menu di navigazione del network

SPID terzo livello

Salve un informazione, lo spid di terzo livello deve essere implementato a discrezione dei vari operatori (Poste, sielte, lepida, …) oppure deve essere attivato dallo stato? Se ho uno spid di secondo livello poi potra’ diventare di terzo livello ?

dipende dal tuo provider se lo ha implementato oppure no

Ma ci sono già spid di terzo livello acquistabili?

SI, ARUBA …ecco lo screenshot

1 Mi Piace


In caso faccia uno Spid con InfoCert che ha livello 2 di sicurezza, poi lo dovra’ implementare il provider quello di livello 3 oppure e’ il @teamdigitale o @agid che glielo deve attivare ?
@AndreaRussoAgid @martafalzone_AGID

2 Mi Piace

Per il momento io conosco solo siti che usano il livello 2. Un livello 3 potrebbe proteggere che tipologia di accesso? (es. dati sanitari che adesso veniva protetti con livello 2 perchè non c’era ancora il livello 3, o altri tipi di dati?)

Ovvero: il livello 3 oppianterà il 2 per il dati considerati sensibili anche in ottica GDPR?

Andrea

qualche esempio di livello 3 dello spid lo trovi qui:

http://www.regione.toscana.it/con-credenziali-spid

1 Mi Piace

Io ho usato lo SPID 3 di Aruba che, nella pratica si è tradotto in uso di SPID 2 + lettura di certificato firma digitale (su token USB).
So che Poste, invece, usa un sistema totalmente virtuale con un PIN “SPID 3” da usare via App.

L’idea che mi sono fatto è che non ci sia una implementazione standard decisa dalla norma. Similmente non so se questi metodi siano stati autorizzati da AGID.

Personalmente penso che lo SPID 3 dovrebbe essere implementato tramite l’uso della CIE (che consentirebbe una lettura NFC anche da smartphone) ma, lo ripeto, è una mia idea.

3 Mi Piace

SPID L3 deve essere compatibile a quanto previsto da eIDAS LoA 4

vedi DPCM di SPID, art. 6 comma 1 , lettera c)

c) nel terzo livello, corrispondente al Level of Assurance LoA4
dello standard ISO/IEC DIS 29115, il gestore dell’identita’ digitale
rende disponibili sistemi di autenticazione informatica a due fattori
basati su certificati digitali, le cui chiavi private siano custodite
su dispositivi che soddisfano i requisiti di cui all’Allegato 3 della
Direttiva 1999/93/CE del Parlamento europeo, secondo quanto previsto
dal presente decreto e dai regolamenti di cui all’art. 4.

AgID autorizza le modalità per l’implementazione dei livelli di sicurezza

vedi art.6 comma 2
2. L’Agenzia valuta e autorizza l’uso degli strumenti e delle
tecnologie di autenticazione informatica consentiti per ciascun
livello, nonche’ i criteri per la valutazione dei sistemi di
autenticazione informatica e la loro assegnazione al relativo livello
di sicurezza. In tale ambito, i gestori dell’identita’ digitale
rendono pubbliche le decisioni dell’Agenzia con le modalita’ indicate
dalla stessa.

1 Mi Piace

A quali servizi, informazioni, pagamenti o altro sono disponibili con livello 3 di accesso? Grazie