Luglio 2007Luglio 2007

Il nuovo accesso ai servizi informaticiCome cambieranno le nostre utenze

e le nostre password a fine settembre.

Giovanni M. Bianco

Giancarlo Peli

Servizi Informatici di Ateneo

Luglio 20072 di 47

A settembre il cambiamento che toccherà le nostre utenze

informatiche

A fine settembre, tutti noi, utilizzatori di servizi informatici dell’Ateneo, dovremo affrontare un cambiamento importante che riguarderà primariamente le nostre utenze e le nostre password ma, in generale, tutte le politiche di gestione delle credenziali informatiche.

Da quel momento, le attuali credenziali informatiche non saranno più attive e, per tempo, si sono programmati dei momenti informativi che delineano i contorni del cambiamento.

Luglio 20073 di 47

Scopo della presentazione

Lo scopo di questa presentazione è quello di riassumere i contenuti del progetto del nuovo sistema di gestione delle identità (UserId e Password) di Ateneo, ma soprattutto di evidenziare i potenziali impatti che possono essere determinati dalla sua introduzione nell'ambito dell'organizzazione universitaria.

Queste slide sono anticipate per mail/newsletter e sul sito web, e saranno presentate in momenti di incontro seminariale di circa 90 min replicati tra i mesi di Luglio, Agosto e Settembre. Il calendario degli incontri sarà reso disponibile a breve per mail/newsletter e sul sito.

Luglio 20074 di 47

Guida alla presentazione

Si è voluto unificare in un questo unico medium informativo:• scaletta a promemoria degli interventi realizzati/in

essere/futuri• repertorio di informazioni, normative, link di dettaglio a

disposizione on line• slide di supporto alla presentazione

per dare modo di avere con un’unica modalità tutte le informazioni e gli approfondimenti necessari.

La documentazione di dettaglio, narrativa e puntuale, rinviata anche con appositi link, è stata inserita per chi consulta la presentazione senza recarsi ai seminari ai quali, tuttavia, si rimanda per le dimostrazioni pratiche di utilizzo del sistema.

Luglio 20075 di 47

Acronimi usati

Nel proseguo si tratteranno argomenti che prevedono l’uso di acronimi:• GARR: significa "Gestione Ampliamento Rete Ricerca" è

un’organizzazione informatica che “serve” tutte le Entità che rappresentano la Comunità Accademica e della Ricerca Scientifica in Italia. Tra i suoi scopi (visibili in questo link), vi è quello di fornire connettività e trasporto dati.

• GARR Acceptable User Policy: l'utilizzo della Rete è soggetto al rispetto delle Acceptable Use Policy (AUP) da parte di tutti gli utenti GARR. L’AUP è reperibile in questo link.

• UserId o AccountId: identificativo che ci consente di “entrare” nella rete dell’Ateneo (es. mrossi)

• Password: insieme di caratteri conosciuti solo dall’interessato e necessari per entrare nella rete, associati all’ UserId o AccountId

• CDR: Centro di Responsabilità nell’Ateneo di Verona

Luglio 20076 di 47

Agenda della presentazione

Questa presentazione si divide in tre parti:

Perchè sono necessari i sistemi di Gestione delle Identità

Cosa succederà a Settembre per tutti gli utilizzatori della rete di Ateneo

Dimostrazioni pratiche e approfondimenti

Luglio 20077 di 47

Prima parte

Perché sono necessari i Sistemi di Gestione delle Identità

Luglio 20078 di 47

Un po’ di storia

Dapprima, occorre ricordare che il processo di implementazione del sistema di gestione delle identità è cominciato circa due anni fa.

L’Universitá di Verona, prima in Italia, nel 2005 ha pubblicato un bando di gara d'appalto europeo per dotare la propria infrastruttura informatica di un sistema per la gestione automatica delle identitá (il software che implementa la Gestione delle Identità di Ateneo è denominato, più brevemente, GIA).

Luglio 20079 di 47

Identità nell’Ateneo

Gli Atenei, infatti, sono strutture complesse ed articolate, nei perimetri dei quali sono in continuo movimento persone che, a vario titolo, hanno dei rapporti con l’Università anche in veste di “semplici” frequentatori.

Occorre particolare attenzione e cautela al fine di garantire l’accesso al sistema informatico solo a coloro che ne hanno diritto.

Luglio 200710 di 47

Conoscere chi e cosa

Gestire il ciclo di vita delle credenziali informatiche di tutti i soggetti che ne hanno diritto significa gestire in modo automatico l'assegnazione dei vari account informatici (tipicamente UserId e Password) alle varie tipologie di persone che instaurano dei rapporti con UniVr e che necessitano di accedere alle risorse informatiche di quest'ultima.Recenti norme (DM 16 Agosto 2005 “Antiterrorismo”) oppure Leggi (D.Lgs. 196/2003 “Privacy” e Allegato B - Disciplinare Tecnico) oppure Policy (Acceptable User Policy del GARR) sono molto chiare in proposito. In essenza:• Si deve conoscere chi opera sulla rete• Un soggetto può agire essendo autorizzato e con criteri

e limiti ben precisi

Luglio 200711 di 47

Approfondimenti

Nel dettaglio, per i vari aspetti regolamentari e normativi, oltre che di presentazione della materia della Privacy, si possono approfondire i seguenti link:• Norme e disposizioni sulla Privacy

• D.Lgs. 196/2003 con il Disciplinare Tecnico (All. B)

• Decreto “Antiterrorismo” (applicabile agli Atenei)• DM (16/8/2005) sull’Antiterrorismo

• Policy del GARR (obbligatorie per gli Atenei)• Acceptable User Policy

• Regolamenti di Ateneo sui servizi informatici• Linee guida di Ateneo per tutti• Regolamento per gli studenti

• Materiale di approfondimento del nostro Ateneo su Privacy e dintorni

• Documentazione disponibile nel sito UniVr

Luglio 200712 di 47

Le necessità di gestione delle identità nascono dalle norme

L’allegato B al D.Lgs. 196/2003 si riferisce spesso a profili, autorizzazioni, modifiche periodiche delle password, attività di controllo sugli accessi… come si possono gestire questi processi?

Per far ciò è necessaria una “tecnologia” che gestisca le identità, garantendo le corrette autorizzazioni al sistema.

Questa “tecnologia” deve possedere almeno un livello base di “gestione delle identità”, al fine cioè di consentire di capire chi, cosa, come, quando, … un utente può agire.

Luglio 200713 di 47

Vincoli sono presenti anche nelle Policy del GARR

Anche il GARR prevede nell’Acceptable User Policy:• “Art 6. Tutti gli utenti a cui vengono forniti accessi alla

rete GARR devono essere riconosciuti ed identificabili. Devono perciò essere attuate tutte le misure che impediscano l'accesso a utenti non identificati.”

La “tecnologia” prima ipotizzata si definisce col termine di “Identity Management” e per l’Ateneo di Verona, l’applicativo è stato chiamato, come detto, GIA - Gestione delle Identità di Ateneo.

Corollari a questa tecnologia sono anche il cosiddetto “Access Management” e il “Single Sign On”, di cui verranno delucidate le necessità nel proseguo.

Luglio 200714 di 47

Uno sguardo al Disciplinare Tecnico (All. B) del D.Lgs.

196/2003Nelle slide in fondo a questa presentazione sono riportati i punti del Disciplinare Tecnico, All. B al D.Lgs. 196/2003, che caratterizzano le richieste da soddisfare per un gestore delle identità.

Il testo normativo, quindi, “facilita” la determinazione degli obiettivi, seppure quegli stessi obiettivi siano molto ambiziosi e complessi da implementare in una realtà universitaria proprio per l’ampia casistica dei rapporti presenti.

Luglio 200715 di 47

Passi implementativi del processo

Nel Giugno 2005, come anticipato, l’Ateneo ha pubblicato sulla G.U.C.E. (Gazzetta Ufficiale Europea) un bando per l’implementazione “base” dell’Identity Management.

L’offerta è stata selezionata attraverso una approfondita e completa comparazione tra le 5 Aziende a livello europeo che si sono proposte e l’appalto è stato affidato nel Novembre 2005 all’Associazione Temporanea di Impresa (ATI) SUN - Open1.

Luglio 200716 di 47

L’A.T.I. Sun+Open1

L’ATI, ha terminato la fase di rilevazione dello stato attuale e dei requisiti nel Febbraio 2006.

Ha terminato la fase di analisi nel Giugno 2006 producendo, tra l’altro, un documento di “Executive Summary”, spedito a tutti i Responsabili dei CdR per raccogliere eventuali osservazioni.

Ha terminato la fase di implementazione della soluzione nel Giugno 2007.

Luglio 200717 di 47

Parte Seconda

Cosa succederà a Settembre per tutti gli utilizzatori della

rete di Ateneo

Luglio 200718 di 47

Analisi dei processi di gestione delle identità presenti nell’Ateneo

Attraverso una serie di interviste, condotte nei primi mesi del 2006, con i responsabili di un campione il più possibile rappresentativo delle varie tipologie di strutture organizzative (Facoltà, Dipartimenti, Biblioteche, Direzioni, Centri, Uffici, …), e mirate all’analisi dei processi di gestione delle identità degli utenti, sono state individuate le necessità dell’Ateneo al fine del rilascio e della gestione delle credenziali di accesso.

Tali risultanze di analisi sono poi state spedite (in particolare, l’Executive Summary), come detto, nel Giugno 2006 a tutti i Responsabili dei CdR per raccogliere eventuali osservazioni.

Luglio 200719 di 47

Alcune risultati dell’analisi

Il sistema GIA deve effettuare la gestione delle identitá in accordo alla normativa.

Agli utenti appartenenti alle varie classi d'identitá che sono presenti in Ateneo (ovverosia “Personale Interno”, “Studenti”, “Personale Esterno” e “Frequentatori”) devono essere assegnati degli identificatori univoci (UserId):• all’interno di ogni singola classe di identità, ciascuno sarà

caratterizzato dalla stessa tipologia di identificatore, ma se l'utente appartiene contemporaneamente a due classi (ad esempio uno studente che ha un contratto di “150 ore”), lo stesso deve avere due identificatori distinti per operare nei due diversi contesti lavorativi poichè sono distinte sono le autorizzazioni di accesso.

Luglio 200720 di 47

Strutture coinvolte

Nella prima versione il sistema GIA prenderà in considerazione le seguenti tipologie di organizzazioni: Facoltà, Dipartimenti, Direzioni Centrali, Biblioteche (frequentatori), Organi di staff.

Le rimanenti tipologie di strutture, Centri, Organi Accademici, altre strutture che nel frattempo possono essere sorte, verranno considerate non appena sarà effettuato il primo rilascio del software.

Luglio 200721 di 47

Integrazione degli account

Per gestire gli account dei soggetti che hanno diritto di accedere alle varie risorse informatiche, GIA deve essere integrato con queste ultime al fine di poter controllare il ciclo di vita delle identitá, ovvero al fine di poter gestire in modo automatico la creazione, la modifica e la cancellazione degli account in accordo ai vari processi di gestione.

Nella prima versione di GIA è prevista l'integrazione delle seguenti risorse e servizi/applicazioni informatiche:• Active Directory (permette l’accesso alla rete per il

personale, wireless, accesso VPN, Help Desk, Titulus)• Servizi Directory LDAP (gestisce le credenziali di posta

elettronica, applicazioni degli studenti)• Web Integrato (dbERW, gestore delle informazioni sul Web)• CIA (programma per la Contabilità Integrata di Ateneo)• Database degli studenti• Servizi on line degli studenti

Luglio 200722 di 47

Altre risorse integrate in futuro

Immediatamente dopo l’integrazione delle risorse appena elencate, si provvederà ad integrare altri sistemi, in particolare:• CSA (programma per la gestione delle Carriere Giuridiche e

degli Stipendi del Personale).• Nuovo programma di gestione delle presenze: l’attuale

programma sarà sostituito da un gestore delle presenze che sarà integrato con GIA.

GIA fornisce a tutti gli effetti un contesto a norma di legge e di regolamento che può essere sfruttato per gestire tutte le risorse informatiche, in qualsiasi CdR. • In questi casi, occorre un’analisi ad hoc, tuttavia il SIA

mette a disposizione GIA per chiunque ne faccia richiesta e abbia la necessità di gestire accessi a dei servizi.

Luglio 200723 di 47

Nuovi codici utente

Limitatamente ai servizi informatici integrati con il sistema GIA, gli attuali identificatori utente (UserId o AccountId nel GIA) presenti nelle risorse integrate (quelle elencate nelle slide precedenti) verranno disabilitati e sostituiti con un identificatore il cui formato è definito dal seguente schema:• Per tutte le classi d‘identità, con la sola eccezione degli

studenti, il nuovo AccountId sarà:• composto solo da caratteri numerici ed alfanumerici• la lunghezza dell'accountId è fissa e pari ad 8 caratteri• il formato dell'accountId é definito come:

– <sequenza caratteri><sequenza numerica> – Dove la “sequenza caratteri” è definita dai primi sei (6) caratteri

del codice fiscale, o di codice similare per chi sprovvisto (come ad es. visitatori stranieri), associato all'utente

• la “sequenza numerica” ha lo scopo di eliminare le duplicazioni relative alla “sequenza di caratteri” (ciò vale per utenti con le prime 6 cifre del codice fiscale uguali). Essa è costituita da un numero casuale compreso fra 01 e 99. Il formato permette quindi 99 diversi AccountId con i primi sei caratteri del codice fiscale uguali.

Luglio 200724 di 47

Gestione delle Password

Per i servizi informatici integrati con il sistema GIA, verrà definita una regola di creazione della password (password policy) conforme alla normativa.• Quindi, la password dovrà contenere quegli elementi

affinchè sia “robusta”: numeri, segni di interpunzione, eccetera.

Luglio 200725 di 47

Cosa succede quando termina la collaborazione con UniVr

È importante sapere che, per come sono le attuali norme, le identitá informatiche (AccountId) non saranno mai cancellate, ma solo disabilitate. • Ciò al fine di mantenere la storicità degli AccountId

Alla scadenza di un rapporto di collaborazione con UniVr il sistema GIA provvederà automaticamente a disabilitare i privilegi di accesso concessi dal rapporto stesso.

Luglio 200726 di 47

Alcune funzioni sarannoself-service

Alcuni servizi di gestione devono poter essere effettuati direttamente dagli utenti finali. Ciò sarà effettuato attraverso un’apposita interfaccia web.

I servizi per i quali è prevista l'erogazione in modalità self-service sono: l'aggiornamento della propria password, la gestione della password dimenticata, la richiesta di accesso per conto di un ospite o di un consulente (quest'ultimo solo per i Docenti e i Responsabili ai sensi della Privacy), l'aggiornamento di una parte del proprio profilo.

Luglio 200727 di 47

Ruolo dei Tecnici di Facoltà e dei Responsabili ai sensi

della privacy

I Tecnici di Facoltà dovranno utilizzare il sistema GIA soprattutto per le operazioni di gestione delle password.I Responsabili a sensi della Privacy saranno coinvolti nel processo di richiesta dei privilegi di accesso a determinati servizi informatici. Questo significa accedere al GIA e, tramite l'apposita interfaccia web, individuare l'utente oggetto della richiesta e selezionare i servizi per i quali viene richiesto l'accesso.• Ciò può essere effettuato anche da un Incaricato

appositamente nominato dal Responsabile.

Luglio 200728 di 47

Self-service per Docenti e Responsabili ai sensi della

Privacy

I Docenti e i Responsabili ai sensi della Privacy avranno la facoltà di richiedere l'accesso alla rete per gli ospiti e questo richiede la compilazione, sempre via web, di una apposito prospetto le cui informazioni consentano di identificare l'ospite stesso (ad esempio, oltre al nome e cognome, devono essere specificati gli estremi di un documento di riconoscimento).

I Responsabili sono coinvolti anche nel processo di richiesta accesso per i Consulenti/Fornitori e per la fornitura dei privilegi di accesso anche agli Esterni.

Luglio 200729 di 47

Dove sono state prelevate le informazioni per noi utenti

Nell'ambito della gestione delle identitá, è stato particolarmente importante individuare le “sorgenti autoritative” per le varie informazioni che contribuiscono alla definizione dell'identitá. La sorgente autoritativa è quella base di dati che, per una determinata informazione e per uno specifica classe di utenza, definisce il valore di riferimento certo. • Ad esempio il database degli studenti è autoritativo per

le informazioni relative agli utenti, almeno relativamente alle informazioni d'identità che si desidera gestire.

Per il personale docente, TA, esterno, …, la sorgente autoritativa scelta è quella del DBErw (WebIntegrato).

Luglio 200730 di 47

Parte Terza

Alcuni approfondimenti e dimostrazioni pratiche

Luglio 200731 di 47

Nuovi Identificatori

Come anticipato, gli attuali identificatori utilizzati per l'autenticazioni ai servizi informatici che verranno integrati con il sistema GIA, saranno disabilitati e sostituiti con altri identificatori il cui formato è sottoposto a particolari regole.

Per accedere ai vari servizi informatici l'utente dovrà ricordare un solo identificatore, che ne identifica anche l'ambito di utilizzo o la categoria di appartenenza. • Solo in situazioni molto particolari sono previste delle

“sovrapposizioni”, ovvero solo alcune tipologie di utenti possono trovarsi nella situazione di possedere tipi diversi di identificatori (ad esempio: Studenti Iscritti e Studenti 150 ore).

Per i servizi integrati con il GIA, prima elencati, l'utente dovrà “dimenticare” il vecchio account ed utilizzare il nuovo AccountId con il nuovo formato.

Luglio 200732 di 47

Nuove Password

Per tutti i servizi informatici integrati con GIA le credenziali di accesso (password) saranno gestite in modo conforme alla normativa:• la definizione della password sarà vincolata (dal sistema GIA stesso)

da opportune regole di conformità (caratteri minuscoli/minuscoli, numeri, caratteri speciali)

• la password dovrà essere aggiornata con una frequenza predeterminata (massimo 6 mesi)

• tutti gli utenti dovranno necessariamente seguire all'inizio il processo di assegnazione della password che prevede una fase di identificazione dell'utente da parte del personale amministratore preposto

• in caso di dimenticanza della password, l'utente dovrà seguire una apposita procedura

Tutti gli utenti utilizzatori dei servizi informatici integrati con GIA saranno soggetti alle nuove procedure che implicano una variazione degli attuali comportamenti. • GIA però mette a disposizione degli utenti delle procedure

automatiche che semplificano notevolmente l'aggiornamento delle password.

Luglio 200733 di 47

Nuove procedure di Gestione degli utenti

L'introduzione del sistema GIA determinerà una variazione ai processi di gestione degli utenti e questo significa che alcune persone nell'ambito dell'organizzazione UniVR dovranno assumere ruoli precisi nei confronti della gestione delle identitá degli utenti.

Le procedure universitarie stanno per essere adeguate per contemplare i nuovi processi e, a tal proposito, sono stati avviati e conclusi programmi formativi mirati per le persone che devono assumere questi nuovi ruoli.

Luglio 200734 di 47

Nuovi processi

Oltre alla nuova procedura di gestione delle credenziali, che prevede la possibilità da parte di ciascun utente di poter modificare in autonomia la propria password, la realizzazione del sistema GIA introduce procedure formalizzate in ottemperanza a quanto presente nell’attuale regolamento di ateneo per l’accesso alla rete dati.

In particolare, GIA aiuta a definire il work flow per attivare nuove credenziali a persone che ne hanno titolo secondo il regolamento di ateneo per l’accesso alla rete dati.

Luglio 200735 di 47

Dimostrazioni pratiche

In questo spazio della presentazione vi sono dimostrazioni pratiche dell’utilizzo di GIA

Luglio 200736 di 47

Conclusioni

Verso fine Settembre il nostro Ateneo modificherà il sistema di gestione dell’accesso alla rete.

Questo è determinato sia da esigenze normative sia da questioni di “ordine” nella trattazione delle credenziali informatiche.

Questa presentazione è anticipata tramite mail/newsletter e pubblicata nel sito web. Seguiranno molti momenti di presentazione anche delle procedure vere e proprie di GIA.

Luglio 200737 di 47

Per chi vuole approfondire: il Disciplinare tecnico al D.Lgs.

196/20031. Il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

Luglio 200738 di 47

Il Disciplinare tecnico

3. Ad ogni incaricato sono assegnate o associate individualmente una o piu' credenziali per l'autenticazione.

4. Con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.

Luglio 200739 di 47

Il Disciplinare tecnico

5. La parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi.• Il cosiddetto Single Sign On (SSO), “aiuta”

l’incaricato a gestire tutte le credenziali automaticamente.

6. Il codice per l'identificazione, laddove utilizzato, non puo' essere assegnato ad altri incaricati, neppure in tempi diversi.

Luglio 200740 di 47

Il Disciplinare tecnico

7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.• L’Access Manager “controlla” che per ogni risorsa

informatica accedibile da un incaricato non vi sia stato un accesso entro i termini temporali di 6 mesi

8. Le credenziali sono disattivate anche in caso di perdita della qualita' che consente all'incaricato l'accesso ai dati personali.

9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.

Luglio 200741 di 47

Il Disciplinare tecnico

10. Quando l'accesso ai dati e agli strumenti elettronici e' consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita' con le quali il titolare puo' assicurare la disponibilita' di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali e' organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.

Luglio 200742 di 47

Il Disciplinare tecnico

11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

Luglio 200743 di 47

Il Disciplinare tecnico

12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e' utilizzato un sistema di autorizzazione.

13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.

14. Periodicamente, e comunque almeno annualmente, e' verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Luglio 200744 di 47

Il Disciplinare tecnico

15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati puo' essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

Luglio 200745 di 47

Il Disciplinare tecnico

16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita' di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento e' almeno semestrale.

Luglio 200746 di 47

Il Disciplinare tecnico

18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

Luglio 200747 di 47

Il Disciplinare tecnico …Non solo questioni “elettroniche”…

28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

29. L'accesso agli archivi contenenti dati sensibili o giudiziari e' controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.