Obblighi in capo ai gestori di identità.
Continua a leggere su Docs Italia.
Queste Linee Guida non delineano quali siano gli oneri e gli obblighi rispettivamente del SP e dell’IdP in ordine all’identificazione del soggetto e alla sottoscrizione del contratto, contrariamente a quello che avviene nel CAD e nel Regolamento eIDAS per i soggetti deputati a erogare servizi elettronici fiduciari, semplici o qualificati. Sarebbe, infatti, opportuno indicare quali siano gli obblighi e le responsabilità in capo a ciascuno, come ad esempio il garantire l’integrità del documento durante tutte le fasi del processo o il rispetto del principio What You See is What You Get, che vadano oltre la semplice definizione del processo.
A meno di definire differenti categorie di IdP, dato che non si sa a priori se i documenti da firmare contengono dati personali particolari occorre che le misure siano idonee alla protezione di tali dati in termini di protezione tenendo conto della memorizzazione, accesso, cancellazione, distruzione dei media, ecc. Tenuto poi conto che il per la sottoscrizione si devono rendere disponibili i documenti per il download sui computer dell’utente, che non sono presidiati, sarebbe forse il caso di non consentire l’uso della firma SPID per questo tipo di documenti