Allora mi è stato esposto un quesito a cui non so rispondere.
Poniamo il caso che ci sia un software X che funziona unicamente SE E SOLO SE il l’utente collegato è MARIO_ROSSI (a fare esempio).
Se si collega GIUSEPPE_VERDI il software non funziona.
Per risolvere il problema, è stata creata una utenza specifica: UTENZA_CONDIVISA le cui credenziali sono note a 3 o anche di più diverse persone che utilizzano l’applicativo.
La norma 5.10.2 dice che “Tutte le utenze, in particolare quelle amministrative, debbono essere nominative e riconducibili ad una sola persona.”
Come si risolve tale probelmatica considerando che
il software è unico e insostituibile
Non gestice ne è in previsione che possa gestire la multi-utenza?
Mi aggiungo al quesito posto da @Alessandro_Carloni : Eventualmente è possibile fare una nomina che l’UTENZA_CONDIVISA è utilizzata da tre persone ?
Grazie
“1 il software è unico e insostituibile.”
“2 Non gestisce ne è in previsione che possa gestire la multi-utenza”
Affermazioni che fanno emergere grandi perplessità, assumiamo (per assurdo) che sia vera.
Dato che il software ricade in una di questa tipologie: (art 68 Codice amministrazione digitale )
a) software sviluppato per conto della pubblica amministrazione;
b) riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione;
c) software libero o a codice sorgente aperto;
d) software fruibile in modalità cloud computing;
e) software di tipo proprietario mediante ricorso a licenza d’uso;
f) software combinazione delle precedenti soluzioni.
deduco che si tratta di un software di tipo proprietario mediante ricorso a licenza d’uso (altrimenti sarebbe modificabile oppure sarebbe multitutente ).
Quindi è stata fatta in passato la necessaria valutazione comparativa prevista dalla norma " Ove dalla valutazione comparativa di tipo tecnico ed economico, secondo i criteri di cui al comma 1-bis, risulti motivatamente l’impossibilità di accedere a soluzioni già disponibili all’interno della pubblica amministrazione, o a software liberi o a codici sorgente aperto, adeguati alle esigenze da soddisfare, è consentita l’acquisizione di programmi informatici di tipo proprietario mediante ricorso a licenza d’uso. La valutazione di cui al presente comma è effettuata secondo le modalità e i criteri definiti dall’AgID."
La risposta quindi diviene una domanda: Rivericare se l’allora valutazione comparativa è ancora valida.
Mi permetta di farle notare che esisteva vita anche prima del art.68 del CAD
In ogni caso, a parte il software in oggetto, ci sono diversi software forniti da enti pubblici e/o partecipate della PA centrale (si, proprio Sogei ad esempio), che ad oggi forniscono software con requisiti dubbi, ad esempio che l’utente che lo utilizza sia amministratore locale. In taluni casi un sysadmi un po’ più “skillato” riesce a porvi rimedio, in altri casi accetti l’offerta così com’è, con buona pace dell’art.68 ed ennesima conferma del detto “il pesce puzza dalla testa”
Il mio consiglio è di valutare attentamente quali sono i costi (che poi sarebbero di innovazione e non di spesa corrente) inizili e valutare i risparmi che si ottengono nei vari scenari.
Trattandosi di un comune immagino che non si tratti di un software di monopolio, altri enti avranno del codice proprio che svolge le medesime funzioni o quasi.
Assumiamo pure che ci sia una esigenza particolare, mi è difficile immaginare peròl che sia unica.
Gli altri comuni con la medesima esigenza che software utilizzano?
Si tratta di un software per pilotare un hardware (affrancatrice, imbustatrice, macchina CNC o qualunque altra cosa) e il cambio non è possibile.
Apprezzo il tentativo da informatico di “hei hai questo problema, aspetta che ti cambio le condizioni di partenza” ma non è questo quello che chiedo di capire.
HO questa situazione, le misure minime dicono altro, come faccio.
Davvero, per favore, restiamo in tema.
Usare un client ponte che registri gli accessi degli utenti con il loro id univoco, in modo da blindare l’accesso al software e archiviazione sicura non alterabile (blah blah) dei log degli accessi degli accessi.
Salve, Sig. Carloni,
scusi se mi intrometto ma come sempre dico, magari imparo qualcosa di nuovo …
visto che dietro ad un utilizzo di un particolare ‘utente virtuale’ non è accertabile che
ci stia veramente ‘lo stesso utente fisico’, sarebbe accettabile nominare ‘un responsabile primario nel gruppo dei tre, e poi fare ricondurre possibili responsabilità legali a lui?’ … bhè nelle società con amministratori delegati o sici Accomandanti->Accomandatari … è riconosciuto appunto questo ‘principio logico’
Inoltre oltre a salutarla, se le interessa nel frattempo che ci eravamo sentiti per telefono mi sono fatto una cultura più precisa sulla questione firme digitali … se vuole fare due chiacchere mi chiami…
Buongiorno Boffelli, sicuramente ci risentiamo però causa altri lavori rimanderei al prossimo anno.
Riguardo al problema non credo che un “atto di nomina di responsabile primario” abbia alcun valore.
Il punto a monte che volevo far osservare è che spesso il software è “fatto così e non ci si può fare nulla”. Ovvio che in realtà qualcosa si può fare ma si parla sempre di risorse (tempo o economiche) che spesso non si hanno.
Il punto qua sta nella norma che si scontra col mondo reale “tutte le utenze vanno ricondotte a una sola persona”.
“Paradossalmente” vale il fatto che il sigonor Mario abbia più credenziali (Mario_Rossi, Mario_rossi_amministratore, ecc) ma non vale assolutamente il contrario.
Nel ragionamento ovviamente considero che con utenze si intenda la combinazione di utente e password assegnate ad esseri umani e non si considernio quelle di servizio (ad esempio quelli per collegarsi a LDAP tramite il software di turno o l’utente httpd/apache sotto linux).
Quindi si facciano tutte le nomine che si vogliono, ma la richiesta della norma è disattesa. Sbaglio nel ragionamento?
Buongiorno,
nel momento che si definiscono nuove regole (…anche se poi “invecchiano” possono rimanere tali se non si pianificano nel tempo le azioni necessarie) penso che sia “normale” riscontrare che non si e’ “conformi” a quanto la norma stabilisce. Pur apprezzando lo sforzo di trovare una soluzione tecnica che permetta di risolvere la “non conformita’” bisogna, nei casi in cui e’ necessario riscontrare che i vincoli tecnici posti dall’attuale architettura dei componenti costituenti l’attuale soluzione, diagnosticare che la stessa deve essere oggetto di intervento… La priorita’ di risoluzione della non conformita’ in relazione agli investimenti necessari dipende dalla gravita’ della "non conformita’ per gli effetti sul “sistema”…
Scusate se la risposta non risponde a come risolvere il problema tecnico… anzi non vuole essere una risposta ma e’ quanto mi sono trovato a dover gestire in casi analoghi…
Cordialità.
Antonio
Appunto, ci sono molte PA che hanno software da prima del 2005 e non lo hanno mai cambiato.
A tutti: non vorrei andare off-topic però mi permetto di puntualizzare una cosa, a mio avviso va un attimo definito o meglio, chiesto ad AGID, cosa vuol dire con il termine “utenze”. A mio avviso si fa confusione tra utenze nominali, cioè assegnate ad una persona, con utenze tecniche o di servizio che servono semplicemente per accedere ad un desktop generico in un computer.
Facciamo un esempio: ho un computer con televisione usata come schermo, quel computer deve fare auto-logon ed aprire una pagina web all’accesso, la pagina web visualizza qualcosa (numeri elimina code, dati sui pannelli solari installati nel tetto, sito web dell’ente, opac in biblioteca ecc ecc). In questo caso il logon si fa con un utente di servizio, ad esempio “pannellisolari”, quell’utente ha accesso alla rete (deve leggere i dati da qualche altro server) ma non accesso alle cartelle con documenti piuttosto che gestionali ecc. Quella non è una utenza nominale e a mio avviso, da semplice persona di buon senso credo, non penso che condividere la password con i colleghi del CED o dei servizi tecnici in caso di bisogno, sia una violazione né delle norme sulla privacy (nessun accesso a dati personali e/o sensibili), né del punto 5.10.2 quando parla di “utenze”.
Faccio infine presente che se vogliamo essere fiscali e dire che una “utenza” è un qualsiasi utente creato in active directory o in altro sistema di autenticazione, vorrei chiedere a quale persona dovrebbero essere riconducibili alcuni utenti di sistema o creati dalle applicazioni, ad esempio gli utenti con prefisso IWAM creati da ISS, quelli con prefisso SQL creati da MSSql, per non parlare di quelli nascosti come “local system” ed altri.
Tornando al caso in questione, a mio avviso c’è una notevole differenza se l’esigenza è condividere la password dell’utente “mario_rossi” per entrare nel PC (e quello stesso utente viene usato da Mario Rossi per le sue attività di lavoro) o se invece più persone condividono la password dell’utente “affrancatrice” e con quell’account non gestiscono dati personali e/o sensibili, non entrano in cartelle con documenti, non entrano in gestionali ecc ma semplicemente accedono al computer che poi ha il software per gestire una macchina collegata.
