Conservazione Sostitutiva Insourcing

https://helpx.adobe.com/acrobat/kb/approved-trust-list1.html

la casistiche del tipo se uno muore non varia, al massimo esiste la casistica:
"tutti i datacenter della comunità europea vengono distrutti contemporaneamente, e tutti i datacenter degli stati uniti vengono distrutti contemporaneamente, e tutti i deputati alla sicurezza dei certificati vengono uccisi "

beh si’ allora in questo caso la verifica della validità del certificato diventa difficile.

1 Mi Piace

Che tragica ! :rofl:

uso la firma digitale da ormai 15 anni per depositare bilanci e verbali nel Registro delle Imprese e ho cambiato diverse volte il dispositivo di firma e quindi i certificati utilizzati non li ho rinnovati e quindi sono scaduti. Ma tutto quello che ho depositato è sempre ugualmente valido.

Certo e ci mancherebbe! Era una domanda non domanda in risposta a quanto paventato sopra da qualcuno (che la firma non sarebbe stata più valida…).

è quanto detto da alcuni siti e Aruba.
ma non è questione di firma valida sulla fattura/documento ma di controllo della validità della marca temporale applicata al pacchetto.

quello da loro riportato è :
se il certificato con il quale hai applicato la marca temporale scade, la CA non è in gradi di validare il pacchetto firmato precedentemente e di conseguenza il documento conservato perde la garanzia di integrità.

come dice @damiano_verzulli probabilmente sono tutte sciocchezze ma non avendone certezza ed essendo una informazioni riportata dal tecnico di aruba durante la trattativa sulla conservazione, una domanda me la pongo. Tecnica commerciale per importi di acquistare il loro servizio o esiste un fondo di verità?

Ma le marche temporali le rilascia un ente certificato non puoi fartele in casa… Quindi si suppone che l’ente certificato non avrà problemi in futuro.

1 Mi Piace

ripeto ancora, “si suppone” , in questi casi non aiuta,
aiuta se le marche temporali le compri da uno accreditato dalla comunità Europea,
quelli commerciali fra 7 8 anni potrebbero tirare giù il TSP e non avresti garanzie.

Mettiamola cosi’… stiamo parlando di apporre marche temporali ai fini della conservazione. La conservazione ha delle norme che ne determinano tempi e modalità. Lo stesso vale per le emissioni delle marche temporali. E sono tutte norme dello stesso “stato” che ti chiede di conservare.

Penso che di fronte a una qualsiasi contestazione non si possa non ‘accettare’ che seguendo queste norme, e quindi fornendosi da un fornitore accreditato per l’acquisizione della marca temporale e conservando i documenti secondo norma, l’eventuale distruzione o fallimento dell’ente/azienda accreditata o qualsiasi altro evento non sotto la responsabilità diretta del cittadino che renda le marche non verificabili, il cittadino ha fatto quanto di meglio poteva fare e quindi non sia di fatto responsabile.

Se questo non è vero allora tutto l’impianto non regge…

In altri termini, se compro da Aruba 10 marche temporali, le applico e queste dovrebbero avere durata diciamo 5 anni (pari al tempo richiesto della conservazione del documento a cui le ho applicate); se Aruba esplode prima dei 5 anni, credo che nessuno possa venire a condannare me che ho usato le marche regolarmente acquisite da un fornitore accreditato.

Altrimenti, ripeto, tutto l’impianto non regge, la certificazione non varrebbe nulla e tanto varrebbe farsi le marche “in casa”.

Stiamo andando in Loop, Aruba è nella lista di quelli riconosciuti dalla comunità Europea, per cui vale quello detto nei giorni scorsi e ribadito questa mattina
Aruba_tsp

Secondo me, il tecnico di Aruba si e’ sbagliato (e, tuttosommato, mi sentirei di “perdonarlo” per la sciocchezza che ha detto).

la pagina che citi (che è stata scritta nel 2010, ossia 9 anni fa!!!) riporta testualmente l’allora articolo 21 dell’allora CAD. Ne riporto lo screenshot recuperato dal sito citato:

Quando l’ho letto, sono saltato dalla sedia e… istantaneamente sono andato a cercare la situazione ATTUALE. L’articolo 21 del CAD vigente, al comma 3, riporta questo:

cad2

Quindi mi sono comodamente riseduto e… ri-tranquillizzato.

Ho dato un’occhiata veloce al resto dell’articolo 21 e NON vedo riferimenti a validita’ di documenti firmati con certificati scaduti. Di conseguenza, resto fermo nelle mie convinzioni: un documento firmato digitalmente oggi, resta valido anche quando il certificato di firma (del soggetto firmatario o della relativa CA) scade.

Devo dire, pero’, che non conoscevo la realta’ ante-26/08/2016. Quindi, se fossimo nel 2015, mi sarei sbagliato al 100%!!! Meno male che c’e’ stato il DLgs 179 del 26/08/2016 :slight_smile:

Bye,
DV

Riformulerei il passaggio qui sopra con:

"dall’altra parte:

  • c’e’ un non-meglio identificato tecnico di Aruba che fornisce un chiarimento telefonico senza indicare un riferimento formale (aka: testo scritto) sullo stesso sito di Aruba;

  • c’e’ un sito che riporta informazioni vecchie di 9 anni (rif. Art. 21 comma 3 dell’allora CAD), ampiamente superate dalla normativa vigente a valle di modifiche adottate nel 2016 (Dlgs 179 del 26/08/2016) "

Insomma: non mi pare di vedere (almeno finora) nulla che contraddica le mie asserzioni :slight_smile:

Bye,
DV

il vecchio articolo 21 comma 3 del CAD però afferma un concetto che deve essere valido ancora oggi (bisogna andare a cercare la nuova collocazione della norma) e cioè che se tu firmi con un certificato SCADUTO quella firma non vale.

Approvo al 100%, con una piccola aggiunta relativa alla conservazione:

seppur scaduti, sotto l’ipotesi che i distribution point delle chain sono ancora raggiungibili , e che i TSP delle marche temporali sono ancora raggiungibili.

E’ possibile verificare OGGI che il certificato bruciato sul supporto ottico era certamente valido il giorno in cui il supporto è stato archiviato.

Se invece le distribution point NON sono più’ raggiungibili e i TSP sono stati smontati, quel supporto ottico serve a nulla.

Anche io volevo appoggiarmi ad Aruba DocFly per la conservazione sostitutiva e confermo quanto evidenziato da più di qualcuno: costi irrisori ma qualità del servizio pessima, da denuncia!
Sono riuscito a implementare una procedura per conservare i documenti su docfly ma nutro scarsa fiducia sull’affidabilità del loro sistema (chi ha già provato sa di cosa parlo).
Qualcuno di voi citava altri provider del servizio (anche se con costi ben superiori) potete gentilmente fornire dei riferimenti?
L’unico requisito è che il servizio sia fruibile tramite API in modo da garantire l’integrabilità con software pre-esistente.
Grazie a chiunque mi fornirà informazioni utili! :wink:

Io avevo chiesto a legalMail. ma i prezzi sono 15 Volte più alti.
Avevo chiesto anche ad altre 3 4 società ma ora non ricordo i nomi. Comunque se cerchi su google ne trovi un botto

oddio… a parte infocert non è che vedo molto di interessante. :tired_face:

Ecco perchè la mia decisione di farlo Insourcing. perchè allo stato attuale non cè nulla di conveniente.

Io ho ancora il contratto di Aruba aperto. Sicuramente proverò con 1 cliente, perchè voglio comunque tenermi la porta aperta su un alternativa.

Ma al momento la vedo dura.

Un mio collega ha implementato un client FTP-S in php per dialogare con il loro servizio.
Sorvolando sulla scelta di usare FTP-S (che sinceramente mi sembra assurda) ti posso dire che si riescono a caricare i “fascicoli” ed i relativi file “ipdv”, si riescono anche a fare delle ricerche dal pannello quindi nel caso sia necessario recuperare dei dati e gli ipdv siano compilati correttamente i dati si possono ottenere.
Sulla qualità del pannello… sorvoliamo, interfaccia più assurda non l’ho mai vista.
Non è possibile aggiornare i fascicoli caricati tramite API (aggiornare i parametri del file ipdv) ma si può fare dal pannello.
Se carichi un file e ci sono errori ti restituiscono dei logs… ma li scrivono nella cartella che tu hai caricato. Questo implica che se tutto va bene rimuovono la cartella ma di fatto tu non hai un riscontro effettivo sul fatto che l’operazione sia andata a buon fine.

Abbiamo perso 20gg per capire come generare l’hash per validare i files caricati!!
Ci chiedevamo se fossimo noi ad essere “incapaci” mentre, in realtà, prima era la documentazione ad essere poco chiara, poi è emerso che la loro procedura aveva dei problemi… risolti in 10gg!
Apri ticket e non ti rispondono! Chiedi di parlare con un tecnico e ti fanno contattare da un commerciale che ti vuole spiegare come funziona l’archiviazione sostitutiva…
P-e-n-o-s-i!

Che sollievo… :frowning:

:male_detective: è passato il 15 Aprile e non ho trovato riscontri della relazione tecnica che Sogei avrebbe dovuto presentare al garante Privacy in merito ai chiarimenti tecnici sulla gestione dei dati fattura.

me lo sono perso ?