Volevo cortesemente fare alcune domande in merito a questa figura.
il Security Officer detentore della master password può essere esterno all’ente?
in che rischi civili, amministrativi e penali incorre?
ipotizziamo che la master password venga rubata informaticamente senza che se ne accorga e venga utilizzata per generare CIE fasulle, che tipo di responsabilità ha il security officer?
Grazie.
Andrea
IPZS-CIE
(Istituto Poligrafico e Zecca dello Stato)
2
Salve Andrea,
riteniamo che tale quesito vada rivolto al Ministero dell’Interno, la tematica è strettamente di sua competenza. Ti invitiamo a scrivere a cie.comuni@interno.it.
Saluti.
e non mi pare poco…
Il tecnico che installa le postazioni consegna a me security officer le SCO.
Un security officer “malevolo” potrebbe abilitare le SCO su codici fiscali di operatori ignari di tutto ed emettere tonnellate di CIE.
Secondo me questo è un problema procedurale che non è stato valutato adeguatamente: le SCO non attive dovevano essere consegnate agli operatori, non al security officer.
Ma non è neanche così perché gli utenti abilitati da Monitora non li inserisce il security officier, ma il responsabile del servizio rilascio CIE, quindi è possibile autenticare card solo ai codici fiscali accreditati precedentemente. Occorrerebbe una vera associazione a delinquere, e non è certamente più facile di falsificare la vecchia carta cartacea.
A me comunque sembra abbia una certa responsabilità il ruolo di Security Officer e non credo sia demandabile ad un terzo ma debba rimanere nell’ente, possibilmente sul Responsabile Demografici nemmeno sul Responsabile IT. Cosa ne pensate @Roberto_Cicala e @perrcla ?
non so, se non ricordo male nel questionario che abbiamo compilato tempo fa, per il security officer si faceva espressamente riferimento ad un persona dell’IT.
Ma forse sbaglio…
Cmq si, pare anche a me che alla fine un pò di responsabilità il security officer le abbia.
Anche solo per i limiti intrensici della procedura.
Mi spiego: c’è un momento in cui il security officer ha in mano sia la SCO che il PIN in chiaro.
Questa secondo me è una leggerezza.
Faccio l’analogia con la procedura di attivazione delle CNS-tessera sanitaria.
L’operatore attiva la carta, senza MAI vedere il PIN in chiaro. All’ufficio sono assegnate della buste contenenti PIN e PUK sigillate che vengono semplicemente associate alle CNS da attivare. Un pò come avviene con i PIN delle carte bancomat.
In questo modo chi attiva le CNS non dispone mai del PIN della carta e comunque, la manomissione della busta è facilmente rilevabile…