 Cnipa 11/04 : procedimento
affidato in tutto o in parte ad altri
soggetti
Art 5 co.2 Cnipa 11/04 : RdC può delegare in tutto o
in parte attività a persone con adeguata competenza
e esperienza
Modelli di responsabilità
6
11
Information Copyright © InfoCert 2011
Articolo 3 - Conservazione sostitutiva di documenti informatici
1. Il processo di conservazione sostitutiva di documenti informatici, anche sottoscritti, così come
individuati nell'art. 1, lettera f), e, eventualmente, anche delle loro impronte, avviene mediante
memorizzazione su supporti ottici e termina con l'apposizione, sull'insieme dei documenti o
su una evidenza informatica contenente una o più impronte dei documenti o di insiemi di
essi, del riferimento temporale e della firma digitale da parte del responsabile della
conservazione che attesta il corretto svolgimento del processo.
.
Modelli di processo
12
Information Copyright © InfoCert 2011
Tre modelli di processo:
1. Diretto: il Responsabile della Conservazione appone la propria
firma digitale e il riferimento temporale direttamente sui
documenti da conservare
Modelli di processo
7
13
Information Copyright © InfoCert 2011
Tre modelli di processo:
2. Indiretto a un livello: il Responsabile della Conservazione
calcola l’impronta (hash) dei documenti da conservare, crea un
file e vi appone la propria firma digitale e il riferimento temporale
Modelli di processo
File di chiusura lotto
14
Information Copyright © InfoCert 2011
Tre modelli di processo:
3. Indiretto a due livelli: il Responsabile della Conservazione
calcola l’impronta (hash) dei documenti da conservare, la
inserisce in un file, calcola l’impronta di questo file, crea il file di
chiusura lotto e vi appone la propria firma digitale e il riferimento
temporale
Modelli di processo
File di controllo
File di chiusura lotto
8
15
Information Copyright © InfoCert 2011
Il processo di conservazione: un esempio
Documento
elettronico
Crea il file xml di
controllo del
documento
Lotto di documenti
omogenei
File xml delle
direttive di
conservazione
Crea il file xml di
chiusura lotto
Anagrafica documento (Ente, Area, Ufficio)TokenLottoElenco dei files che compongono il documento Path interno al lottoCodice del viewer definito HASH DEL DOCUMENTO
Token LegalDoc del documento
TokenLottoCriteri di omogeneità del lottoPath di ogni documento contenuto nel lottoHASH DEL FILE DI
CONTROLLO DI OGNI
DOCUMENTO contenuto nel lotto
16
Information Copyright © InfoCert 2011
Il processo di conservazione: un esempio
File xml di chiusura
lotto
Lotto chiuso
Appone la firma digitale del
RdC e la marca temporale
Memorizza i lotti nel
sistema
Crea la copia di
sicurezza
Produce i CD on demand
9
17
Information Copyright © InfoCert 2011
Articolo 6 – Obbligo di esibizione
1. Il documento conservato deve essere reso leggibile in qualunque momento presso il sistema di conservazione sostitutiva e disponibile, a richiesta, su supporto cartaceo.
2. Il documento conservato può essere esibito anche per via telematica.
3. Qualora un documento conservato venga esibito su supporto cartaceo fuori dall'ambiente in cui e' installato il sistema di conservazione sostitutiva, deve esserne dichiarata la conformità da parte di un pubblico ufficiale se si tratta di documenti per la cui conservazione è previsto il suo intervento.
Esibizione dei documenti
18
Information Copyright © InfoCert 2011
Esibizione dei documenti
Indici di ricerca del
documento
Sistema di conservazione
10
19
Information Copyright © InfoCert 2011
Documenti analogico UNICO\non UNICOnon
La PAL Paperless
Le PAL gestiscono una quantità crescenti di documenti ed informazioni, di differente tipologia, criticità e voluminosità.
Tali informazioni riguardano documenti analogico unici ( Delibere e Determine), documenti non unici ( fatture, documenti
tecnici , amministrativi) e documenti infirmatici amministrativo ( file sottoscritto con firma digitale). Una gestione efficace,
sicura e flessibile del patrimonio informativo è un requisito fondamentale per ottenere un efficiente PAL.
TIPOLOGIE DI INFORMAZIONI GESTITE DA UNA PAL
Documento informatico amministrativo
GESTIONE DIGITALE DELL’INFORMAZIONE
CONSERVAZIONE DIGITALE DELL’INFORMAZIONE
PROTEZIONE DELL’INFORMAZIONE
• Accessibilità dei contenuti
• Sicurezza nel trattamento
• Tracciabilità delle operazioni
• Flessibilità delle soluzioni
• Integrabilità con i sistemi aziendali
REQUISITI
20
Information Copyright © InfoCert 2011
L’impulso normativo verso la p-health
Il passaggio da soluzioni di e-PAL a soluzioni di p-PAL (paperless PAL) è oggi possibile grazie all’utilizzo di cinque
componenti fondamentali, tutte regolate da normativa specifica: documento informatico, firma digitale, validazione
temporale, conservazione sostitutiva, posta elettronica certificata, che devono essere innestate sul substrato della
normativa esistente in ambito di documentazione clinica.
FIRMA DIGITALEVALIDAZIONE TEMPORALE
Direttiva 1999/93/CE
Decreto Lgs 82/2005 – CAD
Decreto PCM 30/03/2009
Deliberazione CNIPA 45/2009
DOCUMENTO INFORMATICO
CONSERVAZIONE SOSTITUTIVA
Decreto Lgs 82/2005 – CAD
Legge 2/2009 con. DL 185/2008
DPR 445/2000
Decreto Lgs 82/2005 – CAD
Deliberazione CNIPA 11/2004
Decreto MEF 23/01/2004
POSTA ELETTRONICA CERTIFICATA
DPR 68/2005
Decreto 02/11/2005
Decreto Lgs 82/2005 – CAD
Legge 2/2009 con. DL 185/2008
11
21
Information Copyright © InfoCert 2011
Infrastruttura di Conservazione del documento
Sistema di protocollo
informatico e gestione
documentale
Sistema di gestione
Delibere\ Dertermine
Sistema di controllo e
interfacciamento alla
conservazione
(invio/esibizione)
Sistema ASP di conservazione
dei documenti elettronici
Schema dell’infrastruttura tecnologica sviluppata da InfoCert e
PAL per la conservazione elettronica dei documenti
web
Protocollo
\sistema di
gestione
Sistema
interfaccia
conservazione
PC utente
Sistema di
Delibere \
Determine
22
Information Copyright © InfoCert 2011
Principali caratteristiche
La piattaforma KDT è il sistema di
controllo e interfacciamento alla
conservazione (in invio e in
esibizione) che permette di
armonizzare i flussi provenienti
dai sistemi informativi dell’Ente e
di inoltrarli alla piattaforma di
conservazione LegalDoc.
� Ricezione dei flussi da sistemi informativi
PAL, generali o dipartimentali (standard
di comunicazione, WebServices,
database…)
� Ricezione dei dati da sistemi informativi
PAL e relativi controlli di coerenza al fine
quadrare le informazioni ricevute
controllarne la completezza
� Supporto per l’esibizione a norma
� Indicizzazione del documento sulla base
delle informazioni fornite dai sistemi
informativi che lo hanno originato
� Collegamento dei documenti provenienti
da diversi flussi, al fine di offrire una
piattaforma di esibizione in grado di
proporre documenti collegati gli uni gli
altri.
Schema dell’infrastruttura tecnologica sviluppata da InfoCert e
PAL per la conservazione elettronica dei documenti
Protocollo
\sistema di
gestione
Sistema
interfaccia
conservazione
PC utente
Sistema di
Delibere \
Determine
� Invio dei dati consolidati alla piattaforma di conservazione LegalDoc
� Controllo preventivo all’invio in LegalDoc della firma digitale e della marca
temporale
� Portale di controllo delle attività di conservazione per il monitoring delle
operazioni in tempo reale
� Funzionalità dedicate alla ricerca dei documenti conservati per le funzioni di
esibizione e materializzazione
12
23
Information Copyright © InfoCert 2011
DIMINUZIONE TEMPI DEI PROCEDIMENTI AMMINISTRATIVI
L’adozione in una PAL di una soluzione di conservazione sostitutiva dei documenti informatici amministrativi,
comporta immediati vantaggi in termini di ottimizzazione delle risorse interne, controllo e ritorno degli investimenti.
ELIMINAZIONE COSTI DI MATERIALIZZAZIONE DEL DOCUMEN TO
REPERIMENTO IMMEDIATO DELLA DOCUMENTAZIONE
ESIBIZIONE IN TEMPO REALE CON VALIDITÀ LEGALE
NATURALE EVOLUZIONE DEI SISTEMI DI PROTOCOLLO INFOR MATICI
ELIMINAZIONE PROBLEMI DI ARCHIVIAZIONE E DETERIORAM ENTO
LegalDoc è la soluzione di
conservazione dei documenti
elettronici, con delega completa
ad InfoCert della Responsabilità
della Conservazione
SICUREZZA COMPLIANCE
La conservazione dei documenti amministrativi
24
Information Copyright © InfoCert 2011
� Firma digitale e marca/riferimento temporale
� Attestazione del buon esito del processo di
conservazione
� Definizione caratteristiche e requisiti del
sistema
� Organizzazione contenuto dei supporti
� Gestione della sicurezza fisica e logica
� Mantenimento archivio software di
visualizzazione
� Documentazione procedure adottate
� Verifica leggibilità dei documenti
� Gestione di eventuali riversamenti dei
documenti
� Gestione tracciabilità ed esibizione
PRINCIPALI COMPITI DEL RESPONSABILE DELLA CONSERVAZIONE
Competenze informatiche, giuridiche, di processo
Il Responsabile della Conservazione
13
25
Information Copyright © InfoCert 2011
LegalDoc (1/3): summary
26
Information Copyright © InfoCert 2011
LegalDoc (2/3): Caratteristiche
Infrastruttura IT
• Sicurezza degli accessi al data-center (TVCC, sicurezza fisica, sicurezza logica, sensori antiintrusione, antifumo, antiallagamento)
• Scelta di supporti magneto-ottici di tipo professional per la garanzia dell’integrità dei documenti
• Dato ridondato su più dischi (RAID) e sito di disaster recovery
Infrastruttura IT
• Sicurezza degli accessi al data-center (TVCC, sicurezza fisica, sicurezza logica, sensori antiintrusione, antifumo, antiallagamento)
• Scelta di supporti magneto-ottici di tipo professional per la garanzia dell’integrità dei documenti
• Dato ridondato su più dischi (RAID) e sito di disaster recovery
Leggibilità
• Verifica di leggibilità binaria automatica mediante hash compare (hash di origine e hash corrente) con generazione di report
• Verifica dell’intelligibilità dei documenti da parte del Resp della Conservazione
• Presidio degli elementi tecnologici che influenzano la leggibilità a lungo termine dei documenti (formato documento, viewer, sistema operativo, obsolescenza hardware)
Leggibilità
• Verifica di leggibilità binaria automatica mediante hash compare (hash di origine e hash corrente) con generazione di report
• Verifica dell’intelligibilità dei documenti da parte del Resp della Conservazione
• Presidio degli elementi tecnologici che influenzano la leggibilità a lungo termine dei documenti (formato documento, viewer, sistema operativo, obsolescenza hardware)
Volumi e accesso ai dati
• Oltre 250 milioni di documenti con 4 reference file per ogni documento pari a quasi 1 miliardo di file conservati
• Esibizione a norma dei file conservati on-line e real-time
• Canale sicuro e cifrato di comunicazione per l’invio e l’esibizione dei documenti
Volumi e accesso ai dati
• Oltre 250 milioni di documenti con 4 reference file per ogni documento pari a quasi 1 miliardo di file conservati
• Esibizione a norma dei file conservati on-line e real-time
• Canale sicuro e cifrato di comunicazione per l’invio e l’esibizione dei documenti
14
27
Information Copyright © InfoCert 2011
Documenti
AMMINISTRATIVI2011
20212011
Delibere
Fatture emesse:
repertorio annuale
Determine
Conservazione illimitata
Conservazione 10 anni*
2011
Conservazione illimitata
Verifiche di leggibilità• cadenza periodica, non
superiore a 5 anni
2016 2021 2026 2031 2036 2041 2046 2051 …n
Aggiornamenti
tecnologia, incremento
storage (+ 75% ogni anno)2024 2032 2040 2048 …n
LegalDoc (3/3): Presidio documentiR
esp
on
sab
ile
Co
nse
rvaz
ion
e
*Gruppo di lavoro per la formulazione di proposte e modelli per la riorganizzazione dell’archivio dei Comuni
Piano di conservazione (dicembre 2005)
http://www.archivi.beniculturali.it/SARC/massimaridiscartoconframe.htm
28
Information Copyright © InfoCert 2011
PUBBLICA AMMINISTRAZIONE CENTRALE
PUBBLICA AMMINISTRAZIONE LOCALE
InfoCert – Principali referenze nella PA
DOCUMENTO RISERVATO NON DIVULGABILE
L’elenco delle referenze riportate non è esaustivo , sono riportati solo i clienti InfoCert che ne hanno dato la liberatoria.
15
29
Information Copyright © InfoCert 2011
InfoCert – Principali referenze
SETTORE FINANCE
SETTORE SANITARIO
ENERGY / UTILITIES / ALTRO
L’elenco delle referenze riportate non è esaustivo , sono riportati solo i clienti InfoCert che ne hanno dato la liberatoria.
30
Information Copyright © InfoCert 2011
Silvia Loffi
Senior Consultant
Mobile +39 3299048825
Tel. +39 0644285532
Mail to: