Log / registro degli accessi e conservazione

Buongiorno a tutti,
creo questo post in quanto non riesco a trovare della documentazione specifica per quel che riguarda la conservazione del log degli accessi che deve predisporre un service provider.

Purtroppo la sezione Log della pagina delle regole tecniche è ancora vuota:
http://spid-regole-tecniche.readthedocs.io/en/latest/log.html
ma sono riuscito a trovare della documentazione più o meno specifica qua e la…

Ad esempio il REGOLAMENTO RECANTE LE MODALITÀ ATTUATIVE PER LA REALIZZAZIONE DELLO SPID (articolo 4, comma 2, DPCM 24 ottobre 2014)


riporta l’obbligo dei fornitori di servizi alla conservazione per ventiquattro mesi delle informazioni necessarie a imputare alle singole identità digitali le operazioni effettuate sui propri sistemi. Tali informazioni saranno costituite da registrazioni composte dal messaggio SAML di richiesta di autenticazione e della relativa asserzione emessa dal gestore delle identità. Tali messaggi riportano identificativi e date di emissione e sono firmati, rispettivamente, dallo stesso fornitore di servizi e dal gestore dell’identità digitale; quest’ultima caratteristica fornisce le necessarie garanzie di integrità e non ripudio.
L’insieme delle Registrazioni costituisce il Registro delle transazioni del fornitore del servizio. Le
tracciature devono avere caratteristiche di riservatezza, inalterabilità e integrità e sono conservate adottando idonee misure di sicurezza ai sensi dell’articolo 31 del decreto legislativo 30 giugno 2003, n. 196
[* I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita’ della raccolta.]
, sotto la responsabilità del titolare del trattamento; l’accesso ai dati è riservato a personale espressamente autorizzato e incaricato del trattamento dei dati personali.
Devono essere utilizzati meccanismi di cifratura.
Analogo registro dovrà essere tenuto dal gestore delle identità digitali, secondo modalità definite nelle
regole tecniche di cui all’articolo 4, comma 3 del DPCM.

Relativamente all’ultimo punto è possibile trovare un manuale operativo SPID


che riporta le misure adottate da InfoCert:
Gli accessi al servizio sono registrati sotto forma di log certificato. Il log certificato è composto da un
file di testo prodotto dall’applicativo che gestisce il processo di autenticazione e dialogo con i Service
Provider, il quale viene firmato e marcato temporalmente prima della conservazione nel sistema di
conservazione InfoCert descritto in [9]. È garantita l’integrità nonché la disponibilità secondo quanto
previsto dal DPCM.
Contiene, tra l’altro, le seguenti informazioni corrispondenti a quanto richiesto nonché consigliato
nelle regole tecniche:
:black_small_square: lo SPID code (come chiave del tracciato)
:black_small_square: la richiesta del SP
:black_small_square: la risposta del IdP
:black_small_square: ID della richiesta
:black_small_square: timestamp della richiesta
:black_small_square: SP richiedente autenticazione (issuer richiesta)
:black_small_square: ID della risposta
:black_small_square: timestamp della risposta
:black_small_square: IdP autenticante (issuer risposta)
:black_small_square: ID dell’asserzione di risposta
:black_small_square: soggetto dell’asserzione di risposta (subject)

Il che fornisce una chiara informazione dei campi da conservare anche se indicano che il log “contiene tra l’altro” quindi non si sa cosa altro viene salvato.

Allo stesso modo il REGOLAMENTO RECANTE LE REGOLE TECNICHE (articolo 4, comma 2, DPCM 24 ottobre 2014)


riporta che un service provider dovrà mantenere un Registro delle transazioni contenente i tracciati delle richieste di autenticazione servite negli ultimi 24 mesi. L’unità di memorizzazione di tale registro dovrà rendere persistente per ogni transazione la coppia dalla e della relativa . Al fine di consentire una facile ricerca e consultazione dei dati di tracciature potrebbe essere opportuno memorizzare in ogni record informazioni direttamente estratte dai suddetti messaggi in formato SAML. A titolo esemplificativo e non esaustivo le informazioni presenti in un record del registro potrebbero essere le seguenti:

  • < AuthnRequest >;
  • < Response >;
  • AuthnReq_ID;
  • AuthnReq_ IssueInstant;
  • Resp_ID;
  • Resp_ IssueInstant;
  • Resp _ Issuer;
  • Assertion_ID;
  • Assertion_subject;
  • Assertion_subject_NameQualifier;

specificando che "Al fine di garantire la confidenzialità potrebbero essere adottai meccanismi di cifratura "

In definitiva i miei dubbi sono sull’effettivo contenuto minimo richiesto a norma di legge e cosa si intende per “Devono essere utilizzati meccanismi di cifratura / potrebbero essere adottai meccanismi di cifratura” che mi sembra un po’ confusionario.

Grazie

4 Mi Piace