Salve a tutti,
forse la mia potrebbe essere una domanda troppo pretenziosa, però vorrei capire una cosa, nel mondo di SPID è possibile implementare e certificare un IdP o questo vale solo per i SP?
Nel caso sia possibile quali sono gli step da seguire? C’è della documentazione a riguardo?
Grazie mille.
Sia idp che sp devono seguire un percorso di accreditamento presso AgID. L’accreditamento come idp richiede anche l’audit (imperituro) da parte di un CAB esterno (DNV, Bureau Veritas, KPMG…).
Il percorso come sp è più semplice, ma tutt’altro che una passeggiata.
Per rendere disponibile l’accesso spid sui propri servizi web/mobile è molto più semplice rivolgersi ad un soggetto cd. “Aggregatore” che consente al provider privato di accedere all’eco sistema spid, senza oneri di certificazione o altra burocrazia complessa. È l’aggregatore che fa da garante e che sostiene tutti gli oneri di accreditamento e di mantenimento della compliance (in continua evoluzione). Se interessa approfondire l’argomento sono a disposizione
La documentazione è quella disponibile sul sito AgID nella sezione dedicata al progetto SPID (vedi menù “Regole tecniche” e “Circolari e deliberazioni”).
Vi sono vari requisti sia tecnici che amministrativi.
Ad esempio, il soggetto che si propone come Identity Provider deve “avere forma giuridica di societa’ di capitali e un capitale sociale non inferiore a cinque milioni di euro” (Art. 10 comma 3 del DPCM 24 ottobre 2014)