2.1 Posta Elettronica Certificata 2.1.3 I servizi forniti e gli obblighi del gestore di Posta Elettronica Certificata il glossario dei termini usati nel sistema; gli schemi e le definizioni dei messaggi gestiti dal sistema di PEC; i comportamenti e le misure da adottare per ogni caso ivi descritto. Come accennato in precedenza per il funzionamento della posta elettronica certificata, è fondamentale il ruolo dei gestori accreditati di PEC. Questi ultimi devono infatti garantire un insieme di servizi e alta disponibilità di alcuni di essi, così come stabilito dall’art. 12 del Decreto del Ministro per l'innovazione e le tecnologie del 2 novembre 2005. 2.1.3 I servizi forniti e gli obblighi del gestore di Posta Elettronica Certificata Sulla base della normativa prodotta dal CNIPA, emerge che ogni gestore di posta elettronica certificata ha l’obbligo di fornire i seguenti servizi: Autenticazione, accettazione ed invio dei messaggi di posta elettronica; Ricezione e verifica dei messaggi di posta elettronica certificata provenienti dagli altri gestori; Consegna dei messaggi di posta elettronica certificata nella casella dell’utente; Consultazione delle caselle da parte degli utenti di posta elettronica certificata. In altre parole, il gestore di PEC deve garantire ad ogni proprio utente la possibilità di invio, ricezione e consultazione dei messaggi. Il rispetto della normativa vigente, in particolare del Decreto Ministeriale 2 novembre 2005, obbliga altresì il gestore a: fornire e garantire i livelli di servizio previsti (disponibilità e accessibilità ai servizi h24, 7gg/7gg, 365gg/anno); interoperare con gli altri gestori accreditati riducendo le problematiche derivanti dall’uso di software e tecnologie eterogenee; registrare le singole fasi di ogni trasmissione all’interno di specifici file di log; apporre la marca temporale sui log dei messaggi; conservare e rendere disponibili, per almeno 30 mesi, i log relativi alle trasmissioni avvenute, in quanto aventi valore legale, secondo le modalità e gli usi previsti dalla legge; garantire riservatezza, integrità e inalterabilità nel tempo dei file di log; informare i propri utenti sulle modalità di accesso al servizio e sui necessari requisiti tecnici; rilasciare tutte le ricevute e tutti i messaggi previsti dalla normativa (busta di trasporto, ricevuta di presa in carico, ricevuta di accettazione, ricevuta di avvenuta consegna, avviso di mancata accettazione, avviso di mancata consegna, avviso di mancata consegna per superamento tempi massimi, avviso di rilevazione virus, etc etc); apporre in ogni messaggio il riferimento temporale; conservare e garantire l’integrità del messaggio originale contenuto all’interno della relativa busta di trasporto durante ogni trasmissione; rispettare le norme previste dal Decreto legislativo 30 giugno 2003, n. 196 in materia di protezione dei dati personali; rilevare e comunicare la presenza dei virus informatici rilasciando gli avvisi previsti dalla legge; conservare i messaggi contenenti virus informatici per il periodo previsto dalla normativa; adottare misure atte ad evitare l'inserimento di codici dannosi (virus); adottare procedure e servizi di emergenza che assicurino il completamento della trasmissione anche in caso di incidenti (ad esclusione di eventi disastrosi improvvisi quali terremoti, attentati, etc etc); garantire la segretezza della corrispondenza trasmessa attraverso il proprio sistema; attivare/disattivare le caselle di PEC previa verifica dell’autenticità della richiesta pervenuta; inviare ai propri clienti le informazioni riguardo le modalità di richiesta, reperimento e presentazione dei log dei messaggi per consentirne l’opposizione a terzi nei casi previsti dalla legge; utilizzare protocolli di comunicazione sicuri allo scopo di garantire la segretezza, l'autenticità e l'integrità delle informazioni trasmesse attraverso il sistema PEC; adottare procedure di sostituzione dei certificati elettronici relativi alle proprie chiavi di firma con una tempistica tale da non causare interruzioni di servizio; richiedere la revoca dei certificati relativi alle chiavi utilizzate per la firma dei messaggi e per la connessione sicura al sito del DigitPA (ex CNIPA) in caso di loro compromissione; adottare misure d sicurezza tali da non consentire la duplicazione abusiva e incontrollata delle chiavi private di firma o dei dispositivi che le contengono (vale a dire che l'esportazione cifrata delle chiavi private di firma viene effettuata in modo da non diminuirne il livello di sicurezza e che le chiavi private non vengano usate per scopi diversi dalla firma dei messaggi di posta elettronica previsti dalla normativa); comunicare tempestivamente ai propri utenti l’eventuale cessazione o interruzione del servizio; adottare misure di sicurezza tali da consentire l’accesso logico e fisico al sistema alle sole persone autorizzate (ovvero al personale tecnico e amministrativo per quanto riguarda il controllo e la manutenzione del sistema); utilizzare un sistema di riferimento temporale che garantisca stabilmente una sincronizzazione delle macchine coinvolte con uno scarto non superiore al minuto secondo rispetto alla scala di Tempo Universale Coordinato UTC; utilizzare dispositivi di firma conformi alla normativa vigente. Si può facilmente dedurre che non tutti i servizi derivanti dagli obblighi stabiliti per legge debbano essere necessariamente forniti con continuità. L’interruzione dell’attivazione o della cancellazione degli utenti non pregiudica il corretto funzionamento del sistema di PEC contrariamente a quanto può avvenire se accade un guasto ai dispositivi di firma. Ancora, il mancato reperimento dei log dei messaggi di posta elettronica certificata non pregiudica il corretto funzionamento del sistema di PEC contrariamente a quanto può avvenire se un utente non riesce ad autenticarsi al sistema di posta elettronica certificata. Applicare i concetti di tolleranza ai guasti, nel sistema di PEC, significa identificare le componenti (hardware e software) e le procedure per cui un loro fallimento comporta una completa e totale interruzione dei servizi. Nel documento FAULT TOLERANCE APPLICATO ALLA MODALITÀ DI ACCESSO ALLA STRUTTURA DI POSTA ELETTRONICA CERTIFICATA DI NAMIRIAL S.P.A. (pagine 33-36)
